支付宝可信环境下可以任意修改可信用户的登录密码和支付密码

2015-07-10 10:15:27 +08:00
 qhwlpg

首先我好久登录支付宝,密码忘记了,选择密码找回,然后直接让我输入身份证就可以更改密码,不用手机短信验证码,顿感问题,就试了身边的小伙伴发现也可以这样!
http://7xka5f.com1.z0.glb.clouddn.com/1.png
http://7xka5f.com1.z0.glb.clouddn.com/2.png
然后发到群里询问更多的小伙伴,发现如果是支付宝好友有的也可以直接输入身份证更改密码,也可以是支付密码!
昨天提到阿里应急响应中心,说这个不算漏洞,
http://7xka5f.com1.z0.glb.clouddn.com/3.png
他这么一说,我就无力吐槽了,凭什么你认为你给我的可信用户名单在我认为就一定可信?!没有经过用户同意就通过大数据分析,划为相互可信?!就算这不可以批量攻击,不是漏洞,至少这件事情用户得有知情权,让用户决定自己的可信用户。各种改小伙伴的密码的姿势大家敬请尝试!

2565 次点击
所在节点    问与答
15 条回复
robinray
2015-07-10 10:32:28 +08:00
你换台电脑试试看看还能不能改
Havee
2015-07-10 11:06:55 +08:00
试了,不能
wkdhf233
2015-07-10 11:22:16 +08:00
想起了朱雀记里佛祖看破轮回,准备拉着全世界一起寂灭的埂
他的意思就是他能做到了而且觉得对所有人都好,就要不管所有人的意见强行拉着一起上

水果有指纹了也没见更新成不让我设置锁屏手势吧
We_Get
2015-07-10 11:35:05 +08:00
手机丢失掉之后,就呵呵了。身份证什么的在手机号码实名之后等同直接贴在手机号上了。
shaoshuang
2015-07-10 11:37:04 +08:00
你们一直都在自己拿着钥匙开自家门来说防盗薄弱的问题
如果真是这么简单,那支付宝整个安全部门可以集体开除回家了。
现在针对你拿手机时候的习惯手势(陀螺仪)、按键频率速度、触摸区域大小等都是有习惯和识别的
你们把支付宝的安全风控想的太简单了!
imn1
2015-07-10 12:09:06 +08:00
反正 可信设备===住户持有人 这个逻辑超级奇芭
imn1
2015-07-10 12:09:34 +08:00
@imn1
写错了,应该是账户持有人
imn1
2015-07-10 12:15:01 +08:00
哇靠,刚才没看图,看完后发现又一条业务逻辑错误
这样说,公司就可以随意修改(并控制)所有员工的密码了?入职基本都要给身份证的吧?
Halry
2015-07-10 12:15:19 +08:00
我都服了支付宝那奇葩的流程
honeycomb
2015-07-10 12:15:39 +08:00
@shaoshuang 自己拿着自家钥匙开自家门是存疑的。

自己是自己吗,是自己的手机吧,自己的手机的人和人是自己没有必然关联。

何况现在的主流思潮是两步验证+在受信任设备遇到敏感操作再强制验证一遍密码

反正随蚂蚁金服便吧,反正不用了
LazyZhu
2015-07-10 12:16:05 +08:00
支付宝取消手势密码是为了社交功能,不为别的.
阿里已经堕落到了这个地步...
zts1993
2015-07-10 13:28:19 +08:00
@LazyZhu 恍然大悟。
arfaWong
2015-07-10 13:30:58 +08:00
imn1
2015-07-10 13:40:16 +08:00
@arfaWong
打死不给老婆看我手机,不然这验证码显示的全是杜蕾斯……
打死不给老公看我手机,不然这验证码显示的全是验孕棒……
shaoshuang
2015-07-10 15:51:49 +08:00
@honeycomb 太好了,赶紧别用了!最怕你这种的,再用支付宝你没有小 JJ
按你的道理,那给支付宝负责财产保险的保险公司要破产了
人云亦云
的确,主流的思潮是建立在对使用者的行为没有识别的基础上,的确需要双重验证,这也是密码学里面的需求物理验证+密码验证(正如银行卡+取款密码),但是如果对使用者的行为习惯等有足够的识别,例如可以如果取款机可以声音特征识别(YY 而已),那自然可以取消掉取款密码
手机设备就是你的物理验证,你的使用行为早就已经在支付宝行程使用行为特征码,我刚才的回帖已经说了几种了(当然实际还包括更多更多的变量参数)
如果你觉得这样还不够的话,那只能说你要不就是太牛逼,赶紧去破解支付宝转别人的钱去,你可以发财了,要不就是太2逼,只会跟着别人说啥就是啥,不动脑子不会判断。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/204667

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX