支付宝现重大漏洞|支付宝漏洞事件已过 支付宝到底安不安全？第2页 - 互联 - 至诚财经网
至诚-中国金融理财门户网站
支付宝漏洞事件已过 支付宝到底安不安全？
　　支付宝还称，这一策略只能找回登录密码，仅通过回答安全问题无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。
　　中国商报记者于1月10日上午11时左右登录支付宝进行试验，找回登陆密码的方式已变成&刷脸验证&、&验证本人银行卡信息&和&拨打验证电话&。据支付宝介绍，目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。
　　支付宝时有漏洞发生。前不久，支付宝才刚经历了一次AR红包漏洞。2016年12月，支付宝在新版推出了AR红包玩法，这是基于高德地图LBS位置信息和AR场景应用的AR红包。不过，随后被网友找到漏洞，通过PS技术，获取红包。对于存在的漏洞支付宝官方发布微博表示，已经对AR红包进行了产品技术上的升级，扫描他人屏幕线索图领取红包的概率已经进一步降低到万分之几的概率，通过PS抢到红包的概率也大幅降低。
　　2016年5月，有人曝光支付宝APP转账漏洞：通过支付宝转账，即使输错账号，退款到原有账户，转账处理页面也会显示&付款成功&的字样。这其实和上面的银行短信提醒漏洞有相似之处。随后，支付宝弥补了这个漏洞。
　　2015年10月，一则关于支付宝实名认证出现漏洞的消息闹得沸沸扬扬，随后支付宝回应称，如果发现支付宝实名认证账户下出现其他关联账户，是因为账户持有人存在身份证等个人隐私信息泄露的情况，导致被关联认证，且子账户不能用认证身份借款。
　　2014年2月，淘宝和支付宝认证被爆存在安全缺陷，黑客可以简单利用该漏洞登录他人淘宝/支付宝账号进行操作，危害等级高。
　　今后，支付宝用户应当如何避免系统漏洞可能带来的财产风险?可以设置更高难度的安全问题或者调低花呗额度，当发觉疑有支付宝被盗用迹象，可立即挂失：在&我的&&&设置&&&安全中心&&&急救包&中选择&快速挂失&，挂失后&资金不进不出，任何人无法登录&。
客户投诉：
市场商务：
广告合作：QQ:
意见反馈：
工作时间：周一至周五8:30-18:00
公司地址：厦门软件园二期观日路26#404-11,332被浏览402,870分享邀请回答11535 条评论分享收藏感谢收起cmd5.com 这个网站去测密码是否已经泄漏，之后又知友提出会有安全隐患，仔细一想，也是我思考不周密，属实有安全隐患，对网站的解密方式也不了解，所以就特地去做了个实验，现在把实验结论总结出来吧。我猜测网站解密hash值的方式是用需要解密的hash值，去撞已知的明文-hash值映射表的库。如果hash值匹配的上，明文就出来了。而这个明文-hash映射表，应该是各种渠道手机的各种用户明文密码，或者用常用字典算的。一方面的泄漏的用户明文密码，一方面是弱密码。其实两种方式都算是字典法吧，只不过第一个字典是泄漏的密码，第二个是弱的常用密码。因为HASH理论上是不可逆的，就算某些HASH算法出现漏洞，也是一定层度上可碰撞。就是理论上，暴力和字典两种方法，没其他的了。但是听说MD5可能用并行计算可能就被爆了，所以不排除cmd5使用暴力方式。如果cmd5使用暴力方式，那你去查询自己核心密码的话，就相当于提前让cmd5记录你的密码，并暴力破掉了，等着别人来查，有安全隐患。我的实验是这么做的。首先准备两组明文，一组是我常用非核心的最近更新密码，另外一组是我随机敲的数字大小写字母组合。然后使用cmd5网站计算出两者的MD5值，使用cmd5查询此值。第一次查询，两个值都提示无法立即解密，需要等待解密。经过几天的解密，常用非核心的最近使用密码被解开但需购买查看结果，而随机字符串未被解开。一是可能此密码已泄露，二是此密码只是比之前的常用密码修改某些大小写，而之前密码已经泄露，因为注册过很多大大小小的网站。可能是被撞的变形库。所以我猜测，cmd5的解密是非暴力解密，如果好奇，可以尝试查询自己的非核心密码，并等待解密，但是有一定风险，不知道会不会某种条件触发暴力解密。还有一定需要注意，我是使用的cmd5直接结算的密码hash值，就是明文输入过网站的输入框，这个步骤是不安全的，cmd5完全可以记录此步骤输入内容，留作字典等用。所以，如果想尝试，请用另外非联机的hash计算工具计算hash值。PS.FUCK YOUR MOTHER这个，即使把大小写变的各种没规律，也都算的出。========================old
14.19刚刚看到一个关于银行卡绑定支付宝，银行卡被盗刷的问题。想起自己回答过此问题，回来一看写的真水。近来一直在思考此类安全产品的问题，所以就来更新下答案。先贴上一段之前写过的东西，被邀请回答过一回，内容刚刚写好，问题就被删除了。=========================以个人理解，支付宝的安全保障产品的强度是不一的。即短信验证码，手机宝令，软证书，工行U盾，宝令（OTP）强度均不同。如果你仅使用短信验证码这种安全方案，账户资金的安全性就较低。因为很难做到一号一密，即你的支付宝密码没有作为其他密码使用过。---插句题外话，我现在一般小站就用lastpass搞个安全的密码，一站一密，省的网站无节操。关键的几个还是用心记吧。（也可以记载txt中，然后用truecrypt保存，truecrypt用文件秘钥，秘钥文件写在ukey中，小的就这么做的。）---如果你再使用智能机，那你的账号就相当不安全的了，取决于是否有人盯上，是否有人愿意拿你钱了。危险等级是我用经验评估的，是否有人愿意做是我猜的。如果使用手机宝令，安全等级提高一个档次。对于手机宝令我之前回答讲过，我现在还是那么认为的。手机宝令安全等级较安全，但是达不到PKI级的安全。软证书还真不安全，除非你认为你个人电脑是个安全计算机，否者电脑被攻陷，软证书就没用了。工
行U盾分好多种吧，什么OTP，挑战性OTP，一代盾二代盾的。目前来讲，工行能用的，绝对比第三方支付肯用的安全。工行应该是风险第一，便利第二。第三方是
反过来吧。从理论上来讲，二代盾是最安全的，如果使用二代盾保护支付宝安全，只要做到盾不离身，即使你本人想通过二代盾途径划走这笔钱都是不可能是。我这
里讲的是只走二代盾的验证流程，因为支付宝业务逻辑太复杂，也存在钱从这个业务逻辑转到那个，然后怎么付款还是退款的，就不用盾的验证，就划到其他账户去
了。宝令（OTP）这个就跟工行的OTP一样了，强度一致，只是发卡方不同罢了。OTP人行出过问题，安全性一般，所以才出了挑战OTP，目前存货的理由是综合分高吧，尤其在便利性，还是无可取代的，和短信结合安全性也得到稍微保障。=========================以前的回答把我了解的几个安全产品比对了下。再着重说说短信验证码这东西。现在看来短信的拦截转发成本已经很低了。更别提信道的不安全。算是极不安全的。本身短信的信道就不可信，手机如果再不是可信环境的话，那出来的结果，就是上面链接的情况吧。如果使用智能手机，至少要加上一个手机宝令吧，稍微有点保障。（对android，ios了解不深，不知道这手势密码的强度怎样，感觉也不高）宝令（OTP）这类东西，听说被攻破过，虽然不知道原理（除了算法被破），但是这东西不算是强安全，没法不可抵赖呀，所以也不认为是特别安全。吐槽下。现在我感觉支付宝跟银行弄的这个快捷支付要出大问题呀。用户和银行最想要的结果是，我任何信息都泄漏了，但是我只要有一个东西在手中，就是没问题的。磁条卡和一代盾都是这么要被废的。而现在快捷支付的开通和使用过程中没有任何这个保障。而对于银行和支付宝的承诺，可信度和实行性又是多少呢。支付宝的业务逻辑太复杂了，而且你实实在在的丢钱他要先检查下你是否骗保呀。缺的还是一个不可抵赖的条件。便捷牺牲的就是安全，都是在尽力平衡两者。如果风险过了拐点，还是的考虑安全。PS。已把钱转出余额宝。我深深的体会到那些，用单独开过网银的卡，只保留一小部分钱去网购的心理了。他们看到的案例和懂得技术。。。。。。=========================old支付宝快捷支付准确来讲是不安全的。我认为不安全的原因有如下几点：1.认为快捷支付的安全是以你信赖支付宝或阿里为准的，也就是说如果从支付宝内部瓦解等手段，快捷支付完全可以刷爆你的卡或者刷掉您的钱，因为支付宝所有验证安全性的环节都是和支付宝安全体系接轨的，而不是同银行接轨的。2.短信验证码是极其不安全的，短信验证码在链路中走的是明文，所以快捷支付绑定短信支付码是不安全的。3.前段时间风传刷过拉卡拉的卡被盗刷，这事反应俩个问题。一是磁条卡很不安全，盗刷成本很低。二是作为第三方支付企业，如果你为了方便过分截留安全信息，你有很大的风险，保证你自己不被内部瓦解。安全的做法还是建立起链路，全是密文在走，自己什么都不留。我想大家都不愿意沦为管道，那这事如何博弈，那没法说了。4.最重要一点，快捷支付是没办法保证不可抵赖性的，就算OTP也不可以。如果支付宝被攻破，伪装成持卡者，发起快捷交易，如果支付宝抵赖，没有任何办法去保证被盗刷的卡的不可抵赖的。这点和1很重复，就是你对阿里相信多少。就类似于你把钱放在银行，你对银行相信多少一样，银行对你是没有不可抵赖性的。因此，银行通过建立各种机制，去保证不可抵赖性。比如核对身份证件，本人签字等。如果否认，可以去查本人签字等。PS我还是在用快捷支付的，一方面是我对支付宝的体系安全和信用的信任，二是因为属实很方便。但是我是绑定了手机宝令的，对于这种类OTP的东西，我相信如果出问题，一定是大问题，我认为是不可抗因素吧，就和IC卡被盗充值情况一样。3016 条评论分享收藏感谢收起157被浏览132,643分享邀请回答13047 条评论分享收藏感谢收起4添加评论分享收藏感谢收起社会化媒体
了解更多>>
桂ICP备 号
阅读下一篇
自媒体运营攻略
行业经验交流
Hi，在你登录以后，就可以永久免费的收藏任何您感兴趣的内容，关注感兴趣的作者！
手机注册或邮箱注册
点击按钮进行验证
请输入正确的邮箱
已有帐号请点击
帐号创建成功！
我们刚刚给你发送了一封验证邮件
请在48小时内查收邮件,并按照提示验证邮箱
感谢你对微口网的信任与支持
你输入的邮箱还未注册
还没有帐号请点击
点击按钮进行验证
你输入的邮箱还未注册
又想起来了？
你已成功重置密码，请妥善保管，以后使用新密码登录
邮件发送成功！
我们刚刚给你发送了一封邮件
请在5分钟内查收邮件,并按照提示重置密码
感谢你对微口网的信任与支持
对不起，你的帐号尚未验证
如果你没有收到邮件，请留意垃圾箱 或
意见与建议
请留下您的联系方式
* 留下您正确的联系方式，以便工作人员尽快与你取得联系
转藏至我的藏点质疑？支付宝真有那么安全？_图文_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
质疑？支付宝真有那么安全？
百家号是全球最大中文搜索引擎百度为内容创...|
总评分0.0|
阅读已结束，下载本文需要
想免费下载更多文档？
定制HR最喜欢的简历
你可能喜欢}