close
企業趨勢資訊保安

支付寶「忘記密碼」被指驗證粗疏 帳戶密碼可遭他人隨意竄改

日前有大陸網民指,由於支付寶「忘記密碼」的驗證問題過於簡單,只需點選認識的人和購買過的商品便可通過,使別人可輕易竄改密碼。支付寶其後指,這方式「僅在特定情況下才會有效」,收到網友反映後已進一步提高風控系統的安全等級。

 

大陸網民稱,在支付寶手機程式中點選忘記密碼,再點選無法接收短訊後,便可透過其他驗證方式取回密碼,但該些方式過於簡單,只需點選認識的人和購買過的商品便可重設密碼。大陸科技媒體如《FreeBuf》和《愛范兒》測試過均發現,部分帳戶的密碼可被竄改。

支付寶其後表示:

「這一方式僅在特定情況下才會有效。通常情況下,用戶找回登錄密碼至少需要輸入手機短訊驗證碼。對於部分暫時無法收到短訊的用戶或者更換行動裝置的用戶,我們的風控系統會先進行評估(比如帳號資訊完整程度、網路環境等因素)。在安全係數較高的情況下,才讓用戶回答一系列安全問題,只有在回答正確後,才能修改登錄密碼。

這一策略只能找回登錄密碼,僅透過回答安全問題並無法找回支付密碼。且一旦用戶支付寶在其他裝置被登錄,本人裝置會收到通知提醒。

為了更好提升用戶的安全感,在接到網友反映後,我們於 10 日上午進一步提高了風控系統的安全等級。目前僅在用戶自己的手機上,才能透過辨識近期購買商品以及辨識本人好友來找回登錄密碼,透過其他手機裝置是無法用這一方式找回登錄密碼的。」

 

Tags : Alipay
Dennis Ma

The author Dennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。