“验证码短信”能否担当线上支付安全的重任?
“1月10日凌晨,有消息称支付宝存在一个新的漏洞:陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可登录你的支付宝。按照漏洞提示,只需四步熟人即可登录并篡改你支付宝密码:1、打开支付宝登录界面,输入帐号后点击忘记密码;2、输入帐号后直接点无法接收短信;3、验证方式选择熟人验证;4、更改密码。”
这一情况立刻引发了热议,线上支付安全问题被推上风头。资金安全保障难道就凭熟人验证吗?我们常用的验证码短信去哪儿了?我们的资金安全能否被保障吗?
支付宝方表示,以上情况仅在特定情况下才会实现。通常情况下,用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户,会查看安全系数,高的情况下才能进行回答问题验证,问题答对,验证通过。为了更好提升用户的安全感,目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码的。
那么线上资金安全究竟是如何被保障的呢?从以实物黄金等财产存放到家中到存在银行中,资金确认以人、证件为准的方式再到银行卡的出现就变成了银行卡与密码的双验证的方式。
消费越来越方便,验证越来越数字化,安全性越来越低。
对用户来说,在开通网上支付之前,只要银行卡和密码没有泄露出去,资金就不会有损失。只要其他人没有卡和密码就无计可施,而且银行卡的挂失需要本人携带身份证到柜台,这套体系保障了我们的资金安全。
银行开通了网上银行业务之后,其他人不需要你的卡,只要知道你的卡号和密码也能支取你的资金。密码是私密信息,但卡号不是,卡号虽然不是到处都可以看到,但是要刻意去查并不困难。
用户的资金完全依赖于密码,这无疑是不安全的。于是,银行在预留手机的情况下,把手机与银行卡一样,视为个人物品,用手机验证码做了一个双重安全保障。验证码短信作为支付安全的重要性凸现出来。
至于验证码短信能否担当起支付安全的重任的问题,当然是密码、手机短信验证双重保障,如果密码泄露或者手机丢失,都不会造成资金安全的损失。