如何看待支付宝 1 月 10 日被曝光的非密码登录模式下可能出现的账户安全风险?

相关问题: 如何看待支付宝、微信支付、QQ钱包的免密支付? 有的验证方式10白天应该是修改了,诸如选熟人、购买的物品等,之前是可以在非本机可以操作的,现…
关注者
6910
被浏览
2573049

648 个回答

以前负责小米的帐号系统,恰好两年前我在设计这套系统的时候,面对的是同样一个问题。 借这个机会我说说我对这个问题的考虑,方便以后做安全架构的兄弟参考。

和排名靠前的有一个兄弟说的一样,不管是密码登陆还是找回密码,本质都是一个问题就是认证你是谁。

你是谁这个问题本质是一个概率问题。由于好多数据库脱裤的存在,导致别人知道一个人密码的概率基本100%,所以现在关键的操作都要附加另外一种验证。 这就是大家听到的多因子认证。

google双因子认证的文档里面有一句话非常精辟,something you remember, something you have. 我们在做多因子认证的时候一定要有不同种类的验证方式. 验证一个你自己记得的(可能你朋友,家人记得)问题,再验证一个你拥有的东西,比如令牌,短信验证码,脸部,指纹等等。

从数学角度来讲,多个事情的发生的概率依赖于每个事情的发生和每个事情发生的相关性。 知道你生日的人和知道你送货地址的人很相关,所以问两个这类问题都答对的概率和答对一个问题的概率及本相当。

其实大家只要记住一句话就可以: verify something you remember and verify something you have。

至于什么概率下才基本安全,我们用6位数字密码来说明安全性:1/1000000. 如果你的设计低于这个概率,基本就应该否定掉。比如支付宝的9个熟人选一个,选两次,最多就是1/81. 再加上一个送货地址1/5,就是1/405的概率。这个概率已经很大了,类似于猜一个三位数字的验证码。如果在可信环境里面这个会好很多,但是听说之前不在可信环境里面也可以。做这个安全验证决定的人应该被打屁股。

借这个机会我也想说一下:安全相关的人有两类,安全架构师和安全渗透人员。国内做的很好的可能是安全渗透,安全架构的人负责建立安全架构,渗透负责突破找到漏洞。 国内安全架构的人发声比较少,渗透的人声音很大。 大部分原因是做安全架构的人总会战战兢兢,如履薄冰不敢说自己的东西,因为所有人都知道自己肯定有漏洞。而渗透的人找到一个漏洞就会奔走相告。 但是搭建安全的架构其实比较困难。

支付宝此次问题发生,暴露的问题是整体安全架构师的缺失,缺少那个关键时候对安全修改说no的人。我猜这应该和人员流失相关。 在一个普通公司这是很正常的,因为这样的人不会受重视,然而支付宝没有这样一个人是有大问题的。没有一个人来整体对安全风控来把控,这样的事情以后会再次发生。
其实支付宝的漏洞一直存在,哪怕不是熟人关系,也可以回答购买过哪些商品来破解登陆
现在,支付宝应该把已经发生的问题解决了,但是漏洞真的就不存在了吗?并没有

我写这个回答来蹭蹭热度,给大家整理下目前的金融平台都存在哪些安全漏洞,你需要做到哪些保护措施

单纯拿某一平台的安全来看,其实还是相对安全的。但如果一旦发生跨平台,你的信息和账号密码就存在较大的安全隐患
所为跨平台就是,从淘宝/支付宝--京东--银行卡--学信网等一系列涉及你个人信息隐私的平台,极易发生信息的外泄的隐患。道理非常简单,安全保护除了技术手段以外,更重要的是安全保护的使用场景以及用户的使用逻辑。但是各个平台都属于各家不同的公司,彼此不相往来,每个公司的安全保护逻辑又有所不同,这就很容易造成隐患

下面的例子认真看,目前依然存在

1.淘宝到京东的漏洞。假如你是一个用户,你可能同时拥有淘宝和京东的账号,甚至你在两个账号里都绑定了银行卡。如果你在淘宝上一个商家上买了东西,这个商家自然有你的电话和常用的收货地址,这个场景太普遍了。得到电话和收货地址可以干啥呢?很简单,去用你的电话尝试在京东找回密码。京东找回密码的逻辑跟淘宝是不同的,京东在手机丢失或者手机无法接收短信的情况下提供人工找回密码方式。人工找回密码需要你说你的姓名、电话以及在京东填写的收货地址。现实中,每个人在淘宝和京东的收货地址都是一样的,所以你的京东账号就这样轻易的丢失了,然后被别人绑定了另外一个手机上。如果单独看每家的找回密码策略,本身是没有逻辑问题的,但是一旦跨平台,这个漏洞贼明显!!!

如果京东的相关负责人看到这个问题,请立刻解决,记得请我吃饭

2.淘宝/京东---银行卡的漏洞。现在支付宝想必已经把漏洞解决了,但是还有一个隐患,支付宝包括京东肯定不知道。支付宝找回密码的方式有很多,除了手机短信找回,问题找回,还有身份信息验证找回。这里就可以看到两个重要的信息,一个是你的绑定银行卡号的后四位?后六位?记不太清了(其他卡号是隐藏的),还有你身份证号的后四位。这个信息我们平时不在意,但一旦跨起平台来也很关键

再举个用户使用场景。假如你是一个淘宝用户,你购买一个商家的商品发生了纠纷。以往商家都是采取比较低端的呼死你的做法。但假如这个商家也很聪明呢?它可以随意的获取你绑定在淘宝/支付宝银行卡号的后几位以及身份证号的后四位。这时他可以干一个事情,那就是给你所绑定的银行卡的银行官方客服打电话,通过一个电话就可以轻松的把你银行卡做长期过失。以建行为例,建行的人工客服会询问银行卡的后几位,身份证号的后几位,以及你的姓名,这些信息是随意获取的。当然了,建行还会问一个问题,就是你最近在银行卡里的一笔支出金额是多少?这个问题看似很难,可是对于商家是无压力的,因为你买过他们的东西,就这样你的银行卡被轻松的长期挂失,仅仅通过一个电话。同样的道理,单独看银行的这种挂失流程,其实是很严谨的,但是跨平台了就漏洞百出

以上建行的相关工作人员,或者其他银行业采取同样挂失流程的,抓紧解决问题,完了记得请我吃饭

3.如果知道一个人的电话,进而获取他的姓名?
这个场景是这样,我仅仅知道一个人的电话号码,但是我并不知道他其他的信息,那么我如何知道他的名字?很简单,假如你将电话放入百度后没有任何信息。那么你用支付宝添加好友,输入电话号码,就可以得到对方的名字,但此时没有姓。这时你点击转账,进行校验,你就可以用百家姓去不断的试验,很容易得出对方完整的名字。这种场景使用也有很多,比如电话诈骗,以前打个电话总问你,你猜我是谁啊?我来你这玩,我嫖娼被抓了!!!现在还猜你妹啊,直接直呼你姓名,把你说的一愣一愣的

这个问题纯属支付宝安全人员傻逼,其实转账校验这事,我如果输入错对方支付宝账号,对方的名字本身就对不上了,就更不用去校验姓氏了。如果我账号输入对了,对方名字显示是对的,我还有必要去校验对方的姓氏吗?账号相似还重名的概率能有多少?这个逻辑真需要做产品的好好去想一想

支付宝负责这个事情的,记得请我吃饭

4.学信网漏洞
这东西恶心就恶心在,不论你注册与否,你的信息都在那里,而这破东西的安全保护照支付宝和京东那又更远了十万八千里了

其他的我暂时还没有想到,但是肯定还有很多。我以上举的这几个例子就要求各家公司的产品经理不仅要考虑用户在你这里的使用场景,还要考虑用户同时也可能在其他平台去使用的问题。包括用户的银行卡。产品经理不仅要考虑支付时的使用场景,也要考虑密码找回时的使用场景
举个例子,当用户支付时,他绑定了三张中国银行的卡,你为了方便他区分,你把每个卡的后几位账号都显露出来(这个问题京东也有)
但是如果密码找回时,你还去显露银行卡的后几位,这就是考虑的不周全了

说完了例子,我再谈谈如何保护自己的信息

1.把你的微信、支付宝设置成不可以用手机号码/QQ号码搜索,把你的QQ设置成不可用手机号。包括你玩微博陌陌,这些隐私要设置好。以前玩陌陌,发现单位又不少领导也在通讯录里,这就很尴尬了。尤其是支付宝的安全隐私,一定不允许别人通过手机号码搜到你,否则你的名字就让人轻松得到了
2.你的手机号是必不可免会暴露的,但是你的身份证号一定不能泄露。很多人不注意这些细节,比如让人帮忙复印个身份证啥的,总以为只要证件和复印件不在别人手里就可以。错了,如果一个人有你的身份证和手机号,你的绝大部分隐私就暴露他的视野下了
3.淘宝的收货地址跟京东收货地址别用同一个
4.尽量不要在京东上绑定银行卡,京东和淘宝的银行卡不要开快捷支付
5.现在我们生活也离不开支付宝,总的来说支付宝也很安全的,但是设置一个支付密码吧
6.身份证如果丢了,不仅要第一时间挂失身份证,还要把你的手机号跟支付宝、银行这些给解绑了。现在拿着身份证去移动联通补办个卡简直太容易。最后的结果就是你手上的银行卡是废卡,别人的是真卡

以上,就想到这些,现在看来还是挺吓人的。别的不说,假如你想搞一个人,不断的去支付宝找回密码,然后输入电话,让对方接收短信,对方就能吓个半死了。归根结底还是要与人为善,少得罪人才是王道
为什么?