V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Sephinroth
V2EX  ›  问与答

支付宝的短信校验服务为何要设定为“当用手机客户端付款时无需校验”?

  •  
  •   Sephinroth · 2015-07-29 17:43:20 +08:00 · 3595 次点击
    这是一个创建于 3397 天前的主题,其中的信息可能已经有所发展或是发生改变。

    起因是前些天偶然发现用自己手机上的支付宝钱包,通过输入账号和登录密码登录家里人的支付宝账号后,只要知道支付密码就可以将余额宝中的款项转走(所涉款项为300元)。

    整个过程中家里人开通了短信校验的手机都没有收到任何校验短信,也没有收到资金变动提醒,仅仅是收到了一个从其他设备登录的提示,点开提示后发现反倒是此手机上的支付宝账号被登出了。

    后来又在其他手机上尝试,也成功转走了款项(试验款项都在100元以下)。

    查询支付宝官网发现有这么一说:

    开通短信校验服务后,当你在电脑上用余额(含余额宝)和快捷支付时,支付宝会向你发送手机校验码(当你用手机客户端付款时无需校验)

    感觉这么做虽然方便了手机客户端正常状况下的使用,却削弱了类似两步验证式的安全性,甚至使得短信校验服务本身在很大程度上失去了意义:若登录密码和支付密码泄露,他人可通过移动端转走款项,绕开有短信校验的桌面端。

    不知大家怎么看 @@

    9 条回复    2015-07-29 20:59:25 +08:00
    paw
        1
    paw  
       2015-07-29 18:33:01 +08:00
    估计还会考虑到登录地点、收款人来往等吧
    就像QQ可以设定某个城市不用二次验证
    imn1
        2
    imn1  
       2015-07-29 19:06:01 +08:00
    你两个手机都在同一个 wifi 下?这个被“视为同一设备”可能性最大
    LazyZhu
        3
    LazyZhu  
       2015-07-29 19:20:11 +08:00
    @imn1 哈哈, 如果用公共WiFi的话那不是惨了...
    em70
        4
    em70  
       2015-07-29 19:20:36 +08:00 via Android
    只要手机不掉,万事都好说
    akira
        5
    akira  
       2015-07-29 19:52:04 +08:00
    个人理解:既然你已经是用手机登陆支付了,一般来说,这个手机和你登记的就是同一台手机,这个时候,短信验证也就没有太大意义了。
    liujiantao
        6
    liujiantao  
       2015-07-29 20:04:07 +08:00
    支付宝拥有大数据风控,同时校验各种有关安全的东西,我一直搞不清楚,支付宝你点开就获取摄像头权限是为什么,应该也跟风控有关
    processzzp
        7
    processzzp  
       2015-07-29 20:20:18 +08:00
    @em70 然而现在社会掉个手机并不难,就算不掉被家长/同事/女友翻一下的可能性也很大。
    然并卵,反正支付宝又不是第一次被喷了,屁股决定脑袋。
    ipconfiger
        8
    ipconfiger  
       2015-07-29 20:23:49 +08:00
    傻啊,手机都在别人手里了,验证短信不一样看到了,要这步有个屁用
    Sephinroth
        9
    Sephinroth  
    OP
       2015-07-29 20:59:25 +08:00
    @ipconfiger
    我的吐槽针对的是:
    “登录密码和支付密码泄露”,但手机并未丢失的情境。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2765 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:45 · PVG 22:45 · LAX 06:45 · JFK 09:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.