支付寶密碼難破解：僅靠校驗碼不會成功

昨天，一則“手機丟失？你的支付寶就完了！”的帖子在微博上瘋轉。該帖稱，手機丟失后被他人拾獲，隻利用手機校驗碼等手段，支付密碼將被破解。支付寶於昨天下午回應稱支付寶安全沒有問題。《法制晚報》記者對網傳內容進行實驗發現，網傳帖子並不靠譜。

記者使用他人的支付寶賬號和未登錄過支付寶賬號的電腦實驗，頁面提示需輸入身份証號(網頁截圖)

網傳“手機丟失后支付寶易被盜” 記者實驗發現電腦和手機客戶端都需輸入身份証號——

靠校驗碼 盜不了支付寶

除了手機校驗碼，獲取支付寶密碼還需知曉機主的身份証號。如果不是知曉機主身份証號的“熟人”，將無法提取支付寶錢財。

事件

手機校驗碼

破解支付寶密碼？

這條微博稱，如果支付寶關聯了銀行卡，手機丟了后，撿到手機的人隻需通過手機校驗碼，就能獲取登錄密碼、解除移動數字証書認証並獲得支付密碼。

對此，支付寶昨天下午4時許，通過官微發出一條落款為“小微金融服務集團首席風險官胡曉明”的長微博。

胡曉明表示，“如果真有別人撿到你的手機，想在別的電腦上找回你的支付寶密碼，他一定需要‘手機校驗碼+身份証信息’等更高安全級別的校驗，絕對不可能僅通過一個手機校驗碼就找回你的密碼。”

實驗

步驟1：嘗試電腦破解密碼

記者按照網傳帖子所述，在非記者本人的電腦上登錄支付寶。點擊“忘記密碼”，進入的頁面要求輸入手機號和電腦校驗碼，輸入后出現“手機校驗碼+身份証號驗証”和“人工驗証”兩個選項。記者點擊前者，進入頁面后發現，不僅需要輸入手機校驗碼，而且還要輸入身份証號，如果不輸入身份証號，則無法點擊“下一步”。(如右圖)

步驟2：嘗試手機客戶端破解密碼

電腦上不輸身份証號無法繼續，在手機客戶端上，又是如何驗証的？記者在手機客戶端上，嘗試登錄支付寶，首先要輸入手勢密碼。記者選擇“忘記手勢密碼”，頁面彈出“需要重新登錄”對話框。

記者點擊后，出現賬號登錄頁面，需輸入登錄密碼，記者選擇“忘記登錄密碼”，頁面給出了三個選項找回密碼：“手機校驗碼+証件號碼的方式”、“通過安全保護問題”、“通過人工服務”。而網傳帖子中隻出現“手機校驗碼”方式，而並非記者體驗中給出的三個選項。

步驟3：嘗試驗証身份信息

記者選擇第一個選項后，手機的確收到一條有6位數字校驗碼的短信，輸入校驗碼后點擊下一步，進入“找回密碼”頁面，此時，要求填寫身份証號碼。

可見，如果不知道機主身份証號，操作將無法繼續，網傳帖子的其余步驟也無法進行。

步驟4：

嘗試支付寶在未綁定手機的情況下破解密碼

記者更換一部手機，且解除支付寶賬號的手機綁定，重復步驟1、2。記者在選擇“忘記登錄密碼”后，頁面提示需要到網頁版的支付寶上繼續后續步驟，並且依然需要身份証號等信息，依然無法獲取密碼。

實驗結果：手機丟失后，如果不是知曉失主身份証號碼的“熟人”，陌生人拾獲手機后，造成支付寶賬戶資金被盜的可能性極小。

針對網傳的支付寶風險，胡曉明稱，最大的問題是木馬病毒釣魚網站，尤其是手機上，99%的被盜跟此相關，其余是用戶被騙，而不是因為丟失手機。

據360手機衛士檢測， 2013年新增手機木馬數約67.1萬個，比2012年增長了4.4倍。2013年全年共監測到Android用戶感染惡意程序9747萬人次，較2012年全年的5175萬人次增長了88.3%。

為了確保安全，支付寶稱，手機丟失之后，應該第一時間打電話給手機運營商挂失SIM卡，以防被用於其他用途﹔其次如果有銀行卡、支付寶等的綁定，也應該及時打電話給上述服務商，進行相關業務的凍結。還可以用電腦登錄支付寶賬戶，關閉無線支付開關，這樣手機、iPad等無線終端設備的支付功能將全部關閉。文/記者 平影影 易朵