网络安全
    作者:郑伟

    认证流程不严谨 支付宝身陷密码危机

         [ 中关村在线 原创 ] 暂无评论

      刚刚从朋友圈曝出支付宝“熟人可以修改登录密码的漏洞”,据称,任何人登录支付宝时,只需通过“登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功”,这时就可以直接扫二维码付款不用密码。而整个流程“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,让广大网友为之心惊。

    认证流程不严谨 支付宝身陷密码危机
    朋友圈曝出支付宝“熟人可以修改登录密码的漏洞”

      在笔者看来,将其归类为漏洞问题,还不如说是支付宝身份认证流程上的不严谨,风控系统过于粗糙所致。随后,支付宝回应称,今天上午,已提高风控系统安全等级,目前仅在用户自己手机上,才能通过识别购买物品和好友找回登录密码,其它手机已无法使用此方法。 

        截止发稿前,笔者验证发现支付宝针对网友反馈的问题进行了紧急调整,修改了身份认证流程,并将其直接导向要输入真实姓名和身份证号码环节。

    认证流程不严谨 支付宝身陷密码危机  认证流程不严谨 支付宝身陷密码危机  认证流程不严谨 支付宝身陷密码危机
    目前支付宝已修改了身份认证流程,将其直接导向要输入真实姓名和身份证号码环节

    认证流程不严谨 支付宝身陷密码危机  认证流程不严谨 支付宝身陷密码危机  认证流程不严谨 支付宝身陷密码危机 如果选其他方式找回密码,则有刷脸和打电话两种方式,不过打电话的话,仍要填写身份证信息

      目前,随着网络安全威胁的日益加深,在金融支付层面上的身份安全认证机制也逐步完善中,最为常用的便是双因子认证机制(Two-factor authentication)。双因子认证是通过两种独立不相关的证据来证明访问者的身份。根据密码学理论,在数字世界里,独立不相关的证据可以来自于以下三方面因素:你所知道的(如密码或身份证号码)、你所拥有的(如USB Key或磁卡)或者是你自己的生物体征(如指纹、瞳孔或声音等)。

    认证流程不严谨 支付宝身陷密码危机
    当前,身份认证流程中双因子认证机制的重要性还不容忽视

      相较于传统单因子验证(One-factor authentication,2FA)如静态密码等带来的不可靠性,目前双因子认证机制已成为加强用户安全性的主流。而在此次支付宝事件中,其开始在对于密码重置需求的处理上,避重就轻,明显疏略了双因子认证机制的重要性,显然是犯了一个“低级性错误”。

      不过,即使再强大的安全认证,在人为操作下都会有泄露的风险。网友在提升个人隐私防护意识(如不轻易泄露过多的私人信息)的同时,安全专家更建议第三方金融支付平台应该在身份认证流程、密码管理上进一步强化其流程严谨性与风控等级,来切实确保用户的金融资产安全。

    标签:防火墙

    关注排行榜

    防火墙UTM上网行为防毒墙

    文章推荐

    互动沙龙

    相关内容 网友评论 返回首页
    专家咨询