这是一个创建于 3923 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是前些天偶然发现用自己手机上的支付宝钱包,通过输入账号和登录密码登录家里人的支付宝账号后,只要知道支付密码就可以将余额宝中的款项转走(所涉款项为300元)。
整个过程中家里人开通了短信校验的手机都没有收到任何校验短信,也没有收到资金变动提醒,仅仅是收到了一个从其他设备登录的提示,点开提示后发现反倒是此手机上的支付宝账号被登出了。
后来又在其他手机上尝试,也成功转走了款项(试验款项都在100元以下)。
查询支付宝官网发现有这么一说:
开通短信校验服务后,当你在电脑上用余额(含余额宝)和快捷支付时,支付宝会向你发送手机校验码(当你用手机客户端付款时无需校验)。
感觉这么做虽然方便了手机客户端正常状况下的使用,却削弱了类似两步验证式的安全性,甚至使得短信校验服务本身在很大程度上失去了意义:若登录密码和支付密码泄露,他人可通过移动端转走款项,绕开有短信校验的桌面端。
不知大家怎么看 @@
 | 1 paw 2015 年 7 月 29 日 估计还会考虑到登录地点、收款人来往等吧 就像QQ可以设定某个城市不用二次验证 |
 | 2 imn1 2015 年 7 月 29 日 你两个手机都在同一个 wifi 下?这个被“视为同一设备”可能性最大 |
 | 4 em70 2015 年 7 月 29 日 via Android 只要手机不掉,万事都好说 |
 | 5 akira 2015 年 7 月 29 日 个人理解:既然你已经是用手机登陆支付了,一般来说,这个手机和你登记的就是同一台手机,这个时候,短信验证也就没有太大意义了。 |
 | 6 liujiantao 2015 年 7 月 29 日 支付宝拥有大数据风控,同时校验各种有关安全的东西,我一直搞不清楚,支付宝你点开就获取摄像头权限是为什么,应该也跟风控有关 |
 | 7 processzzp 2015 年 7 月 29 日 @em70 然而现在社会掉个手机并不难,就算不掉被家长/同事/女友翻一下的可能性也很大。 然并卵,反正支付宝又不是第一次被喷了,屁股决定脑袋。 |
 | 8 ipconfiger 2015 年 7 月 29 日 傻啊,手机都在别人手里了,验证短信不一样看到了,要这步有个屁用 |
 | 9 Sephinroth OP |
Select Language