丢了装有支付宝的手机 后果到底有多可怕？

岑溪妹

日前，广州一名市民没有消费，银行卡上的9991元却被人转走买了游戏q币。

而在微信朋友圈也流传着，只要装支付宝的手机被人捡到，就可能被轻松攻克支付宝登录密码、干掉数字证书、破解登录密码。

这是真的吗？记者借用朋友装有支付宝的手机进行体验，结果发现，尽管支付宝安全措施有所升级，但只要知道几个关键信息，还是能很容易通过手机或电脑破解登录密码、支付密码、绕过数据证书，还可以把绑定的手机号码改掉。

新闻事件

没有消费

银行卡9991元被转走

听到手机短信提示，傅女士银行卡里先后两次被莫名转走了9991元。傅女士说，这张储蓄卡是她老公的，但短信通知绑定的是她的手机。傅女士和老公都没有消费，她立即向银行客服询问，钱是通过淘宝转走的。给淘宝客服打电话，客服人员说是通过淘宝平台转账购买了游戏q币。因为交易限额不能超过1万元，所以卡上其他的钱还都在。傅女士找到银行换了新卡，之后向派出所报警。

热传网文

装有支付宝的手机

丢了会如何

微信朋友圈里流传《手机丢了，里面装了支付宝，后果会如何》的文章，里面提到，首先，获得手机后如果不知道支付宝登录名，好多人的登录名就是手机号；不知道登录密码，通过点击“忘记密码”，一个手机验证码就能搞定。也就是说你只要有了手机，账号和登录密码就都有了。

而支付宝账号如果装有数字证书，一个短信就可以解除；接下来，支付密码同样也可以一个短信就搞定。

文中还提到，如果没有开通快捷支付，打通讯运营商客服电话可以免费开通。不仅失主的支付宝可以随便玩，怕失主发现，还可以通过短信验证，把该账号绑定的手机账号改掉。

马上实验

手机身份证银行卡同时丢

支付宝就可能被“随便玩”

记者实验发现，支付宝安全措施已经有所升级，若仅仅丢了手机，出现帖子中所述后果可能性较小；但如果不小心连身份证、银行卡一块丢了，又没有及时挂失，帖子中所述的情况却完全可能发生。按照所说程序，凭借身份证号，可顺利重置登录密码，进入支付宝界面，机主的全名、手机号、账户余额、关联的银行卡数量、余额宝、娱乐宝等尽收眼底，就如同在随便玩自己的支付宝账号。而且，和手机短信校验码配合，重置登录、支付密码很简单。

怕短信“打扰”到账号主人？

竟然可直接改绑定别的手机

网帖介绍中，作者还从窃取别人支付宝账户者的心态考虑：这样的频繁的短信骚扰是否会让失主发现？所以，在操作中把绑定的手机号码也改了。

记者再次尝试，在安全页面快速入口下点击“更换手机”，页面打开后有两个选项：无法接收短信、能接收短信。点击“能接收短信”，又弹出两个选项：通过证书+手机校验码、通过手机校验码+支付密码。

这两个选项，现在都不是问题。选择第一个，填写收到的手机短信校验码后，再填写新手机号码，和新手机收到的短信校验码，原来绑定的手机就接到了停止服务的提示，短信提醒便转到了新手机上。

再次进入支付宝账户页面，记者发现，朋友支付宝账户的账户名也改成了新的号码。

实验总结

支付宝给手机的权限

是否太大了？

相关帖子总结说，这一切“杯具”的根源在于手机的权限太逆天，居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证，可支付宝居然可以让手机取消数字证书……

网帖作者认为，支付宝应该做的有四点：1.提供禁用手机号登陆功能；2.找回密码别这么简单；3.支付密码和数字证书级别应在手机之上，禁止用手机找回支付密码，禁止解除数字证书；4.数字证书和支付密码如果要修改，可以委托给合作银行，或自己在全国开设网点，银行身份证和本人验证，至少目前是最安全的。

记者注意到，尽管支付宝在安全策略上已有所升级，比如找回密码除了要填写短信校验码外，还增加了安保问题或证件号、银行卡号等，但核心的安全权限级别设置方面，手机短信似乎还是最大的。

另有网友在评论介绍，如果银行卡绑定了快捷支付，即便更改了网银密码，支付宝还是可以通支付密码来实现付款、转账等，这也是一个很大的不安全因素。

记住这几点账户更安全

支付宝网页有很多关于账户安全的提示，其中有些在网友的评论中也屡次提及：

1.登录账号最好不要用手机号，可以使用邮箱号；

2.登录密码和支付密码最好用数字和字母组合，最好不要用同一个密码；

3.给支付宝帐户申请手机数字证书或手机宝令等；

4.安装密码安全控件，可对密码进行加密，有效防止木马程序截取键盘记录；

5.平时要多注意电脑安全，安装杀毒软件，不要上不安全网站，牢记支付宝官方网址，警惕欺诈网站；

6.不要出租、出售账户，一旦被不法分子利用，会带来不必要麻烦。