网络流传的一则“支付宝惊悚实验”称手机丢失后,捡到手机的人可以只通过手机验证码就轻松找回支付宝的密码,如果账号还跟银行卡绑定,里面的资金也可以被盗取。日前,央视《经济半小时》的一次现场测试发现,找回支付宝密码需要同时验证手机校验码、身份证号和私人安全问题,过程相当繁琐,破译的可能性几乎为零。
央视记者从网络安全公司请来一位安全研究员,按照“支付宝惊悚实验”的步骤,对手机丢失后可能发生的情况做了全面测试。研究人员假设捡到记者的手机,手机上装有支付宝钱包,然后对手机里的支付宝钱包进行盗取。
打开支付宝钱包,研究人员遇到第一道安全屏障——图形锁定界面。支付宝钱包设有手势图形锁定功能,需要手设密码或重新登录才能进入,研究人员只能选择“忘记密码”进入重设登录密码界面,第一步系统要求输入支付宝账户名和手机短信验证码,刚好记者的手机号就是账户号,而短信验证码也会发到记者这个手机上,因此就可以通过这一步。然而,进一步,系统要求研究人员输入支付宝账户主人的身份证号。这一步,研究人员没有拿到记者的身份证,支付宝的登录密码也无法进行修改。
为了进一步测试,记者假定手机获得者能够得到身份证信息,在修改了登录密码后,研究人员成功地登录了这台手机上的支付宝。然而,由于研究人员不知道支付密码,同样只能通过密码找回功能破解。研究人员选择短信校验码+安保问题来获取密码。短信校验码很容易解决,但得到验证码之后,还要正确填写一个安保问题,通常这个问题是手机用户自己设定的,有的手机用户设计的就是自己妈妈的名字,类似这样私密的问题,捡到手机的人一般不可能知道,这也就是说修改支付密码的可能性几乎为零。