支付宝支付安全测试

申迪：支付宝一般之前开始的时候，会有这样的一个解锁界面，就是它有一个图形解锁，但是对于攻击者来说，肯定不知道这个界面，第一步就要选择忘记这个手势密码。那比如说对于攻击者来说，肯定就不知道这个界面，所以他选择忘记手势密码，他当然点击这个时候，就会进入到下一步界面。这时候支付宝就提示重新登录。然后这个时候，就可以输入数字类型的密码了，这个密码他当然也不知道了。

相比较微信绑定银行卡的程序，支付宝在一开始登陆的时候，就需要用户输入密码，虽然安全程度和复杂程度更高，但这个密码是否又能够被破解呢?

申迪：比如说需要知道帐户名，你看我们在初始界面的时候，其实这个帐户名是被隐藏了一部分的，并不是一个完整帐户名，那么就需要点击忘记密码，需要一个完整的用户名，当然很有可能是一个手机号，所以这一步是可以绕过的，那比如说我现在输入一个本机的手机号。

研究人员提醒我们，由于在现实操作中，很多消费者将自己的手机号码设定为账户名，因此这次试验就模拟了这种常见的情况，研究人员在账户一栏输入手机号码后，然后发送短信获取手机的验证码。

申迪：验证码会发到这个手机账号本身上，当然在捡到这部手机的情况下，就可以把验证码拿到了，那么进入下一步。但是下一步还有一个验证，就是身份证号。需要知道这部手机机主的身份证号，对于这一步来说，就和微信是同一种情况下，就是说这个身份证号还是很难拿到。等于说攻击者到这一步就没有办法了。

修改登录密码需要验证身份证

环节测试到这里，如果没有获得正确的身份证号码的话，支付宝的登陆密码也无法进行修改，为了进一步测试，记者假定手机获得者能够得到身份证信息，在修改了登陆密码后，记者成功地登陆了这部手机上的支付宝的界面。账号里的资金情况开始一清二楚。

申迪：资金帐户余额没有，银行卡里面有三张，然后余额宝里有钱。

央视财经《经济半小时》记者：余额宝里面有多少钱?

申迪： 有三万块钱。

看到了支付宝里有钱，但这样是否就能够消费或者转移这三万多元钱呢?

申迪：在支付宝做任何操作，只要涉及到金钱转出、转入相关的，都会给你这个提示，都会输入这个支付密码。找回支付密码是需要条件的，这里面提供两种方式，一种是通过短信，加上这个安保问题，一种就是短信，加上这个你存到的快捷支付的银行卡的信息。