君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
互联网金融存在的安全问题亟待解决_以移动远程支付APP为例
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口能否讨论一下支付宝 APP 的安全问题 - V2EX
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
已注册用户请 &
Sponsored by
国内领先的实时后端云野狗 API 可用于开发即时聊天、网络游戏、实时定位等实时场景传输快！响应快！入门快！
Promoted by
能否讨论一下支付宝 APP 的安全问题
· 321 天前 · 2306 次点击
以前没认真研究过支付宝APP的安全问题，直到昨天更新了新版支付宝9.0后才试了一下。
不讨论手机本身的安全问题，不论苹果还是安卓，不讨论网页版支付宝的问题，只讨论支付宝APP的安全问题。
假设前提：
1、手机被偷了或者掉了；
2、没有及时发现被偷或掉，所有没有及时去挂失银行卡、挂失支付宝、挂失手机号。
如果小偷直接操作手机，那么问题来了：
1、手势密码密码通过忘记手势来重新登录来解决，重新登录的登录密码可以直接手机验证码找回，我今天试了点忘记密码，收货验证码就来了，然后就可以重新设置登录密码了；另外，手势密码功能已经下线；
2、没有手势密码的话，就直接进入APP了，然后账户余额、关联了几张卡、账单记录等等一览无余，还可以向朋友收款借钱了，这个借钱有点扯远了啊，光借钱没意思，钱还是在这个支付宝里；
3、光看余额也没意思啊，要把钱弄到手才行，所以就来重置支付密码了。当我点击“重置支付密码”，系统显示这是我的常用设备，然后我点击下一步，就直接把支付密码改了，无需输入以前的支付密码，无需进行其他任何验证，对，就这么改了，改了自然就可以买东西了转账了。
4、如果更不幸，你的身份证银行卡一起被盗，且银行卡也是填写这个手机号，那么就可以直接绑定快捷支付，然后将银行卡里钱也卷走了。
虽然支付宝有保险最高赔100万，但谁愿意被盗了以后再去索赔呢？
第 1 条附言 &·& 321 天前
看了支付宝的微博评论，下面一片骂声啊！主要问题就是隐私和支付密码
目前看来，支付宝APP本身已不安全
所以，
1、可以用完就退出，甚至删除APP；
2、通过手机本身来加强安全，比如锁屏密码，指纹解锁，BioProtect等插件
18 回复 &| &直到
20:02:47 +08:00
& &321 天前
我的支付宝绑定在另外一个手机上。。。
& &321 天前
开个玩笑： 买苹果5S以上的苹果手机，带指纹。 ：）
小心使得万年船，支付宝用的时候登陆，用后退出。//
& &321 天前
用后退出登录
绑定的手机号是另一台设备
& &321 天前 via Android
这都被赶上了，那说明天要亡你
& &321 天前
细思恐极，修改密码居然不用输入原密码的设定也是醉了
& &321 天前
好像很危险的样子。好多安全的问题都依赖手机本身，能不能在手机本身上做点手脚来提高安全性？
& &321 天前 via Android
大学室友今天发的微博 ：
晚上十点半显示有人在电脑端登录了我支付宝，然而有人申请通过邮箱方式修改登录密码，我在手机端改了一下支付密码。刚刚0点20分又显示有人用什么客户端登录，然而这次我在手机端登录失效，通过手机号码重置密码后居然还是不正确，现在我已经登录不了支付宝了@支付宝 @支付宝客户中心 求解答 [图片]
PS Root过的
& &321 天前
用iPhone 保平安
& &321 天前
支付宝这个业务流程是错误的，所以一直不用
& &321 天前
支付宝的核心是那个100万的保险。
这个赔付率据我所知几乎高达100%
& &321 天前
其实这些问题在内地是存在法理逻辑错误的，所以无解
商户甲方，客户乙方，第三者丙方从甲方盗取，只要乙方和丙方无关联，那就只是甲方和丙方之间的事，无论丙方是否使用了乙方的资料；除非乙方向丙方提供信息，那才能算乙方参与了
现在乙方要直接担责（或多或少），实质就是有罪推论（连坐）
典型的例子还有停车场车辆被盗、银行被转账……诸如此类
& &321 天前
你试试到一个陌生的wifi下进行重置密码的操作，多半就会验证身份了
& &321 天前
刚试了一下 还真不要原密码就能改支付密码。
在以前手机丢了就丢了，现在连支付宝一起丢..
& &321 天前
所以我手机没装任何购物 支付类的APP
& &321 天前
@ 试了一下，8.6版会做这个验证，但是9.0貌似只验证设备。
& &321 天前
手机先锁屏。。
& &321 天前
我关注这个问题：
& &321 天前
你手机都丢了，支付宝还能怎么办，直接换个手机用你SIM卡就能重置密码了，还要什么APP。
& · & 329 人在线 & 最高记录 1893 & · &
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.7.3 · 48ms · UTC 18:57 · PVG 02:57 · LAX 11:57 · JFK 14:57? Do have faith in what you're doing.手机丢失情境下，支付宝钱包APP到底是否安全？
随着支付宝钱包安全性方面的负面新闻经常见诸于朋友圈转发帖、各种论坛和网页，甚至某著名新闻节目也曾曝光过相关诈骗案例，小编周围的亲朋好友逐渐开始人心惶惶，小编也开始发愁账户里的那点小资金到底保不保险——余额宝虽然方便了如小编类有点小钱的懒人的理财，但为此损失本金可就得不偿失了。小编本身是个很重视安全的银，电脑端各种实名认证、数字证书、盾等一应俱全，网络环境也较为单纯且保护齐全，安装了数字证书的电脑也常年呆在家不会出门，因此并不担心PC端的安全性。看到网上有很多经验分享模拟丢失手机后支付宝钱包的安全问题，看100个分享不如自己动手试一遍，因此小编就踏上了测试之路。相关测试操作截至时间为3月21日。必须要说的几个假设：手机丢失情境假设：非恶意盗窃，也就是常规的外出被盗窃情形。蓄意盗取身份证、手机、银行卡号和密码等完整信息的情形不在讨论范围内。盗取手机的人具有普通民众应具备的网络技术知识，而不是黑客或极客。必须要介绍的小编手机的一些情况：l 智能手机，非IPHONE 5S，无指纹密码l 未设置SIM卡的PIN码，设置了开机手势l 支付宝钱包APP：实名认证用户，手机号为登录名，设置了手势密码l 支账户内有两位数余额，余额宝内有一小笔理财资金l 测试用的电脑，非小编安装了数字证书的电脑 当手机丢失时，甚至手机和钱包、身份证一起丢失时，大家最担心的应该是余额宝里的资金，还有快捷支付绑定的银行卡内的资金。&当手机丢失、且机主未对SIM卡进行挂失的情况下：关卡1：手机开机手势锁如果没有设置SIM卡PIN码，那么将SIM卡插入另一台手机可轻松实现跳过开机手势锁的问题。小编最近刚换过手机，在新手机上确实可重新设置开机手势锁。安全结论1、如未设置SIM卡PIN码，轻松破除&关卡2：支付宝钱包手势密码/登录密码 假设开通了手机号码用于登录，按以下步骤，在有机主身份证号码的前提下，可重新设置手势密码和登录密码。忘记手势密码-忘记登录密码-手机验证修改密码-输入身份证信息-重新设置登录密码。且可通过手机号和新的登录密码，登上网页版支付宝，获取该支付宝账号的邮箱用户名。 那么身份证信息如何获取呢？隐私信息泄露并被不法分子与您的手机号码完成匹配、利用一些客户端的安全漏洞、查询手机内部分APP留存的邮箱帐号信息并用其找回部分网站的密码，均可获得。 假设没有开通手机号码登陆，如果支付宝账户邮箱在手机邮箱/其他APP中有使用，仍可轻松获得支付宝登陆帐号。安全结论1、如果手机和身份证一起丢失，可成功登录支付宝钱包2、即使身份证未同手机一起丢失，仍可通过一定途径获取身份信息，成功登录支付宝钱包3、同时网络上密码和身份证号码遭泄露的情形很多，如登录密码/身份证号码遭泄露，且被不法分子成功与该手机达成匹配，即可实现登录&关卡3：支付宝钱包支付密码/手机支付密码【想从余额宝中盗取资金】从余额宝中取出资金，有转出到银行卡和转出到余额两种选择。转出到银行卡：作为支付宝实名认证客户，移动端是无法绑定其他人的银行卡的，因此绑定其他人的银行卡，并将余额转入该银行卡这条路不通。转出到余额：需要输入手机支付密码，如想重置该密码，需输入“支付宝支付密码”方可成功。非实名认证客户无法使用余额宝。【想转出支付宝账户余额】首先相信大部分人的支付宝账户余额并不高（如果高的话早转入余额宝去了）。而余额转出（提现）只能转到机主自己的储蓄卡中。如想消费，请见下一步。【通过消费/转账来使用余额宝、账户余额或快捷支付银行卡中的资金】消费/转账有：手机充值获利、转账给他人、给他人信用卡还款、生活缴费等情形，都需手机支付密码。综上所述，只要涉及资金的流通，支付宝都设置需要输入手机支付密码，并规定只有输入支付宝支付密码者方可修改手机支付密码，而不是简单的手机短信验证即可，这极大地提升了手机支付APP的安全性。但是，是否可以通过一些方法，去修改支付密码呢？在手机上有两种方式：1、短信+已存快捷卡 2、短信+安全保护问题。后者对方是无从知晓的，但对于前者，只要银行卡卡号和身份证号都泄露/遗失的话，也就是常见的整个钱包（含身份证）和手机一起丢失的情形，支付密码也就不保了。
找回支付密码的方式
选择用快捷卡信息找回
在电脑上，如果是未知支付宝账户，用手机登陆网页端支付宝账户的情况下，有三种方式。可用其中的“手机校验码+证件号码”法——需同时获得银行卡卡号和身份证号码。
在PC端找回密码的方式
选择用手机校验码和银行卡信息找回
&安全结论1、在手机和身份证一起丢失的基础上，如绑定的快捷支付银行卡也一起丢失或遭泄露，可在手机或电脑上成功修改支付密码2、可凭支付密码进行消费和转账给他人等动作，对账户余额和余额宝内金额进行使用&体验总结论当手机丢失后，在机主未对SIM卡进行挂失、未对支付宝账户进行冻结的情况下：1. 如果同时也丢失了银行卡、身份证，或仅仅是这些信息被泄露，那么支付宝钱包内的资金将有风险（损失在支付宝规定的单日最高转账上限范围内）。2. 如果单纯丢失了手机，则无安全问题。综上，总体来说，移动支付还是相对安全的。&当然，我们追求的是更安全。那么我们该如何保护自己呢？首先是在手机丢失前，我们要做好预防工作——保护性措施【手机和邮箱相关措施】1.
设置SIM卡的PIN码，防止别人更换SIM卡到其他手机，顺利破解开机手势（最有效）2. 设置复杂手机开机手势3. 不要把身份证和手机放一起4. 支付宝邮箱最好是独立的、不常用的邮箱，不要用于火车票订票网站等会有个人身份信息的APP的注册【支付宝钱包APP相关措施】1. 使用移动支付APP运营方提供的安全产品，提升账户安全等级，保障账户的资金安全2. 设置手势密码3. 设置手机短信校验码（保障网页端的安全）4.
取消用手机登录（PC端用邮箱登陆支付宝账户-账户设置-手机设置-解除绑定手机-重新添加绑定手机，这时手机号码仅用于短信校验，不能作为登陆密码了）5. 在网页端进行实名认证6.
最好能够与另一方（如夫妻）互相绑定对方的身份证，而不是自己的7.
另外还看到一名网友的神方法：绑定支付宝的是一个手机，登录支付宝的又是一个手机。绑定支付宝的那个手机不下载支付宝Aqq，常用来登录支付宝的手机号不是绑定的号码。但不是每个人都能做到的&其次在日常生活中我们要有自我安全保护意识——防范性措施1.
不要在手机里存身份证号、身份证照片、银行卡号相关的信息2.
不要在公共场合（如地铁）里玩手机或查支付宝钱包收益，手机/支付宝钱包的解锁密码容易被小偷看到，如找准机会偷走手机和钱包（含银行卡和身份证），资金安全就有风险了。3.
不要在公共场所输入支付密码4.
可考虑购买保险公司的支付账户损失险，来保障账户被盗风险5. 注意手机自身环境的安全性：定时杀毒；不要在手机上接收和安装任何不明应用软件，不要通过手机聊天接收和安装陌生文件，不要点击手机收到的陌生链接，更不要安装链接中的文件；注意钓鱼网站；另外不用非官方市场的 APP。&最后在丢失手机后我们要及时进行补救——补救性措施1、打电话给运营商，挂失SIM卡，让小偷手上的那张SIM卡失去通讯功能——这一招已经非常有效了，且在现代人平均每10分钟看1次智能手机的背景下，相信发现手机丢失的时间差也会比较小2、打电话给支付宝客服，冻结支付宝账户，这步是很有必要的，如同您在丢失银行卡后进行挂失一样有网友致电支付宝客服后，关闭了余额支付功能，并告知客服手机处于丢失状态。这样的电话操作是需要验证身份证等一些必要的信息，如继续开启该功能也必须打客服电话验证一些信息，仅凭手机是根本无法开启的。&此外，作为服务提供方，移动支付运营商也可以从自身出发做一些改变，以提高安全性，小编的具体想法如下：l 如果能够设置每次修改登录密码和支付密码，每个修改渠道都必须回答安全保护问题，那么安全性将大大地提高l 相信支付宝的安全管理员一定在做的，根据用户不同行为，判定其操作行为是否恶意，并进行封锁账户以及多重验证等措施。但忍不住吐槽一句，小编为了测试支付宝钱包的安全性，这两天一直在各种渠道（非常用电脑）尝试找回密码，小二咋就没发现并进行风险干预呢？l 建立有效的赔付机制，目前支付宝账户提供余额（含余额宝）保障服务，详细研究条例发现：支付宝账户被盗前已通过了支付宝认可的实名认证，已正确使用支付宝的安全产品（包括支付盾、宝令（手机版）、宝令、数字证书、短信校验服务）或绑定了本人的手机号码，主要不是被诈骗、被钓鱼、主动告知等情况，就可赔付。不过，以上关于运营商的想法可能与运营商满足客户利益需求、使用便捷度、体验良好性的需要存在矛盾，因此最终会发生怎样的改变也是仁者见仁智者见智的结果，小编这里也只能根据自己的情况做出选择。在此，小编还是要提醒用户一句，移动支付是手机病毒集中进攻的方向，最主要的功能就是拦截你的短信到指定号码，截获支付校验短信、重置各种密码，安装各种安全证书，带来很大的安全隐患。小编身边就有手机中木马后，被窃取、篡改短信内容的案例，不过因发现及时，未造成实质性的损失。因此，安全与便捷如何抉择，我们需要稍稍地深入考虑一下。