总之,只要不涉及支付密码(友好提醒:支付密码不等于登录密码),都可以操作。
作为账号拥有者,如果不幸发现自己被盗,可以选择快速挂失,也可以按照上述“修改好友密码全过程”抢回密码。
“快速挂失”的步骤如下:
进入支付宝客户端,点击我的设置账户与安全安全中心急救包快速挂失即时挂失。(友情提醒:在此之前,请记得先把余额宝余额里的钱转到银行卡里,然后解开银行卡)
还有一件事需要说明。——如果你的支付宝和淘宝密码绑定在一起,那么你的支付宝密码已经被修改了,这意味着你的淘宝密码被修改的几率很大。你拿不到你的支付宝,你拿不到你的淘宝。
二、支付宝的回应
对于这样的重大事故,自然吸引了关注无数人的关注,截至今天中午,几乎所有的互联网行业媒体和众多知名大V都跟进报道了时间,事件,甚至在下午2点就向人民日报发出了警报。
今天11点15分,一位阿里员工在知乎回答了“如何看待支付宝的重大安全漏洞”的问题,称密码安全问题是10天前在内网反馈的,但据说为了平衡支付宝团队内部的体验和安全问题,问题先被搁置了。
假设这个答案中的所有信息都是真实的,这个答案背后可能有深刻的含义。
基于此,我们可以猜测,支付宝肯定长期背负着两大KPI,一个是关于“社交互动”的,比如用户数量与在线时间,的关系,另一个是关于“支付”的,比如押金金额、交易金额、投诉金额、失败概率等等。
毫无疑问,这两个关键绩效指标的取向一定是完全不同的,有时甚至是冲突的。对于社交来说,互动是关键,“安全”和“保障”并不那么重要。对于支付,“安全”是底线。
至少,从知乎上面的回答,我们可以隐约看到一种心态,支付宝可以认为一些支付相关的漏洞“没那么糟糕”,可以开始忽略一些“支付相关的保障和安全”。
我们无法得知这是官方态度还是部分支付宝团队的个人立场,但无论如何,这个立场可能令人担忧。——对于用户资金存放量较大的产品,可以容忍你已经知道的安全漏洞的存在。用户应该作何感想?
不出所料,这件事一出来,很有可能就有人要走了。核心是它影射传递给用户的信息实在令人担忧。看看朋友圈里声称“支付宝账号被清空,支付宝被卸载”的消息,你就知道情况的严重性了。
临近中午,支付宝官方也给出了正式回应,全文如下:——
支付宝在官方声明中表示,更改密码只有在特定情况下才会实现。通常用户需要输入手机短信验证码才能找回密码,但这部分解释太苍白。您可以查看上面更改密码的整个过程。我可以直接选择“我收不到短信”忽略这个链接。
而且即使账号所有人收到短信,是否意味着他看到了?
此外,官方声明还提到,支付宝增加了对第一时间常用设备的检查,如果忘记密码,只需在账号所有者自己的设备上填写身份证号,就可以成功登录。在其他登录设备上,需要知道账号所有人的身份证号和银行卡信息,或者回答一些安全防护问题,或者获取账号所有人的电话号码,也可以登录,不涉及更改密码。
这是一种成本最低、足够及时的回应,在一定程度上解决了问题。但是,被支付宝折磨后,还是觉得很不安全。
也不得不感叹,今年大家都说百度公关难,但其实支付宝公关真的不容易!不管怎样,让我们先向他们表示诚挚的慰问。
第三,从产品层面看支付宝的密码逻辑和问题
从产品来看,支付宝的密码检索逻辑属于通过“交叉验证”来判断用户身份的过程,已经被很多产品采用,其中最典型的就是微信和淘宝。交叉验证的功能是一个很好的功能,但是不同场景的适用性差异很大。
交叉验证,有几个关键点,是这个功能成功的关键。
1.是否有可识别的点;
2.可识别的东西是否私密;
3.可以识别什么,用户能识别吗?
早期使用的大产品是微信,当用户更换设备登录时,会弹出“安全验证”界面。您需要选择两个朋友的头像才能成功登录。微信只判断你是“人”还是“机”。如果你是其中之一,你可以成功登录,但你只能成功登录。不涉及“更改密码”的行为。所以属于原来的安全改进,没有不妥,是加分项。
同理,淘宝在PC端登录时,也会有这样的验证方式,辅助登录也没什么问题。而且淘宝只登录,进入后除了验货、退钱等操作外,涉及现金的操作并不多,因为涉及现金的操作需要支付密码。
至于支付宝,采用类似淘宝的交叉验证方式没有问题,但问题是涉及到钱——“无保密支付”的功能,我进入了账户。只要你之前启用了无保密支付,我就可以刷出来花掉。
等你吐槽完支付宝,我们再来看看另一个精彩的经典例子,——微博的交叉验证法。
和微信类似,同样的触发逻辑,同样的功能,微博让你选择关注朋友的头像
完成交叉验证,但微博的好友关注是公开的,就算是个陌生人,找到了你的微博,照样也还是知道你的好友的啊,这不是搞笑么?所以大家在吐槽支付宝的时候,为什么没有那么大规模吐槽微博呢?又回到了本质原因,支付宝跟钱有关,这样的做法挑战了用户潜意识中“做金融的必须安全”的认知。最后,微信、淘宝甚至微博,都只是通过交叉验证来辅助用户“进入”,而支付宝这次是可以直接修改密码的,这会造成帐号拥有者被踢下来的现象,问题是最大的。
所以,即便从“产品”层面来看,这样的密码逻辑和策略,也存在一定问题。
至少从“典型用户场景”来看,我们认为是存在一些问题的。
四、总结
支付宝作为一个支付软件,和金钱这种超级隐私的东西挂钩,应该是将用户的财产安全摆在首位。从古至今,财产都是一个人最私密的事情,任何事一旦涉及到钱财,就会变得敏感。像我们之前说过的,本是背道而驰的两条路,硬要拽到一起,肯定是会有痛感的。支付宝想要占据社交平台这个入口,可以理解,但,支付才是支付宝一直走下去的保障,而支付安全,则是支付宝最后的底线。所有的功能和活动,都必须是建立在用户安全的基础之上。
网友也评价:之前一直不太使用微信支付,是总在心里觉得社交软件做支付不安全,万万没想到支付软件做社交才是大杀器啊
以及,在今天,我们也在微博和朋友圈看到了有人因为支付宝今天的漏洞开始大量删除好友的情况存在。
网友评论
当前共有24条评论