这是一个创建于 3397 天前的主题,其中的信息可能已经有所发展或是发生改变。
起因是前些天偶然发现用自己手机上的支付宝钱包,通过输入账号和登录密码登录家里人的支付宝账号后,只要知道支付密码就可以将余额宝中的款项转走(所涉款项为300元)。
整个过程中家里人开通了短信校验的手机都没有收到任何校验短信,也没有收到资金变动提醒,仅仅是收到了一个从其他设备登录的提示,点开提示后发现反倒是此手机上的支付宝账号被登出了。
后来又在其他手机上尝试,也成功转走了款项(试验款项都在100元以下)。
查询支付宝官网发现有这么一说:
开通短信校验服务后,当你在电脑上用余额(含余额宝)和快捷支付时,支付宝会向你发送手机校验码(当你用手机客户端付款时无需校验)。
感觉这么做虽然方便了手机客户端正常状况下的使用,却削弱了类似两步验证式的安全性,甚至使得短信校验服务本身在很大程度上失去了意义:若登录密码和支付密码泄露,他人可通过移动端转走款项,绕开有短信校验的桌面端。
不知大家怎么看 @@
 |
1
paw 2015-07-29 18:33:01 +08:00
估计还会考虑到登录地点、收款人来往等吧
就像QQ可以设定某个城市不用二次验证 |
 |
2
imn1 2015-07-29 19:06:01 +08:00
你两个手机都在同一个 wifi 下?这个被“视为同一设备”可能性最大
|
 |
4
em70 2015-07-29 19:20:36 +08:00 via Android
只要手机不掉,万事都好说
|
 |
5
akira 2015-07-29 19:52:04 +08:00
个人理解:既然你已经是用手机登陆支付了,一般来说,这个手机和你登记的就是同一台手机,这个时候,短信验证也就没有太大意义了。
|
 |
6
liujiantao 2015-07-29 20:04:07 +08:00
支付宝拥有大数据风控,同时校验各种有关安全的东西,我一直搞不清楚,支付宝你点开就获取摄像头权限是为什么,应该也跟风控有关
|
 |
7
processzzp 2015-07-29 20:20:18 +08:00
@em70 然而现在社会掉个手机并不难,就算不掉被家长/同事/女友翻一下的可能性也很大。
然并卵,反正支付宝又不是第一次被喷了,屁股决定脑袋。 |
 |
8
ipconfiger 2015-07-29 20:23:49 +08:00
傻啊,手机都在别人手里了,验证短信不一样看到了,要这步有个屁用
|
 |
9
Sephinroth OP |
Select Language