首先我好久登录支付宝,密码忘记了,选择密码找回,然后直接让我输入身份证就可以更改密码,不用手机短信验证码,顿感问题,就试了身边的小伙伴发现也可以这样!
http://7xka5f.com1.z0.glb.clouddn.com/1.png
http://7xka5f.com1.z0.glb.clouddn.com/2.png
然后发到群里询问更多的小伙伴,发现如果是支付宝好友有的也可以直接输入身份证更改密码,也可以是支付密码!
昨天提到阿里应急响应中心,说这个不算漏洞,
http://7xka5f.com1.z0.glb.clouddn.com/3.png
他这么一说,我就无力吐槽了,凭什么你认为你给我的可信用户名单在我认为就一定可信?!没有经过用户同意就通过大数据分析,划为相互可信?!就算这不可以批量攻击,不是漏洞,至少这件事情用户得有知情权,让用户决定自己的可信用户。各种改小伙伴的密码的姿势大家敬请尝试!
1
robinray 2015-07-10 10:32:28 +08:00
你换台电脑试试看看还能不能改
|
2
Havee 2015-07-10 11:06:55 +08:00
试了,不能
|
3
wkdhf233 2015-07-10 11:22:16 +08:00
想起了朱雀记里佛祖看破轮回,准备拉着全世界一起寂灭的埂
他的意思就是他能做到了而且觉得对所有人都好,就要不管所有人的意见强行拉着一起上 水果有指纹了也没见更新成不让我设置锁屏手势吧 |
4
We_Get 2015-07-10 11:35:05 +08:00
手机丢失掉之后,就呵呵了。身份证什么的在手机号码实名之后等同直接贴在手机号上了。
|
5
shaoshuang 2015-07-10 11:37:04 +08:00
你们一直都在自己拿着钥匙开自家门来说防盗薄弱的问题
如果真是这么简单,那支付宝整个安全部门可以集体开除回家了。 现在针对你拿手机时候的习惯手势(陀螺仪)、按键频率速度、触摸区域大小等都是有习惯和识别的 你们把支付宝的安全风控想的太简单了! |
6
imn1 2015-07-10 12:09:06 +08:00
反正 可信设备===住户持有人 这个逻辑超级奇芭
|
8
imn1 2015-07-10 12:15:01 +08:00
哇靠,刚才没看图,看完后发现又一条业务逻辑错误
这样说,公司就可以随意修改(并控制)所有员工的密码了?入职基本都要给身份证的吧? |
9
Halry 2015-07-10 12:15:19 +08:00 via Android
我都服了支付宝那奇葩的流程
|
10
honeycomb 2015-07-10 12:15:39 +08:00 via Android
@shaoshuang 自己拿着自家钥匙开自家门是存疑的。
自己是自己吗,是自己的手机吧,自己的手机的人和人是自己没有必然关联。 何况现在的主流思潮是两步验证+在受信任设备遇到敏感操作再强制验证一遍密码 反正随蚂蚁金服便吧,反正不用了 |
11
LazyZhu 2015-07-10 12:16:05 +08:00 via Android
支付宝取消手势密码是为了社交功能,不为别的.
阿里已经堕落到了这个地步... |
13
arfaWong 2015-07-10 13:30:58 +08:00
|
15
shaoshuang 2015-07-10 15:51:49 +08:00
@honeycomb 太好了,赶紧别用了!最怕你这种的,再用支付宝你没有小 JJ
按你的道理,那给支付宝负责财产保险的保险公司要破产了 人云亦云 的确,主流的思潮是建立在对使用者的行为没有识别的基础上,的确需要双重验证,这也是密码学里面的需求物理验证+密码验证(正如银行卡+取款密码),但是如果对使用者的行为习惯等有足够的识别,例如可以如果取款机可以声音特征识别(YY 而已),那自然可以取消掉取款密码 手机设备就是你的物理验证,你的使用行为早就已经在支付宝行程使用行为特征码,我刚才的回帖已经说了几种了(当然实际还包括更多更多的变量参数) 如果你觉得这样还不够的话,那只能说你要不就是太牛逼,赶紧去破解支付宝转别人的钱去,你可以发财了,要不就是太2逼,只会跟着别人说啥就是啥,不动脑子不会判断。 |