余额宝(支付宝)不安全
首先声明我不是专门来黑余额宝的,我也是它的用户,刚注册没几天,这是我这几天用下来的真实感受.
哪里不安全?
忘记登录密码的密码取回操作!!!
这不是我一个人的观点,很多人都提到过,而且确实出过事
http://tech.ifeng.com/internet/detail_2014_01/26/33389844_0.shtml
可以自己去看
那么怎么个不安全法的?
假设我是要盗取支付宝的犯罪分子,我会怎么做呢?
一.通过某个渠道获得包含了手机号和身份证信息的个人信息
这个很容易,我们早已从"第一次接到陌生电话,对方准确的说出你的姓名"时的惊讶,
到现在的见怪不怪了.说明个人信息泄露已经很普遍.
二.利用支付宝的密码取回操作,从中过滤出支付宝帐号
1.去支付宝登录页面,点击"忘记登录密码"
2.输入手机号和验证码
如果该手机号不是支付宝的帐户,那么会显示"该帐户没有注册"
如果该手机号是支付宝的帐户,那么会要求选择验证方法
3.选择"手机号+证件号"的验证方法,进入验证页面
4.我不会点击"发送验证码",那样会打草惊蛇
在证件号输入框里,随便打个字母,会出现一个提示框,
显示的是证件号的第一位和最后一位,中间都是"*"
5.与我拿到的身份证号进行比对,如果这2位号码一致,那么就是目标了
PS:现在余额宝的用户已经8000万了,中国的手机用户12亿不到,
每15个手机用户里就有1个在使用余额宝,
用上面的方法能够过滤出帐号的概率非常大
三.取得对该手机的控制权
办张假身份证...我就不说了,都懂得
现在,我有了手机的控制权,也知道了证件号(这个证件号是正确的概率很大),
可以轻松的重置登录密码,从而获得对整个帐号的控制权!!!
看到这里有没有冒冷汗啊
如此大的隐患,事发到现在已经要2个月了,支付宝方面却没有任何改进.
支付宝方面的逻辑是这样的:
我的手机掉了,随机被某人检到,此人正好也知道我的身份证号的概率是很小的,
所以"手机号+证件号"的验证足够了.
这样想没错,但没有考虑我以上说的这种情况,而正是这种情况危害要大得多,
用户几乎没有反应时间.
要改进也是很容易的,不是有个邮箱账号吗,利用它就行了.
在"手机号+证件号"验证通过后,往这个邮箱里发mail,
让用户登录邮箱通过这封mail来改登录密码。
很简单吧,技术上也很容易实现,而且"密码找回"使用的频率很低,多一个步骤用户不会感到不便。
但安全性会大幅提高
1.用户可以新建个邮箱作为支付宝帐户,由于是新建的,它不会出现在你以往的任何个人信息里
知道它就是支付宝帐户的只有用户自己和支付宝。
2.如果很不幸,支付宝又发生了信息泄露的事,那也没关系,因为支付宝不知道这个邮箱的密码,
想泄露都没门,犯罪分子还是控制不了这个邮箱,用户如果对支付宝泄露了信息担心,
只要再注册个邮箱绑上去就行了。
PS:在这个邮箱的安全设置里,不要设手机号码或设置其它的手机号码.
我写这些也是希望引起大家的重视,多向支付宝反映,引起他们重视尽快改进。
我本来也想把银行的钱都放进去的,现在的理财产品收益低啊,
这几天就是在评估是否安全,发现这么大个隐患,害得我都不敢动了,
悲催阿。。。
版权声明:
作者:admin
链接:https://www.6705.com.cn/2024/10/30/yuebaozhifubaobuanquan/
来源:6705 – 生活资讯
文章版权归作者所有,未经允许请勿转载。
共有 0 条评论