新闻链接：http://www.cq.xinhuanet.com/2014-03/03/c_119576615.htm
新闻时间：2014年03月03日 10:39:25
新闻正文： 网络近日流传一则“支付宝惊悚实验”引起广泛关注。实验者称手机丢失后，捡到手机的人可仅通过一个手机验证码就轻松找回支付宝密码，如果账号还跟银行卡绑定，那么里面资金可以被盗取。
    近日，央视《经济半小时》通过镜头给全国人民做了一次现场真实测试，并得出结论：支付宝完全有保障，即使手机丢失，别人也无法从这台手机上盗取资金。
    重设登录密码需要身份证验证
    为证实“支付宝惊悚实验”的可信度，央视记者专程从国内最专业的网络安全公司里请来一位安全研究员，后者假设捡到记者装有支付宝钱包的手机，然后开始对手机支付宝钱包进行资金盗取。
    打开支付宝钱包，研究员马上遇到支付宝钱包设有的第一道安全屏障———图形锁定功能界面，需手设密码或重新登录才能进入，研究人员既没手设密码，又不知道账户登录密码，只能选择“忘记密码”，希望通过重设登录密码功能进入支付宝账户。
    进入重设登录密码界面，第一步系统要求输入支付宝账户名和手机短信验证码，刚好记者手机号就是账户号，短信验证码也会发到记者这个手机上，因此就可通过这一步。但下一步，系统要求研究人员输入支付宝账户主人的身份证号，研究人员没有记者的身份证，支付宝的登录密码也无法修改。在实现中，若未获得正确身份证号码，盗窃者就止步于此了。
    修改支付密码可能性几乎为零
    为了进一步测试，记者假定手机获得者能得到身份证信息，在修改登录密码后，研究人员成功登录这台手机上的支付宝。接下来，研究人员就尝试对这个账户做资金转出、转入操作。
    由于研究人员不知道支付密码，同样只能通过密码找回功能破解。支付密码找回有两种方式：一种是通过短信校验码，加上安保问题；另一种就是短信校验码，加上快捷支付的银行卡信息。
    研究人员选第一种。短信校验码很容易解决，验证码本身就会发到这个本机手机上。但得到验证码之后，还要正确填写安保问题，通常这个问题是手机用户个性设定，比如手机用户妈妈的名字，而这样私密的问题，捡手机的人不可能知道。这也就是说修改支付密码的可能性几乎为零。
    重庆晚报记者 万里

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)