V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dreamcountry
V2EX  ›  支付宝

为了消除用户对 9.0 版本的不安 支付宝官方搞了一份安全报告

  •  
  •   dreamcountry · 2015-07-10 17:21:09 +08:00 · 5196 次点击
    这是一个创建于 3422 天前的主题,其中的信息可能已经有所发展或是发生改变。

    为了消除用户对9.0版本的不安 支付宝官方搞了一份安全报告,是从站长之家上看的: http://www.chinaz.com/news/2015/0710/421595.shtml

    大数据的解释我觉得有道理。

    49 条回复    2015-07-11 18:03:15 +08:00
    aalska
        1
    aalska  
       2015-07-10 17:23:37 +08:00
    其实神棍干的都是大数据
    eriale
        2
    eriale  
       2015-07-10 17:33:40 +08:00
    手机App能记录指压、接触面积?
    9hills
        3
    9hills  
       2015-07-10 17:37:20 +08:00
    只要保险有用,反正会赔钱。除非你银行卡里大于100w,否则无需担心啊
    yangff
        4
    yangff  
       2015-07-10 17:38:12 +08:00
    笑得我眼泪都掉下来了.
    lichao
        5
    lichao  
       2015-07-10 17:42:22 +08:00
    @9hills 即便钱不被偷,账户余额,帐务来往记录,这些也都是隐私啊,我可不想我身边的人看到我在淘宝上买了什么
    ibremn
        6
    ibremn  
       2015-07-10 17:46:53 +08:00
    风控不就是干这个的吗。。

    举个例子:你拿别人手机给你自己转账,没用密码,你就说这不安全。但实际上风控监测到转账发生在你平时常用的ip、常用的地区,转账的对象也与你的账户之前有过联系,那就算发生了什么纠纷风控也能找出线索。而且最后出了事而还有保险。。

    @lichao 你的微信QQ什么的打开同样也不用密码啊。。
    lichao
        7
    lichao  
       2015-07-10 17:49:05 +08:00
    @ibremn 不用微信。
    lichao
        8
    lichao  
       2015-07-10 17:50:27 +08:00
    @lichao QQ 有手势密码
    monsoon
        9
    monsoon  
       2015-07-10 17:50:53 +08:00   ❤️ 1
    除了位置这点其他感觉都是假的……
    我没写过iOS,但是我觉得支付宝肯定不能获取iOS用户的指压感应、接触面积、时间间隔。
    ibremn
        10
    ibremn  
       2015-07-10 17:55:14 +08:00
    @monsoon 它有没有用这套方法不好说,但iOS确实能获得所有Touch事件的接触面积和时间间隔的。

    @lichao 简单说,手机是个私人物品,里头的大多数信息都是个人隐私,比如通讯录、记事本、通话记录、浏览器历史记录、社交软件等等。这些App不可能每个都内置一个密码解锁。
    Tink
        11
    Tink  
       2015-07-10 17:58:37 +08:00
    然并卵啊
    LazyZhu
        12
    LazyZhu  
       2015-07-10 18:01:02 +08:00
    @ibremn
    错了, 支付宝是涉及金融了, 存折/银行卡也是私人物品哦.
    monsoon
        13
    monsoon  
       2015-07-10 18:04:12 +08:00
    Sorry,我看错了,我以为是说指纹的指压感应、接触面积、时间间隔。
    LazyZhu
        14
    LazyZhu  
       2015-07-10 18:06:56 +08:00
    @ibremn 吹牛的,上班时手机给我同事测试转账了
    Citrus
        15
    Citrus  
       2015-07-10 18:11:12 +08:00 via iPhone
    我想知道 3000万 不用手势密码的有多少是 iOS 用指纹的。。。
    66beta
        16
    66beta  
       2015-07-10 18:12:32 +08:00
    那个保险,是要买的吧~~~
    simodorg
        17
    simodorg  
       2015-07-10 18:20:02 +08:00 via iPhone
    越看越恶心...
    imn1
        18
    imn1  
       2015-07-10 18:50:00 +08:00
    总算看到有明确的文字说了收集 “位置、偏好、习惯、关系”

    还是一堆疑问:
    1.每次都是老婆下单,我支付;“指压感应、接触面积、时间间隔”算谁的?
    2.隐私看样子不算安全,只字不提
    3.强制取消的原因没说,只是强调“依然安全”这个结果,就算是防弹玻璃门,行行好施舍块门帘行不,我在家只穿内裤不化妆不是因为安全没有贼,是我能决定这模样可以给谁看

    这几天总见到一句话“用自己的钥匙偷自己”,拜托,锁是我自己选的好不好
    lxrabbit
        19
    lxrabbit  
       2015-07-10 18:56:05 +08:00
    哪那么多讲究,直接上程序锁完事
    Starduster
        20
    Starduster  
       2015-07-10 19:38:19 +08:00
    很早就看过支付宝的类似声明,当初把支付密码改成六位数的时候就有。所以我觉得这次最大的问题倒不是被盗问题而是隐私问题,手势密码主要也就防一个借你手机用的人。
    iyaozhen
        21
    iyaozhen  
       2015-07-10 21:18:55 +08:00 via Android
    用户体验和安全一直在追寻一个平衡。很多时候是种妥协,安全到达一定程度了就行。而且支付宝愿意承担这个风险。
    zonghua
        22
    zonghua  
       2015-07-10 21:23:35 +08:00
    @iyaozhen 问题是出了问题你怎么证明你是怎么样的损失。
    orvice
        23
    orvice  
       2015-07-10 21:25:09 +08:00
    问题不在安全,而是隐私。。
    RyuZheng
        24
    RyuZheng  
       2015-07-10 21:25:59 +08:00
    一锄头就能铲断的东西你吹得再大数据再智能大脑在我眼里都是脆弱的
    zado
        25
    zado  
       2015-07-10 21:30:24 +08:00
    为了风空,他可能需要收集你的更多隐私,当然,收集也可能不仅仅用于风空。
    iyaozhen
        26
    iyaozhen  
       2015-07-10 21:31:11 +08:00 via Android
    @zonghua 这个就是另外的问题了,保险这种事,一般是偏向用户的。
    2232588429
        27
    2232588429  
       2015-07-10 21:37:52 +08:00
    8页看完发现只写着三个字:大忽悠……,然并卵。
    takato
        28
    takato  
       2015-07-10 21:38:35 +08:00
    我就说一点不靠谱的,现在手机都是电容屏,哪来的指压等级?
    imn1
        29
    imn1  
       2015-07-10 21:41:46 +08:00
    其实想知道有多少人读了那个保险条款~

    为何关闭手势是在阅读保险条款之前?
    如果关闭手势后又选择不同意哪个保险条款的话,能否回退?
    imn1
        30
    imn1  
       2015-07-10 22:35:07 +08:00
    再问一个法律问题:
    被盗保险是用户跟支付宝签约还是跟保险公司签约?
    如果属于第三方保险,就是支付宝向保险公司购买,受益人为用户则问题不大,但……

    如果是用户直接与保险公司签约,支付宝是否向该保险公司提供了用户的身份信息?
    此提供过程是否在用户与支付宝的协议之内获得用户授权?
    processzzp
        31
    processzzp  
       2015-07-10 22:43:51 +08:00 via Android
    @ibremn
    @2232588429
    @takato
    @iyaozhen
    @9hills
    关闭手势密码的重点不是安全不安全,真正的目的是为了给社交铺路啊。支付宝现在要从严肃的财产管理软件转型为社交软件了。9.0这么像微信你们都没看出来?跟安全有个毛线关系

    不过这次更新确实让社工方便了许多。以后哪天找同学同事借一下手机打电话,他的支付宝和余额宝分别有多少钱,工资卡之外的银行卡有多少,淘宝交易记录,转账汇款历史和转账好友的真实姓名都可以摸清楚了,再结合其他的信息,你懂的

    @ibremn 为什么微信/QQ没有锁屏密码?因为们虽然是社交软件,但他们知道自己的边界在哪里。至少我用微信钱包打车买冰激凌消费的记录作为好友的你是看不到的,然而支付宝这回可是要做实名制的微信
    exploreexe
        32
    exploreexe  
       2015-07-10 23:04:44 +08:00
    @processzzp 说的有道理!!!

    拿到手机 打开支付宝,信息一览无余,这和账户密码被盗是两件事情。如果捡到一个手机,打开支付宝,根据购物信息,和账户信息社工出这人的习惯信息,转出来资金真的能被风控?

    没有手势解锁,真的好傻逼!虽然产品这么做是为了减少用户打开支付宝的难度,让用户更方便和频繁的使用支付宝,但是这TM不是和微信一个概念好么。

    吐槽完毕,相信阿里的人也上V2EX,看到的话麻烦回复下产品怎么想的。
    caoyue
        33
    caoyue  
       2015-07-10 23:37:22 +08:00
    还记得上次宣传得特别神那个拖动验证么……

    用户才不会关心你用了什么听起来高大上的技术
    imn1
        34
    imn1  
       2015-07-10 23:55:36 +08:00
    假如苹果新出一部手机
    能够根据位置、偏好、习惯、关系、指压感应、接触面积、时间间隔判断是否机主在用,而取消锁屏设置,送最高百万保险
    没事,丢了也就一个机价,外加 icloud 上面的资料而已,隐私不值钱啊
    大家买不买?
    wclebb
        35
    wclebb  
       2015-07-11 00:13:20 +08:00
    感觉大家都过于敏感了。
    支付宝都说了,能赔钱,被盗了照样赔钱。(保险里好像这样说)
    反正我看了放心了,直接取消了。
    有本事来盗我呗。
    imyip
        36
    imyip  
       2015-07-11 00:23:18 +08:00 via Android
    大数据记录了我们的行为 总觉得我们没什么隐私可言
    既然你使用了支付宝,就请把你的钱交给支付宝 好比如n你生在中国,就把命交给国家吧
    逼逼完 匿。
    Crowbar
        37
    Crowbar  
       2015-07-11 01:55:00 +08:00 via iPad
    觉得不安全就尽量少用呗,没支付宝又不是活不成了!
    bluesky139
        38
    bluesky139  
       2015-07-11 08:52:53 +08:00 via Android
    其实我在想我会不会被自己锁在外面。
    zado
        39
    zado  
       2015-07-11 09:16:29 +08:00
    如果只是为了向社交方面靠拢,那就聊天的时候不加密码,做其它操作的时候加密码就好了。最好设置一个选项,不需要密码的人也可以取消,就更加人性化了。
    jianghu52
        40
    jianghu52  
       2015-07-11 10:25:12 +08:00
    我承认支付宝是有没有手势密码都是安全的。但是我很反对这么硬性的取消。
    1.对用户的不尊重。为什么不给用户选择权
    2.明显的醉翁之意不在酒,为了能让人快速的打开支付宝。把最大的障碍给取消掉。但是问题是我们是否需要时刻启动我们的钱包呢?
    lisonfan
        41
    lisonfan  
       2015-07-11 10:51:42 +08:00 via Android
    iPhone用户表示用指纹
    sketch33
        42
    sketch33  
       2015-07-11 11:06:08 +08:00
    求求你们快别用支付宝了。
    autozai
        43
    autozai  
       2015-07-11 12:05:54 +08:00 via Android
    支付宝关联的银行卡已经全部取消。静看撕逼,~( ̄▽ ̄~)(~ ̄▽ ̄)~
    imn1
        44
    imn1  
       2015-07-11 12:45:02 +08:00
    @jianghu52
    2.加密码从来都不是防自己的,应该问别人是否需要时刻启动我们的钱包呢?

    你身边有没有对你不怀好意的人呢?婆媳关系融洽么?有些人不一定要偷钱的,能找到话题对你说事就是他们的目的
    bdnet
        45
    bdnet  
       2015-07-11 13:22:46 +08:00
    9 咋看像个大众点评,越来越脓肿,其实我只需一个支付功能,其他都可以滚。
    wheatcuican
        46
    wheatcuican  
       2015-07-11 14:48:23 +08:00
    最不安全的,往往是人本身。
    retopara
        47
    retopara  
       2015-07-11 15:35:43 +08:00
    我觉得支付宝这样还是有意义的,就跟国外的信用卡刷卡都无需密码只需签名,难道他们没有考虑盗刷风险么?但是有了完善的盗刷赔付和信用体系之后,盗刷他人的卡所承受的风险实际上是更大了,社会信用记录的污点不是闹着玩的。
    我们最终也会把越来越多的安保工作交给公司,因为没有精力去管理那么多东西的安全,就像没有精力去记住每一张信用卡银行卡的不同密码一样。
    qq1986114
        48
    qq1986114  
       2015-07-11 18:00:21 +08:00
    实名社交!
    aznmv3
        49
    aznmv3  
       2015-07-11 18:03:15 +08:00 via Android
    其实这次更多人担心的是隐私问题而不是钱的安全问题,这也是支付宝一直回避的问题
    至少信用卡上没写着你的交易记录是什么,你的信用额度或者卡里有没有钱,你家地址,你的手机号,你手机的型号,你的身份信息
    另外,支付宝9.0的智能大脑要运作那就要收集我们更多的隐私数据,作为一款财务应用申请的权限跟国内安全应用一般多,而且连相机都变得一打开就申请了。第一,我要关了这些权限支付宝怎么智能,是不是一句违反使用条款就不赔了。第二,万一支付宝哪天裤子一拖下来可比同类的个人网银……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2630 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 15:33 · PVG 23:33 · LAX 07:33 · JFK 10:33
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.