支付寶回應安全問題：目前已隻能在自己手機上進行

搜狐科技文／楊舒芳

1月10 日消息，有網友曝出支付寶可以通過手機號直接登錄別人的支付寶，甚至修改密碼。

據此，我們也進行了驗證嚐試，最終得出了兩種不同的結果。

第一次嚐試時，在輸入對方手機號，選擇“忘記密碼”，並選擇“該手機不能接收短信”後，支付寶給出的安全問題是“對方父母的本名”，在一次輸入錯誤後放棄該次嚐試。

第二次嚐試時，在輸入另一位朋友的手機號，選擇“忘記密碼”，並選擇“該手機不能接收短信”後，我們看到了漏洞爆料中的兩個問題：“最近購買過的物品”和“他認識的一位朋友”。選擇正確後，支付寶跳出的頁麵是密碼修改頁麵，我們選擇了“直接進入支付寶”，成功登陸。

所以，經過親測，這個問題是存在的，但可能問題隨機出現，不一定會剛好抽到這兩個問題。當然我們的測試經過了當事朋友的同意，社會主義價值觀我們是有的呢。

隨後，我們聯係了支付寶方麵。就在剛才，我們收到了支付寶的官方回應。簡單劃下重點：

1.回答安全問題的登陸方式，是在支付寶的風控係統進行評估（比如賬戶信息完整程度、網絡環境等因素）後，在安全係數較高的情況下，才能實現。

2.這一策略隻能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼。

3.今日上午支付寶進一步提高了風控係統的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備無法實現。

以下為支付寶回應全文：

我們接到網友反映，稱可以通過識別好友、識別近期購買物品，來找回支付寶登錄密碼。

這一方式僅在特定情況下才會實現。通常情況下，用戶找回登錄密碼至少需要輸入手機短信驗證碼。對於部分暫時無法收到短信的用戶或者更換移動設備的用戶，我們的風控係統會先進行評估（比如賬戶信息完整程度、網絡環境等因素）。在安全係數較高的情況下，才讓用戶回答一係列安全問題，隻有在回答正確後，才能修改登錄密碼。

這一策略隻能找回登錄密碼，僅通過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

為了更好提升用戶的安全感，在接到網友反映後，我們於今日上午進一步提高了風控係統的安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

我們也歡迎用戶繼續對我們的安全策略提出意見和建議，我們會根據大家的反饋進一步完善和修正。

最後更新：2017-08-20 01:21:38