手机丢了 支付宝依然安全

　　网络近日流传的一则“支付宝惊悚实验”引起广泛关注。实验者称手机丢失后，捡到手机的人可以只通过一个手机验证码就轻松找回支付宝的密码，如果账号还有跟银行卡绑定，那么里面的资金可以被盗取。

　　对此，日前央视《经济半小时》做了一次现场真实测试。测试发现，找回支付宝密码需要同时验证手机校验码、身份证号和私人安全问题，单凭手机破解的可能性几乎为零。

　　央视记者专程从国内专业的网络安全公司里请来一位安全研究员，对手机丢失后可能发生的情况做了全面测试。

　　研究人员假设捡到记者装有支付宝钱包的手机，然后开始尝试资金盗取。

　　打开支付宝钱包，研究人员马上遇到第一道安全屏障——图形锁定界面，需要手势密码或重新登录才能进入，研究人员两个都没有，只能选择“忘记密码”，希望通过重设登录密码进入支付宝账户。

　　这要求输入支付宝账户名和手机短信验证码，刚好记者的手机号就是账户号，而短信验证码也会发到记者这个手机上，因此就可以通过这一步。然而，进一步，系统要求研究人员输入支付宝账户主人的身份证号。这一步，研究人员没有拿到记者的身份证，支付宝的登录密码也无法进行修改。在现实中，如果没有身份证号码，盗窃者就止步于此了。

　　为了进一步测试，记者假定手机获得者能够得到身份证信息，在修改了登录密码后，研究人员成功地登录了这台手机上的支付宝。但尝试做资金转出、转入操作就不行了。

　　由于研究人员不知道支付密码，同样只能通过密码找回功能破解。支付密码找回有两种方式：一种是通过短信校验码，加上安保问题；另一种就是短信校验码，加上关联的快捷支付银行卡信息。

　　研究人员选择了第一种，很容易得到验证码，但还要正确填写一个安保问题，通常这个问题是类似妈妈名字这样的私密问题，捡到手机的人不可能知道。这也就是说修改支付密码的可能性几乎为零。

　　由此可以得出结论，支付宝的安全风险是可控的，如果只是手机丢失，别人无法从这台手机上盗取资金。