“只要知道你支付寶里的好友，或者你最近在淘寶買(mǎi)了什么，就能隨意更改你的支付寶登錄密碼?！弊蛉?，一則名為《網(wǎng)曝支付寶新漏洞：熟人可100%登錄篡改你支付寶密碼》的報(bào)道，在各大論壇上引爆關(guān)注度。熟人，在這一瞬間似乎變成了帶有“馬賽克”的黑衣人，讓所有支付寶使用者惴惴不安。不過(guò)，在此問(wèn)題曝出之后，支付寶隨即提高安全等級(jí)。但是一場(chǎng)安全性與便捷性平衡的話(huà)題，再度被推上了輿論的制高點(diǎn)。

網(wǎng)曝 登錄密碼被疑熟人可改

據(jù)此前媒體報(bào)道稱(chēng)，支付寶存在一個(gè)致命漏洞，即他人可以通過(guò)支付寶的“找回密碼”重置你的支付寶登錄密碼，并表示“陌生人有1/5的機(jī)會(huì)登錄你的支付寶，而熟人甚至100%可以登錄你的支付寶”。

實(shí)際上，在新設(shè)備上登錄支付寶時(shí)，通常需要用戶(hù)重新輸入密碼才能進(jìn)入支付寶。不過(guò)，在輸入密碼時(shí)，密碼框下有一個(gè)“找回密碼”的按鈕。點(diǎn)擊按鈕之后，支付寶提供多種找回密碼的方式，除了發(fā)送手機(jī)驗(yàn)證碼之外，還有識(shí)別最近購(gòu)買(mǎi)的東西或識(shí)別好友、回答安全性問(wèn)題等選項(xiàng)。而后兩者則主要是在“無(wú)法收到手機(jī)短信”的前提下進(jìn)行的。

也就是說(shuō)，如果別人知道最近你的購(gòu)買(mǎi)記錄、知道你的好友是誰(shuí)，或者你設(shè)置的問(wèn)題別人全部知道，就有可能通過(guò)這樣的設(shè)定來(lái)修改支付寶的登錄密碼。

回應(yīng) 支付寶迅速提高安全等級(jí)

對(duì)此，支付寶負(fù)責(zé)人向北京晨報(bào)記者回應(yīng)，這一方式僅在特定情況下才會(huì)實(shí)現(xiàn)，這一策略只能找回登錄密碼，僅通過(guò)回答安全問(wèn)題并無(wú)法找回支付密碼，不能完成支付。而所謂的特定條件，是支付寶會(huì)先對(duì)網(wǎng)絡(luò)環(huán)境、賬戶(hù)信息完整程度等進(jìn)行評(píng)估，安全系數(shù)高的情況下才會(huì)啟動(dòng)。且一旦用戶(hù)支付寶在其他設(shè)備被登錄，本人設(shè)備會(huì)收到通知提醒。

不過(guò)，盡管對(duì)于自身安全體系信心滿(mǎn)滿(mǎn)，支付寶還是在昨日上午就提高了安全等級(jí)。目前僅在用戶(hù)自己的手機(jī)上，才能通過(guò)識(shí)別近期購(gòu)買(mǎi)商品以及識(shí)別本人好友來(lái)找回登錄密碼，通過(guò)其他手機(jī)設(shè)備是無(wú)法應(yīng)用這一方式找回登錄密碼的。

進(jìn)展 暫無(wú)因此失竊案例

支付寶表示，目前暫時(shí)還未收到因此而失竊的案例。那么支付寶安全事件又是否存在足以“致命”的隱患？

一位支付安全領(lǐng)域資深人士向北京晨報(bào)記者表示，如果這些信息別人都知道，的確有被盜的可能性。但他對(duì)于報(bào)道中所提及盜用數(shù)據(jù)有所質(zhì)疑，他認(rèn)為這還需要進(jìn)一步的論證才能評(píng)判?！皬囊酝谋I刷案件來(lái)講，實(shí)行詐騙的往往會(huì)隱匿身份，熟人詐騙的可能性相對(duì)較低?！?/p>

在他看來(lái)，這樣的問(wèn)題是否“致命”，也要看在登錄后是否擁有動(dòng)用資金的權(quán)限。也就是說(shuō)，如果登錄之后可以大規(guī)模挪用資金，那么其安全風(fēng)險(xiǎn)就相當(dāng)巨大。

對(duì)此支付寶表示，支付寶有兩套密碼體系，找回登錄密碼并不意味著能夠找回支付密碼。而在新設(shè)備登錄后，即便是小額免密環(huán)節(jié)，也需要重新輸入支付密碼才能夠繼續(xù)使用。

分析 隱私保護(hù)不夠致恐慌

既然并非是“致命”漏洞，為何還會(huì)引起如此巨大的社會(huì)關(guān)注？

支付安全領(lǐng)域資深人士表示，這可能源于原本“一對(duì)一”的認(rèn)證信息被泛化了，所以引發(fā)了用戶(hù)的不安?！氨热缑艽a或者手機(jī)驗(yàn)證信息，只有用戶(hù)知道。但你購(gòu)買(mǎi)了什么東西，或者你的好友有誰(shuí)，很可能在不經(jīng)意間將信息共享給了別人?！痹撡Y深人士解釋道，知道答案的人不唯一，就出現(xiàn)了上述問(wèn)題。

不過(guò)，在上海交通大學(xué)密碼與計(jì)算機(jī)安全實(shí)驗(yàn)室主任谷大武看來(lái)，支付安全應(yīng)該是“安全”與“隱私”并重，但往往在當(dāng)下用戶(hù)對(duì)于后者并不重視。“中國(guó)用戶(hù)對(duì)于自己消費(fèi)信息等隱私的保護(hù)不夠，也造成了當(dāng)下的恐慌?！?/p>

谷大武認(rèn)為，其實(shí)這也是安全性與便捷性平衡的問(wèn)題。支付安全與便捷性是矛盾的，一味追求安全，則可能導(dǎo)致在真實(shí)場(chǎng)景下不可用；但便捷性則可能會(huì)讓安全性受損。而支付寶此次涉及到的內(nèi)容，很可能是源于便捷性的探索。

■鏈接

3年前數(shù)據(jù)還在黑市交易

網(wǎng)絡(luò)賬戶(hù)的安全挑戰(zhàn)來(lái)自于多個(gè)方面。比如，平臺(tái)本身設(shè)計(jì)存在漏洞，黑客攻擊，甚至安全軟件“監(jiān)守自盜”等。

針對(duì)出現(xiàn)在地下黑色產(chǎn)業(yè)鏈中采用黑客攻擊用戶(hù)賬戶(hù)、盜取用戶(hù)賬號(hào)資產(chǎn)和販賣(mài)用戶(hù)信息等不法行為，很多互聯(lián)網(wǎng)公司都與警方建立了長(zhǎng)效的合作機(jī)制。然而，數(shù)據(jù)被不斷地在黑市交易，讓賬戶(hù)風(fēng)險(xiǎn)陰魂不散。

“不管什么原因，信息一旦泄露，就像撕開(kāi)了一個(gè)口子。進(jìn)入地下黑色產(chǎn)業(yè)鏈后，更可能被多次販賣(mài)。也就是說(shuō)三四年前泄露的數(shù)據(jù)，可能現(xiàn)在還在賣(mài)?！币晃浑娚倘耸肯蛴浾弑硎?。

在大部分?jǐn)?shù)據(jù)外泄后，黑客會(huì)先進(jìn)行洗庫(kù),登錄賬戶(hù)將有價(jià)值的內(nèi)容清洗一遍，比如登錄游戲賬戶(hù)將虛擬幣轉(zhuǎn)走，或?qū)Q號(hào)倒賣(mài)。第二次“洗”是對(duì)于個(gè)人信息的收集，有些賬戶(hù)可能包括個(gè)人信息內(nèi)容，這些會(huì)賣(mài)給那些需要的人；第三次“洗”是關(guān)聯(lián)手機(jī)號(hào)的信息，賣(mài)給轉(zhuǎn)發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價(jià)值為止，才會(huì)將數(shù)據(jù)出售。

在“黑市”，用戶(hù)的數(shù)據(jù)被“明碼標(biāo)價(jià)”。據(jù)媒體報(bào)道，比如12G的數(shù)據(jù)包價(jià)格從“10萬(wàn)到70萬(wàn)”不等，每位用戶(hù)的個(gè)人敏感信息平均只值1分錢(qián)。

提醒

遇到泄露的情況要立即修改賬號(hào)密碼；

支付賬號(hào)、社交賬號(hào)、常用郵箱、網(wǎng)絡(luò)購(gòu)物這些網(wǎng)站要單獨(dú)設(shè)置密碼；

不要在不常用的、安全系數(shù)較低的網(wǎng)站設(shè)置與自己主要網(wǎng)站賬號(hào)相同的密碼；

接到陌生人或者客服電話(huà)不要輕信；

每隔三個(gè)月就要對(duì)密碼進(jìn)行一次修改，防止黑客撞庫(kù)等。

■記者手記

糾結(jié)“證明我是我”

不如完善追回機(jī)制

網(wǎng)上對(duì)于支付寶安全性的質(zhì)疑，說(shuō)得高端一些是“認(rèn)證核實(shí)”的問(wèn)題，但說(shuō)通俗一些，又是那個(gè)老生常談的“如何證明我是我”的問(wèn)題，只不過(guò)這次是在網(wǎng)上。

其實(shí)，這在互聯(lián)網(wǎng)金融安全領(lǐng)域而言是個(gè)難題：在信息泄露嚴(yán)重的時(shí)代，在線(xiàn)下都很難證明的事情，搬到網(wǎng)上去證明，難度可想而知。但這又是個(gè)不得不做的事情，畢竟真實(shí)“忘記密碼”的需求還是存在的。

誠(chéng)如谷大武所言，支付安全與便捷性是天生矛盾的。在當(dāng)下，除了運(yùn)用可信的第三方（如通過(guò)電信公司發(fā)送短信驗(yàn)證碼）之外，似乎并沒(méi)有太多技術(shù)可用。當(dāng)然，谷大武也表示，如果未來(lái)電子身份證得以普及，可能將是解決這個(gè)問(wèn)題的鑰匙，但這是后話(huà)。

其實(shí)與其糾結(jié)如何在網(wǎng)絡(luò)上證明“我就是我”，不如轉(zhuǎn)換一種思路。實(shí)際上，放眼海外，很多人使用信用卡并不設(shè)置密碼。當(dāng)然，銀行卡現(xiàn)在以IC卡芯片為主，其不可復(fù)制性自身就已經(jīng)在事前形成一道安全壁壘。但如果發(fā)生盜刷，其事后完善的追回機(jī)制，也讓持卡人更加放心地使用。

如果放在互聯(lián)網(wǎng)支付時(shí)代，這無(wú)疑是個(gè)極好的事例。在一筆交易發(fā)生前，現(xiàn)在已經(jīng)擁有了密碼等安全措施作為保障。而交易過(guò)程中，互聯(lián)網(wǎng)平臺(tái)是否能夠及時(shí)監(jiān)控風(fēng)險(xiǎn)和異常，比如銀聯(lián)在免密時(shí)設(shè)置了“商鋪白名單”，從而阻絕可能發(fā)生的盜刷情況；交易結(jié)束后，如果發(fā)生盜刷情況，是否有完備的追回機(jī)制和賠償手段，比如說(shuō)支付寶的盜刷險(xiǎn)等，都能夠促進(jìn)消費(fèi)者對(duì)于安全的認(rèn)可。

所以筆者認(rèn)為，在網(wǎng)上解決“證明我是我”的問(wèn)題，不僅需要金融基礎(chǔ)設(shè)施建設(shè)的進(jìn)一步加快，也需要支付企業(yè)真正形成可行優(yōu)質(zhì)的事前、事中、事后可追溯的機(jī)制，才能更好地解決安全與便捷性之間的問(wèn)題。

本版撰文 北京晨報(bào)記者 姜樊 劉映花