熟人就能改支付宝密码?上海交大安全实验室:系夸大描述
作者:余梓阳 栏目:社会 来源:西部热线 发布时间:2017-01-11 10:55
1月10日早上,一则关于“熟人能够改动你支付宝密码”的消息在网络传播。有网友表示,只需登录他人的支付宝账号,选择“忘却密码”,便能够通过安全问题验证(辨认近期购置物品或好友)找回密码,从而上岸他人的支付宝账号。
支付宝随后回应表示,通常情形下,用户找回登录密码起码需求输入手机短信验证码,只有关于部分临时没办法收到短信的用户或许更改移动设备的用户,风控系统才会先进行评价(好比账户信息完整水平、网络环境等因素),并在安全系数较高的情形下,才让用户答复一系列安全问题,并且只有在答复准确后,才能够修正登录密码。
支付宝强调,这一战略只能找回登录密码,仅通过答复安全问题并没有法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到告诉提示。
上海交通大学密码与计算机安全试验室 (LoCCS) 安全研究团队通过该问题进行的整体安全测试,指出基于有关用户信息的密码重置方案虽然在特定场景下存在进攻面,然而进攻者的进攻窗口遭到实际情形限制较大,且在完成上岸后再进行针对用户财产的操作会被支付密码进一步限制,所以许多现有评价存在对安全威逼的夸张描写。
尚有安全专家对笔者表示,缘由是存在一些用户在找回密码时,会碰到没办法收到短信等情形,在这类情形下通过安全问题进行验证,在业内确实较为罕见,用户不用过于惊惶。另外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会遭到影响,用户资金安全还是能够获得保证。
支付宝同时表示,为了更好提升用户的安全感,在接到网友体现后,支付宝已经于10日上午进一步提升了风控系统的安全品级。如今,仅在用户自己的手机上,才能够通过辨认近期购置商品和辨认本人好友来找回登录密码,通过其他手机设备是没办法运用这一方法找回登录密码的。
10日正午,笔者在征得一名同事赞成后,在自己手机上试验上岸他的支付宝账户,没有出现答复安全问题的验证方法,也没办法通过这类途径获得他的支付宝登录密码,而是要通过绑卡验证、人脸辨认等其他方法。
安全专家表示,如今,许多人习惯丧失银行卡、手机后会及时挂失。跟随移动互联时期的到来,许多人的生活已与网络账户息息有关,网友们也应该树立起给网络账户挂失的习惯,当手机丧失,不只需求给手机号码挂失,也需求对手机绑定的网络账户挂失。(CIS)