“如果你的手机丢了,任何人仅凭借手机接收到的校验码就能找回你的支付宝密码,解除你的数字证书,盗空你的支付宝账户”,这两天,微博和微信朋友圈里一则这样的“惊悚实验”被广泛散播。昨天,阿里小微金融服务集团首席风险官胡晓明通过支付宝官方微博正式回应称,这种说法纯属谣言。
这则网帖声称,一些用户根据帖子的指引模拟自己手机丢失后找回密码的操作,发现果然通过一个手机校验码就成功了。对此,胡晓明指出,那是因为这些用户是在自己的电脑上模拟自己“真实被盗”的过程,就好比是用自己家的钥匙开自己家的门。支付宝方面昨天向记者解释道,用户使用自己电脑登录支付宝时,电脑中装有数字证书已经记录着客户的身份信息,系统默认为是可信网络环境,所以不需要输入身份证号码等其他验证就可以取回登录密码。
胡晓明说,如果真有别人捡到你的手机,想在别的电脑上找回你的支付宝密码,他一定需要“手机校验码+身份证信息”等更高安全级别的校验,绝对不可能仅通过一个手机校验码就找回你的密码。
此外,支付宝方面表示,即使取回登录密码,支付和转账过程中还需要用户之前设置的支付密码,而重置支付密码也需要短信验证码和密码保护答案等更高安全级别的校验。
胡晓明介绍,目前支付宝的风险防控体系会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别,对不同风险级别的操作会要求不同的安全校验。此外,支付宝的资金安全由平安保险全额承保,用户发生被盗,平安保险全额赔付,赔付金额无上限,保费全部由支付宝承担。
|