网曝熟人能改支付宝密码上海交大安全实验室：系夸大描述

甘肃经济日报讯据世纪经济报道称，1月日早上，一则关于“熟人可以篡改你支付宝密码”的消息在网络流传。有网友表示，只要登录他人的支付宝账号，选择“忘记密码”，就可以通过安全问题验证（识别近期购买物品或好友）找回密码，从而登录别人的支付宝账号。

支付宝随后回应表示，通常情况下，用户找回登录密码至少需要输入手机短信验证码，只有对于部分暂时无法收到短信的用户或者更换移动设备的用户，风控系统才会先进行评估（比如账户信息完整程度、网络环境等因素），并在安全系数较高的情况下，才让用户回答一系列安全问题，而且只有在回答正确后，才能修改登录密码。

支付宝强调，这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码，且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

上海交通大学密码与计算机安全实验室（LoCCS）安全研究团队通过该问题进行的全面安全测试，指出基于相关用户信息的密码重置方案尽管在特定场景下存在攻击面，但是攻击者的攻击窗口受到实际情况限制较大，且在完成登录后再进行针对用户财产的操作会被支付密码进一步限制，因此很多现有评估存在对安全威胁的夸大描述。

新闻推荐

渭水浩荡育成纪藉河东流润秦州——天水市秦州区关子镇“固本、解忧、谋富”赢民心

区领导考察关子镇易地扶贫搬迁集中安置点建设项目张文龙赵继红随着建设美丽乡村的号角在陇原大地上吹响，一间间百姓共享的“幸福之屋”也正在搭建。几年来，秦州大地盛开了一朵朵娇艳的乡镇之花，一个...