支付宝现安全漏洞?官方称已升级风控系统

中国经济新闻网 2017-01-12 14:55:15

  近日,一则关于“熟人可以篡改你支付宝密码”的消息在网络流传。有网友表示,只要登录他人的支付宝账号,选择“忘记密码”,就可以通过安全问题验证(识别近期购买物品或好友)找回密码,从而登录别人的支付宝账号。支付宝回应,在接到网友反映后,已对风控系统的安全等级进行了升级。

  支付宝在接受采访时表示,熟人篡改密码这一策略只能找回登录密码,仅通过回答安全问题并无法找回支付密码,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。

  支付宝同时表示,在接到网友反映后,支付宝立即对风控系统的安全等级进行了提升。目前,仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。

  通常情况下,用户找回登录密码至少需要输入手机短信验证码,只有对于部分暂时无法收到短信的用户或者更换移动设备的用户,风控系统才会先进行评估(比如账户信息完整程度、网络环境等因素),并在安全系数较高的情况下,让用户回答一系列安全问题,而且只有在回答正确后,才能修改登录密码。此外,支付宝密码分为登录密码和支付密码,就算登录密码被重置,支付密码也不会受到影响,用户资金安全还是可以得到保障。

  上海交通大学密码与计算机安全实验室(LoCCS)安全研究团队通过该问题进行全面安全测试,指出基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面,但是攻击者的攻击窗口受到实际情况限制较大,且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制,因此很多现有评估对安全威胁夸大描述。

来源:证券时报 作者:裴晨汐 编辑:高珂      
微信公众号

相关阅读

中国经济新闻网版权与免责声明:
    1、凡本网注明“中国经济新闻网”的所有作品,版权均属于中国经济新闻网,未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:中国经济新闻网”。违反上述声明者,中国经济新闻网将追究其相关法律责任。
    2、凡本网注明“来源:XXX(非中国经济新闻网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网转载其他媒体之稿件,意在为公众提供免费服务。如稿件版权单位或个人不想在本网发布,可与本网联系,本网视情况可立即将其撤除。
    3、如因作品内容、版权和其它问题需要同本网联系的,请在30日内进行。电话:(010)81785256
报纸订阅  关于我们  CET邮箱 
微信公众号
微信公众号
中国经济新闻网 版权所有 未经书面允许不得转载、复制或建立镜像
联系电话:(010)81785256 投稿邮箱:cesnew@163.com wlzx@cet.com.cn
中国经济时报社 地址:北京市昌平区平西府王府街 邮政编码:102209 电话:(010)81785188(总机) (010)81785188-5100(编辑部) (010)81785186(广告部) (010)81785178(发行部) 传真:(010)81785121 电邮:info@cet.com.cn 站点地图 Copyright 2011 www.cet.com.cn. All Rights Reserved
举报
不良信息举报中心
京ICP备07019363号-1       京公网安备110114001037号