“只要知道你支付寶里的好友，或者你最近在淘寶買了什么，就能隨意更改你的支付寶登錄密碼。”昨日，一則名為《網曝支付寶新漏洞：熟人可100%登錄篡改你支付寶密碼》的報道，在各大論壇上引爆關注度。熟人，在這一瞬間似乎變成了帶有“馬賽克”的黑衣人，讓所有支付寶使用者惴惴不安。不過，在此問題曝出之后，支付寶隨即提高安全等級。但是一場安全性與便捷性平衡的話題，再度被推上了輿論的制高點。

網曝 登錄密碼被疑熟人可改

據此前媒體報道稱，支付寶存在一個致命漏洞，即他人可以通過支付寶的“找回密碼”重置你的支付寶登錄密碼，并表示“陌生人有1/5的機會登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶”。

實際上，在新設備上登錄支付寶時，通常需要用戶重新輸入密碼才能進入支付寶。不過，在輸入密碼時，密碼框下有一個“找回密碼”的按鈕。點擊按鈕之后，支付寶提供多種找回密碼的方式，除了發(fā)送手機驗證碼之外，還有識別最近購買的東西或識別好友、回答安全性問題等選項。而后兩者則主要是在“無法收到手機短信”的前提下進行的。

也就是說，如果別人知道最近你的購買記錄、知道你的好友是誰，或者你設置的問題別人全部知道，就有可能通過這樣的設定來修改支付寶的登錄密碼。

回應 支付寶迅速提高安全等級

對此，支付寶負責人向北京晨報記者回應，這一方式僅在特定情況下才會實現，這一策略只能找回登錄密碼，僅通過回答安全問題并無法找回支付密碼，不能完成支付。而所謂的特定條件，是支付寶會先對網絡環(huán)境、賬戶信息完整程度等進行評估，安全系數高的情況下才會啟動。且一旦用戶支付寶在其他設備被登錄，本人設備會收到通知提醒。

不過，盡管對于自身安全體系信心滿滿，支付寶還是在昨日上午就提高了安全等級。目前僅在用戶自己的手機上，才能通過識別近期購買商品以及識別本人好友來找回登錄密碼，通過其他手機設備是無法應用這一方式找回登錄密碼的。

進展 暫無因此失竊案例

支付寶表示，目前暫時還未收到因此而失竊的案例。那么支付寶安全事件又是否存在足以“致命”的隱患？

一位支付安全領域資深人士向北京晨報記者表示，如果這些信息別人都知道，的確有被盜的可能性。但他對于報道中所提及盜用數據有所質疑，他認為這還需要進一步的論證才能評判。“從以往的盜刷案件來講，實行詐騙的往往會隱匿身份，熟人詐騙的可能性相對較低。”

在他看來，這樣的問題是否“致命”，也要看在登錄后是否擁有動用資金的權限。也就是說，如果登錄之后可以大規(guī)模挪用資金，那么其安全風險就相當巨大。

對此支付寶表示，支付寶有兩套密碼體系，找回登錄密碼并不意味著能夠找回支付密碼。而在新設備登錄后，即便是小額免密環(huán)節(jié)，也需要重新輸入支付密碼才能夠繼續(xù)使用。

分析 隱私保護不夠致恐慌

既然并非是“致命”漏洞，為何還會引起如此巨大的社會關注？

支付安全領域資深人士表示，這可能源于原本“一對一”的認證信息被泛化了，所以引發(fā)了用戶的不安。“比如密碼或者手機驗證信息，只有用戶知道。但你購買了什么東西，或者你的好友有誰，很可能在不經意間將信息共享給了別人。”該資深人士解釋道，知道答案的人不唯一，就出現了上述問題。

不過，在上海交通大學密碼與計算機安全實驗室主任谷大武看來，支付安全應該是“安全”與“隱私”并重，但往往在當下用戶對于后者并不重視。“中國用戶對于自己消費信息等隱私的保護不夠，也造成了當下的恐慌。”

谷大武認為，其實這也是安全性與便捷性平衡的問題。支付安全與便捷性是矛盾的，一味追求安全，則可能導致在真實場景下不可用；但便捷性則可能會讓安全性受損。而支付寶此次涉及到的內容，很可能是源于便捷性的探索。

■鏈接

3年前數據還在黑市交易

網絡賬戶的安全挑戰(zhàn)來自于多個方面。比如，平臺本身設計存在漏洞，黑客攻擊，甚至安全軟件“監(jiān)守自盜”等。

針對出現在地下黑色產業(yè)鏈中采用黑客攻擊用戶賬戶、盜取用戶賬號資產和販賣用戶信息等不法行為，很多互聯網公司都與警方建立了長效的合作機制。然而，數據被不斷地在黑市交易，讓賬戶風險陰魂不散。

“不管什么原因，信息一旦泄露，就像撕開了一個口子。進入地下黑色產業(yè)鏈后，更可能被多次販賣。也就是說三四年前泄露的數據，可能現在還在賣。”一位電商人士向記者表示。

在大部分數據外泄后，黑客會先進行洗庫,登錄賬戶將有價值的內容清洗一遍，比如登錄游戲賬戶將虛擬幣轉走，或將QQ號倒賣。第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人；第三次“洗”是關聯手機號的信息，賣給轉發(fā)垃圾短信的，這樣一層層“洗”下去直到沒有價值為止，才會將數據出售。

在“黑市”，用戶的數據被“明碼標價”。據媒體報道，比如12G的數據包價格從“10萬到70萬”不等，每位用戶的個人敏感信息平均只值1分錢。

提醒

遇到泄露的情況要立即修改賬號密碼；

支付賬號、社交賬號、常用郵箱、網絡購物這些網站要單獨設置密碼；

不要在不常用的、安全系數較低的網站設置與自己主要網站賬號相同的密碼；

接到陌生人或者客服電話不要輕信；

每隔三個月就要對密碼進行一次修改，防止黑客撞庫等。

■記者手記

糾結“證明我是我”

不如完善追回機制

網上對于支付寶安全性的質疑，說得高端一些是“認證核實”的問題，但說通俗一些，又是那個老生常談的“如何證明我是我”的問題，只不過這次是在網上。

其實，這在互聯網金融安全領域而言是個難題：在信息泄露嚴重的時代，在線下都很難證明的事情，搬到網上去證明，難度可想而知。但這又是個不得不做的事情，畢竟真實“忘記密碼”的需求還是存在的。

誠如谷大武所言，支付安全與便捷性是天生矛盾的。在當下，除了運用可信的第三方（如通過電信公司發(fā)送短信驗證碼）之外，似乎并沒有太多技術可用。當然，谷大武也表示，如果未來電子身份證得以普及，可能將是解決這個問題的鑰匙，但這是后話。

其實與其糾結如何在網絡上證明“我就是我”，不如轉換一種思路。實際上，放眼海外，很多人使用信用卡并不設置密碼。當然，銀行卡現在以IC卡芯片為主，其不可復制性自身就已經在事前形成一道安全壁壘。但如果發(fā)生盜刷，其事后完善的追回機制，也讓持卡人更加放心地使用。

如果放在互聯網支付時代，這無疑是個極好的事例。在一筆交易發(fā)生前，現在已經擁有了密碼等安全措施作為保障。而交易過程中，互聯網平臺是否能夠及時監(jiān)控風險和異常，比如銀聯在免密時設置了“商鋪白名單”，從而阻絕可能發(fā)生的盜刷情況；交易結束后，如果發(fā)生盜刷情況，是否有完備的追回機制和賠償手段，比如說支付寶的盜刷險等，都能夠促進消費者對于安全的認可。

所以筆者認為，在網上解決“證明我是我”的問題，不僅需要金融基礎設施建設的進一步加快，也需要支付企業(yè)真正形成可行優(yōu)質的事前、事中、事后可追溯的機制，才能更好地解決安全與便捷性之間的問題。