近日，一位支付寶用戶的余額寶在用戶毫不知情的情況下被轉(zhuǎn)走了4萬元，這在用戶中炸開了鍋，余額寶是否安全受到眾人極大關注。支付寶方面稱，初步判斷余額寶被盜是用戶身份信息泄露及短信被劫持所致。
雖然支付寶方面稱，余額寶被盜的概率非常之低，但是這讓不少人產(chǎn)生擔憂。去年曾報道，通過一個手機號碼就能解開支付賬戶，那么如果用戶的手機丟失、手機號泄露，會不會導致余額寶被盜呢？
解開登錄密碼毫不費力
記者以自己一個尚未經(jīng)過實名認證的支付寶賬戶做了試驗，要打開余額寶，先要登錄支付寶。在電腦上輸入手機號碼后，點擊“忘記登錄密碼”，頁面就會跳出三種找回密碼的方式，分別是手機校驗碼+證件號碼、安全保護問題、人工服務，記者發(fā)現(xiàn)沒法找回密碼。
那么在手機客戶端上是否能找回密碼？在支付寶的手機客戶端上點擊“忘記登錄密碼”后，只要輸入支付寶用戶名(即該手機號碼)及頁面上顯示的驗證碼，該手機就會收到一條校驗碼，輸入校驗碼后，就可以重新設置支付寶登錄密碼了，同時還可以設置手勢密碼。

為什么電腦上無法找回密碼，而手機上就可以找回，客服人員稱，因為后臺系統(tǒng)會根據(jù)賬戶信息判斷給出哪幾種找回密碼的方式。為了驗證客服的話，記者又試了一個經(jīng)過實名認證的支付寶賬戶，電腦上果然顯示出了和之前不相同的找回密碼方式，如證件號碼+電子郵箱、身份核對問題等，最簡單的就是通過手機校驗碼，只要輸入收到的校驗碼，就能重置登錄密碼。
支付密碼并非堅不可摧
如果需要從余額寶中轉(zhuǎn)出資金，則需要支付密碼。支付密碼能解開嗎？記者還是分別用未經(jīng)過實名認證和經(jīng)過實名認證的賬戶做了實驗。未經(jīng)過實名認證的賬戶依舊能通過校驗碼就能在手機客戶端重置了支付密碼，而經(jīng)過實名認證的賬戶則需要證件號碼、安全保護問題、電子郵箱等其它個人資料才能找回。
但記者發(fā)現(xiàn)，雖然經(jīng)過認證的支付寶賬戶重置支付密碼不像登錄密碼那么方便，但一旦登錄到支付寶后，就會看到用戶的一些基本信息，比如電子郵箱等。在找回支付密碼的方式中，有一種是證書+電子郵箱的方式，由于郵箱已可被看到，且與手機綁定，因此通過手機接收驗證碼的方式，記者順利解開了該郵箱的密碼，并且在郵箱中收到了一封重置支付密碼的郵件，成功重置了支付密碼。
由此可見，雖然比較繁瑣，但支付密碼并非一道堅不可破的銅墻，而余額寶轉(zhuǎn)賬只需要通過輸入支付密碼即可。
“網(wǎng)絡支付沒有絕對安全，像支付寶這樣用戶數(shù)量大的第三方支付在進行風控體系設計時也要在可用性和安全性之間平衡，因此，肯定會有漏洞。”上海市信息安全行業(yè)協(xié)會秘書長王強表示。
(完)