请看下面的测试,结果你会很惊恐
测试场景:捡到一个手机,没有银行卡身份证其他的任何东西
1、获得手机之后,怎么知道支付宝登陆名,手机号就是登陆名啊,只要你绑定了手机
而且还能贴心的告诉你这个手机是否注册了支付宝
2、不知道登陆密码?支付宝,知托付,贴心的告诉你忘记密码怎么办,点一下试试
9、假如碰巧在手机上存了另一个卡的卡号,也能开通吗?没问题,真是太贴心了,也不用身份证号,手机和银行卡就行了。
10、现在可以用的快捷支付随便玩了,支付密码已经有了
11、免得你发现了挂失,把绑定手机改了吧,尼玛,居然一条短信又搞定了
总结:这一切的杯具的根源在于,手机的权限太逆天,神挡杀神,佛挡杀佛,居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证,可支付宝,手机居然取消数字证书,连长干掉师长,我还能说什么呢。其他密码只要能找回,都是小菜一碟了。
用户能做的:(1)转移余额(2)删除全部关联银行卡,用网银支付(3)支付宝和银行卡用不同的手机号(4)不绑定手机号,不是更不安全了?
支付宝该做的:(1)提供禁用手机号登陆功能(2)找回密码别这么简单行不行,好歹有个验证问答(3)支付密码和数字证书级别应在手机之上,禁止用手机找回 支付密码,禁止解除数字证书,安全级别应该只能升,不能降(4)数字证书和支付密码如果要修改,委托给合作银行,或者自己在全国开设网点,银行身份证和本人验证,至少目前是最安全的。
- 绑定手机 【9票】
- 支付宝只放零钱 【12票】
- 放在余额宝和微型吃利息哈~~ 【11票】
