起因是前些天偶然发现用自己手机上的支付宝钱包,通过输入账号和登录密码登录家里人的支付宝账号后,只要知道支付密码就可以将余额宝中的款项转走(所涉款项为300元)。
整个过程中家里人开通了短信校验的手机都没有收到任何校验短信,也没有收到资金变动提醒,仅仅是收到了一个从其他设备登录的提示,点开提示后发现反倒是此手机上的支付宝账号被登出了。
后来又在其他手机上尝试,也成功转走了款项(试验款项都在100元以下)。
查询支付宝官网发现有这么一说:
开通短信校验服务后,当你在电脑上用余额(含余额宝)和快捷支付时,支付宝会向你发送手机校验码(当你用手机客户端付款时无需校验)。
感觉这么做虽然方便了手机客户端正常状况下的使用,却削弱了类似两步验证式的安全性,甚至使得短信校验服务本身在很大程度上失去了意义:若登录密码和支付密码泄露,他人可通过移动端转走款项,绕开有短信校验的桌面端。
不知大家怎么看 @@
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.