余额宝(支付宝)不安全

　　首先声明我不是专门来黑余额宝的,我也是它的用户,刚注册没几天,这是我这几天用下来的真实感受.
　　哪里不安全?
　　忘记登录密码的密码取回操作!!!
　　这不是我一个人的观点,很多人都提到过,而且确实出过事
　　http://tech.ifeng.com/internet/detail_2014_01/26/33389844_0.shtml
　　可以自己去看
　　那么怎么个不安全法的?
　　假设我是要盗取支付宝的犯罪分子,我会怎么做呢?
　　一.通过某个渠道获得包含了手机号和身份证信息的个人信息
　　这个很容易,我们早已从"第一次接到陌生电话,对方准确的说出你的姓名"时的惊讶,
　　到现在的见怪不怪了.说明个人信息泄露已经很普遍.
　　二.利用支付宝的密码取回操作,从中过滤出支付宝帐号
　　1.去支付宝登录页面,点击"忘记登录密码"
　　2.输入手机号和验证码
　　如果该手机号不是支付宝的帐户,那么会显示"该帐户没有注册"
　　如果该手机号是支付宝的帐户,那么会要求选择验证方法
　　3.选择"手机号+证件号"的验证方法,进入验证页面
　　4.我不会点击"发送验证码",那样会打草惊蛇
　　在证件号输入框里,随便打个字母,会出现一个提示框,
　　显示的是证件号的第一位和最后一位,中间都是"*"
　　5.与我拿到的身份证号进行比对,如果这2位号码一致,那么就是目标了
　　PS:现在余额宝的用户已经8000万了,中国的手机用户12亿不到,
　　每15个手机用户里就有1个在使用余额宝,
　　用上面的方法能够过滤出帐号的概率非常大
　　三.取得对该手机的控制权
　　办张假身份证...我就不说了,都懂得
　　现在,我有了手机的控制权,也知道了证件号（这个证件号是正确的概率很大）,
　　可以轻松的重置登录密码,从而获得对整个帐号的控制权!!!
　　看到这里有没有冒冷汗啊
　　如此大的隐患,事发到现在已经要2个月了,支付宝方面却没有任何改进.
　　支付宝方面的逻辑是这样的:
　　我的手机掉了,随机被某人检到,此人正好也知道我的身份证号的概率是很小的,
　　所以"手机号+证件号"的验证足够了.
　　这样想没错,但没有考虑我以上说的这种情况,而正是这种情况危害要大得多,
　　用户几乎没有反应时间.
　　要改进也是很容易的,不是有个邮箱账号吗,利用它就行了.
　　在"手机号+证件号"验证通过后,往这个邮箱里发mail,
　　让用户登录邮箱通过这封mail来改登录密码。
　　很简单吧，技术上也很容易实现,而且"密码找回"使用的频率很低,多一个步骤用户不会感到不便。
　　但安全性会大幅提高
　　1.用户可以新建个邮箱作为支付宝帐户，由于是新建的，它不会出现在你以往的任何个人信息里
　　知道它就是支付宝帐户的只有用户自己和支付宝。
　　2.如果很不幸，支付宝又发生了信息泄露的事，那也没关系，因为支付宝不知道这个邮箱的密码，
　　想泄露都没门，犯罪分子还是控制不了这个邮箱，用户如果对支付宝泄露了信息担心，
　　只要再注册个邮箱绑上去就行了。
　　PS:在这个邮箱的安全设置里，不要设手机号码或设置其它的手机号码.
　　我写这些也是希望引起大家的重视,多向支付宝反映，引起他们重视尽快改进。
　　我本来也想把银行的钱都放进去的,现在的理财产品收益低啊，
　　这几天就是在评估是否安全，发现这么大个隐患，害得我都不敢动了，
　　悲催阿。。。

http://m.lifang521.com/tag/77993/