你的手机支付安全吗？

　　随着移动互联的发展，移动支付成为了各大银行、第三方支付企业和移动运营商的下一个争夺热点。一个手机在手，就可以随时转账、交电话费、交水电费、还信用卡、坐出租车、买彩票，到便利店购物、吃饭AA……加载越来越多功能的手机支付让生活变得越来越便捷的同时，我们也开始将越来越多的银行卡和信息绑定在手机支付端上。日前，一则关于手机丢失后支付宝轻易被“攻陷”的信息在互联网上流传，引起了不少用户的惊慌。加上此前微信盗号风险频出，支付宝和微信手机支付方便之余，到底是否安全引起了广泛热议。在便捷性与安全性上如何平衡，是将来移动支付商必须好好思考的问题。

　　案例

　　手机丢了支付宝账户轻易被盗？

　　“如果你的手机丢了，任何人仅凭借手机接收到的校验码就能找回你的支付宝密码，解除你的数字证书，盗空你的支付宝账户”，上周，一则关于支付宝丢失后如何被攻陷的“惊悚实验”帖子在微博和微信朋友圈引起了轰动。

　　根据帖子的攻略，若一部装有支付宝钱包的手机丢失，捡到手机的人可以使用支付宝PC短网页专供忘记密码时“找回密码”的服务，轻易通过手机验证码修改手机绑定的支付宝账号密码，从而成功突破密码障碍，顺利实现账户盗取和资金窃取行为。帖子称试验过此操作方式，支付宝钱包存在这一轻易突破的漏洞。“捡到他人手机后，任何人都可以仅通过取回密码的方式破解支付宝的登录和支付密码，从而盗走资金”。

　　不过，日前本报记者青紫尝试了一下支付宝手机钱包的找回密码功能。记者在网页支付宝上进行操作尝试，的确有提示“通过手机号码”找回密码的一项功能。不过，与网上帖子有所不同的是，当记者点进去之后，除了手机号码和手机验证码之外，系统设置中，取回密码还需要验证身份证信息，而并非只凭一个手机验证码就可以“打通关”。

　　记者在网上看到，一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作，发现果然通过一个手机校验码就成功了，而更多用户在测试过程中却发现，网帖声称的方式并不可行。

　　支付宝方面人士回应表示，“如果真有别人捡到你的手机，想在别的电脑上找回你的支付宝密码，他一定需要"手机校验码+身份证信息"等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回你的密码。”

　　分析

　　身份验证引发效率与安全的博弈

　　虽然并非如帖子所说的“手机校验证码是万能”的，但这样一个实验也确实使不少用户出了一身冷汗。业内人士表示，事实上对于第三方支付企业而言，只要在手机支付端多设几重验证“关卡”，就可以很好的防止手机丢失后账户被盗的风险，如预设的登录保密语句等，但行业大佬支付宝重点产品手机钱包为什么不多上几道锁呢？“在技术上这一点难度都没有，而且多设验证关也是不花成本的事情，但是第三方支付，尤其是手机支付注重的是综合体验，就是安全性和便捷性的平衡。我们测试过，事实上目前的支付宝出险率比例是非常低的。另外，一旦真的发生资金被盗，我们与保险（放心保）公司合作进行全额赔偿。因此用户不必过于担心。”

　　此前，阿里巴巴小微金融研究院院长房玄龄表示，支付宝目前资损率（支付过程中资金被盗损失的比率）为十万分之一，但在国际上，如paypal之类的网络支付，这一数据为0.3%“国内无论是银行或者是机构都可能有一些死账、坏账、呆账的问题，支付宝的业务有风险，但这个风险的概率是十万分之一，远低于日常碰到的问题或者是交通工具可能出现的问题。”支付宝相关负责人表示，“目前支付宝规模已经超过3万亿，没有这个数据谁也不敢承诺风险赔付。互联网是无孔不入，再厉害的银行都会出现“资损”，因此赔付是必须的。

　　据了解，整个公司有专职从事风险管理的人员400人左右，400个人里面，除了给用户一些安全管理的服务人员，有三分之一的人员专门从事技术挖掘、技术开发和分析人员。此外，有1100多台服务器专门负责安全交易检测和分析，服务器大概占整体服务器量的五分之一，也就是说切出了20%的资源放到了用户信息保护、检测和分析上面。

　　中国支付体系研究中心主任张宽海接受南方日报记者采访时表示，无论支付方式如何创新变革，保证资金安全永远应该是放在首位的。张宽海认为，如果支付方式的创新以牺牲安全性为代价，这样的“创新”对用户而言就没有实际意义。

　　深圳市圆融方德投资管理有限公司董事长冉兰也提出，对于移动支付来说，安全性是用户考量的首要标准。针对当前日趋明显的各自为战的局面，冉兰表示，“任何一个市场展开充分的竞争对于消费者来说都是好事”。但是，各自为战在实际上限制了用户使用的便捷性，在易迅买东西需要财付通的账号，淘宝上买东西要支付宝账号，在京东上买东西还要一个账号。这样的竞争对用户来说，便捷性和适用范围都大打折扣。