关于淘宝的数字证书，有人来跟我解释一下吗。。

经常无语

kakenhi 发表于 2014-11-5 10:54
红字就是你想说明的问题吧
但你只要认真看看我前面说的，就会知道，淘宝跟你玩了个文字游戏。

黑客是怎么知道你的账号密码的？

你不会把账号密码以明文形式直接存手机上了吧？

还是说，压根就不是什么黑客，就是身边知道你账号和密码（我记得是两个密码，登录一个，支付又是另一个）的人“拣”到的 ？

又或者，你的两个密码就是一个， 还是用身份证号这种简单的不能再简单的简单密码？

这不是自己作死吗？能怪支付宝安全系数太低？

见过许多人为了“方便好记”，把银行卡密码设成生日，又把银行卡和身份证一起放钱包里，被偷了“掉了”，哭天抢地怨天怨地怨银行，对这种人能说什么呢？

kakenhi

经常看海 发表于 2014-11-5 11:06
黑客是怎么知道你的账号密码的？

你不会把账号密码以明文形式直接存手机上了吧？

你都没认真看过我的回复吗？

我前面已经说过了，黑客不需要知道你的帐号密码，他只需要知道你的银行卡号和身份证号，就可以通过淘宝重置你淘宝登录密码和支付宝交易密码。而你的帐号，就是手机号码。

知道一个人的手机号码，在网上通过手机号人肉出身份证和银行卡号，不是没可能吧？再说，也有人曾经通过短信将身份证号或银行卡号发给他人，这样，在手机短信中就会留下记录，是不是？

退一步讲，就算这人安全意识非常强，没法人肉到，也不能说就很安全了。我前面已经假设了一个场景，假如坏人就是你的大学室友，他要记下来你的身份证号、银行卡号，会不会很容易？他要接触你的手机会不会很容易？

这不是什么作不作死的问题，恰好因为我自己要用淘宝，才会特别关注它的安全性，不然的话我才不会管呢。连客服小哥都特别告诫我，如果关联手机丢失了，要拜托营运商马上停用这张SIM卡，不然你的淘宝账户会有危险，看来你的安全意识连这个客服小哥都比不上。

经常无语

kakenhi 发表于 2014-11-5 11:22
你都没认真看过我的回复吗？

我前面已经说过了，黑客不需要知道你的帐号密码，他只需要知道你的银行 ...

我真是蛋疼，还验证了一下你的说辞，登录密码确实可以用手机直接重置，支付密码第一种修改方式却需要验证码和证件号来（证件可以不是身份证）重置。

第二种人工服务需要48小时审核还得提交备案证件的扫描图片，你直接假设黑客能得到你的证件号码，还是从直接网络上搜索到的？

我想问问：谁让你在网上公开自己的证件号码和手机号码了？

对个人信息的保管是你的责任还是支付宝的责任？

我又试了试银行卡，用电话银行，修改密码，同样只需要登记的身份证号码，按你的说法一样不安全，要是有人“无疑拣到”你的银行卡，又在网上搜到你的身份证号码，一样可以重置转账，你也别用银行卡好了。

你要是认为手机重置密码这个功能不安全，可以向支付宝公司提出来，请他们单独给你取消掉，以后密码忘了，请本人拿着身份证到支付宝公司去重置验证。

经常无语

kakenhi 发表于 2014-11-5 11:22
你都没认真看过我的回复吗？

我前面已经说过了，黑客不需要知道你的帐号密码，他只需要知道你的银行 ...

安全意识？手机号和身份证号能直接在网上搜到的人原来是具有安全意识的?

手机挂失是理所当然的，但是支付宝也要挂失脱钩吧， 谁又让你不理不睬，让人钻空子的?

支付宝还承诺了因为支付宝的问题导致客户损失由支付宝负责，你换银行试试？
你不挂失或者挂失前被人转账了（记得是48小时挂失期），看银行会不会赔偿？

kakenhi

经常看海 发表于 2014-11-5 11:47
我真是蛋疼，还验证了一下你的说辞，登录密码确实可以用手机直接重置，支付密码第一种修改方式却需要验证 ...

你说了半天，其实还是承认了，只要知道证件号码和银行卡卡号，黑客就可以重置你的所有密码。

接下来，我就跟你扯扯关于对个人信息保管的问题吧。

第一，手机号码不需要自己公开，假设有人捡到你的手机，他也就知道你的手机号码了。

第二，证件号码我自己当然不会公开，但我不能保证别人不会公开。我曾经用同学的手机号码进行百度，就找到了他的身份证号。因为他大学毕业论文答辩网站上，公开显示的一条记录中，就有他的名字、身份证号、手机号码。

第三，对你刚才说的个人信息，很多人都没有隐藏它们的自觉，这是为什么呢？让我来解释一下：

你的银行卡上印出了银行卡号，但为什么没有印出银行卡密码？

因为，银行卡卡号，属于“不涉密信息”，而银行卡密码，属于“涉密信息”。对涉密信息，我们是绝不会透露给别人的，但不涉密信息，我们却往往在无意中透露给别人，我们也没有办法防止别人偷看到。

对涉密信息的保管，每个人，每个单位都是有自觉的。你不可能把自己的银行卡密码写在博客、论坛中，你的单位也不可能公开它，但对于非涉密信息，大家却没有保管的自觉，就算你有自觉，其他知道这些信息的人或者公司也可能把它公开出来。

包括现在被广泛使用的密码验证问题，用的都是非涉密信息。其他人很有可能通过人肉的方式，获取到这些信息。所以，这种验证方式是非常愚蠢的。


其实，我也向支付宝反映过这个问题，但他们没有重视。那至少，我可以让更多人了解到这个隐患。这就是我在卡饭发这篇文章的目的。

kakenhi

经常看海 发表于 2014-11-5 12:00
安全意识？手机号和身份证号能直接在网上搜到的人原来是具有安全意识的?

手机挂失是理所当然的，但是 ...

“手机号和身份证号能直接在网上搜到的人原来是具有安全意识的？”
关于这个问题，我在上面一篇解释涉密信息与非涉密信息的帖子中，已经回答过你了。

“支付宝还承诺了因为支付宝的问题导致客户损失由支付宝负责”
支付宝不会承认。他们会说，手机丢失是用户的问题。之前我读到过一篇新闻，讲的支付宝被盗案件，就是用我刚才所说的方法实施的。支付宝在那时，与银行一样，开始推卸责任。但是，那篇新闻很快就被删除了。

“你不挂失或者挂失前被人转账了（记得是48小时挂失期），看银行会不会赔偿？”
银行卡丢失，很多用户会本能的想到，银行账户有危险，要尽快挂失。但手机丢失后，认为支付宝账户有危险的，有能有多少人呢？

其实你可能已经意识到支付宝不安全了，只不过现在还不愿意承认而已。

经常无语

kakenhi 发表于 2014-11-5 12:15
你说了半天，其实还是承认了，只要知道证件号码和银行卡卡号，黑客就可以重置你的所有密码。

接下来， ...

楼上已经说过了，方便和安全需要平衡，如果追求绝对的安全，只能给自己带来天大的麻烦，你要么接受手机重置密码（早说了这个不是支付宝原创，电话银行早就可以通过验证身份证号来修改密码），要么接受自己本人拿着身份证到杭州支付宝公司去修改密码（非常支持支付宝公司提供这个选择项让某些具有“高度安全意识”的人选择），身份证泄露这是另一个问题，谁泄露的请找谁的，这不是银行的责任，也不是支付宝的责任。

经常无语

kakenhi 发表于 2014-11-5 12:23
“手机号和身份证号能直接在网上搜到的人原来是具有安全意识的？”
关于这个问题，我在上面一篇解释涉密 ...

银行卡丢失，很多用户会本能的想到，银行账户有危险，要尽快挂失。但手机丢失后，认为支付宝账户有危险的，有能有多少人呢？

其实你可能已经意识到支付宝不安全了，只不过现在还不愿意承认而已。

——————————————————————————————————

其实你可能已经意识到银行卡同样不安全了，只不过现在还不愿意承认而已。

蒙着眼睛骗自己有意思吗？

银行卡有挂失期，支付宝没有，挂失期内损失银行一律不赔偿，这是在合同里写明白的，同样的假设你偏要认为银行卡安全，支付宝不安全，双重标准有意思吗？

kakenhi

经常看海 发表于 2014-11-5 12:26
楼上已经说过了，方便和安全需要平衡，如果追求绝对的安全，只能给自己带来天大的麻烦，你要么接受手机重 ...

“电话银行早就可以通过验证身份证号来修改密码”
如果仅用身份证号，就可以重置密码，那实在太不安全了，幸好我没有开通电话银行。

“身份证泄露这是另一个问题，谁泄露的请找谁的”
我已经说过了，不涉密信息是没办法安全保管，即使公开出来，也没有责任。再说，最后找谁都没有用，因为没人愿意为此承担责任。最终受害的，是用户。

"方便和安全需要平衡，如果追求绝对的安全，只能给自己带来天大的麻烦"
其实方案很简单，只需要关闭这种验证方法，密码重置全部改成人工审理就完事了。找回密码这个功能又不是天天都要用，对用户来说，并不是你所谓的“天大的麻烦”。只是，淘宝不愿意支付人工审理的成本罢了。

其实到了这里，你已经在跟我争论方便性的问题了，等于你已经承认了，我之前说的都是事实。而你现在的目的，也不是为了证明淘宝安全，只是为了在争论中打败我罢了。

kakenhi

经常看海 发表于 2014-11-5 12:35
银行卡丢失，很多用户会本能的想到，银行账户有危险，要尽快挂失。但手机丢失后，认为支付宝账户有危险的 ...

天哪，让我们不要这么激动吧。
手机出门天天带，被偷被抢丢失的可能性，你说比银行卡大了多少？同学同事借用你的手机，你是不是欣然答应，那要借用你的银行卡呢？从丢失概率的角度上看，能不用更高的标准来要求淘宝吗？

再说了，手机也跟自己银行卡一样，关乎自己财产安全这一点，你敢说是在跟我争论前就已经意识到了吗？