剛剛從朋友圈曝出支付寶“熟人可以修改登錄密碼的漏洞”，據(jù)稱，任何人登錄支付寶時，只需通過“登錄手機賬號——忘記密碼——手機不在身邊——淘寶買過的東西9張圖片選1個——好友驗證9個好友圖片選1個——登錄成功”，這時就可以直接掃二維碼付款不用密碼。而整個流程“陌生人有1/5的機會登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶”，讓廣大網(wǎng)友為之心驚。

　　朋友圈曝出支付寶“熟人可以修改登錄密碼的漏洞”

在筆者看來，將其歸類為漏洞問題，還不如說是支付寶身份認證流程上的不嚴謹，風控系統(tǒng)過于粗糙所致。隨后，支付寶回應(yīng)稱，今天上午，已提高風控系統(tǒng)安全等級，目前僅在用戶自己手機上，才能通過識別購買物品和好友找回登錄密碼，其它手機已無法使用此方法。

截止發(fā)稿前，筆者驗證發(fā)現(xiàn)支付寶針對網(wǎng)友反饋的問題進行了緊急調(diào)整，修改了身份認證流程，并將其直接導向要輸入真實姓名和身份證號碼環(huán)節(jié)。

目前支付寶已修改了身份認證流程，將其直接導向要輸入真實姓名和身份證號碼環(huán)節(jié)

如果選其他方式找回密碼，則有刷臉和打電話兩種方式，不過打電話的話，仍要填寫身份證信息

目前，隨著網(wǎng)絡(luò)安全威脅的日益加深，在金融支付層面上的身份安全認證機制也逐步完善中，最為常用的便是雙因子認證機制（Two-factor authentication）。雙因子認證是通過兩種獨立不相關(guān)的證據(jù)來證明訪問者的身份。根據(jù)密碼學理論，在數(shù)字世界里，獨立不相關(guān)的證據(jù)可以來自于以下三方面因素：你所知道的（如密碼或身份證號碼）、你所擁有的（如USB Key或磁卡）或者是你自己的生物體征（如指紋、瞳孔或聲音等）。

　　當前，身份認證流程中雙因子認證機制的重要性還不容忽視

相較于傳統(tǒng)單因子驗證（One-factor authentication，2FA）如靜態(tài)密碼等帶來的不可靠性，目前雙因子認證機制已成為加強用戶安全性的主流。而在此次支付寶事件中，其開始在對于密碼重置需求的處理上，避重就輕，明顯疏略了雙因子認證機制的重要性，顯然是犯了一個“低級性錯誤”。

不過，即使再強大的安全認證，在人為操作下都會有泄露的風險。安全專家建議第三方金融支付平臺應(yīng)該在身份認證流程、密碼管理上進一步強化其流程嚴謹性與風控等級，切實確保用戶的金融資產(chǎn)安全。