当前位置:安全企业动态 → 正文

认证流程不严谨 支付宝身陷密码危机

责任编辑:editor006 作者:郑伟 |来源:企业网D1Net  2017-01-10 16:24:01 本文摘自:中关村在线

刚刚从朋友圈曝出支付宝“熟人可以修改登录密码的漏洞”,据称,任何人登录支付宝时,只需通过“登录手机账号——忘记密码——手机不在身边——淘宝买过的东西9张图片选1个——好友验证9个好友图片选1个——登录成功”,这时就可以直接扫二维码付款不用密码。而整个流程“陌生人有1/5的机会登录你的支付宝,而熟人甚至100%可以登录你的支付宝”,让广大网友为之心惊。

认证流程不严谨 支付宝身陷密码危机

  朋友圈曝出支付宝“熟人可以修改登录密码的漏洞”

在笔者看来,将其归类为漏洞问题,还不如说是支付宝身份认证流程上的不严谨,风控系统过于粗糙所致。随后,支付宝回应称,今天上午,已提高风控系统安全等级,目前仅在用户自己手机上,才能通过识别购买物品和好友找回登录密码,其它手机已无法使用此方法。

截止发稿前,笔者验证发现支付宝针对网友反馈的问题进行了紧急调整,修改了身份认证流程,并将其直接导向要输入真实姓名和身份证号码环节。

认证流程不严谨 支付宝身陷密码危机

 

认证流程不严谨 支付宝身陷密码危机

 

认证流程不严谨 支付宝身陷密码危机

目前支付宝已修改了身份认证流程,将其直接导向要输入真实姓名和身份证号码环节

认证流程不严谨 支付宝身陷密码危机

 

认证流程不严谨 支付宝身陷密码危机

 

认证流程不严谨 支付宝身陷密码危机

如果选其他方式找回密码,则有刷脸和打电话两种方式,不过打电话的话,仍要填写身份证信息

目前,随着网络安全威胁的日益加深,在金融支付层面上的身份安全认证机制也逐步完善中,最为常用的便是双因子认证机制(Two-factor authentication)。双因子认证是通过两种独立不相关的证据来证明访问者的身份。根据密码学理论,在数字世界里,独立不相关的证据可以来自于以下三方面因素:你所知道的(如密码或身份证号码)、你所拥有的(如USB Key或磁卡)或者是你自己的生物体征(如指纹、瞳孔或声音等)。

认证流程不严谨 支付宝身陷密码危机

  当前,身份认证流程中双因子认证机制的重要性还不容忽视

相较于传统单因子验证(One-factor authentication,2FA)如静态密码等带来的不可靠性,目前双因子认证机制已成为加强用户安全性的主流。而在此次支付宝事件中,其开始在对于密码重置需求的处理上,避重就轻,明显疏略了双因子认证机制的重要性,显然是犯了一个“低级性错误”。

不过,即使再强大的安全认证,在人为操作下都会有泄露的风险。安全专家建议第三方金融支付平台应该在身份认证流程、密码管理上进一步强化其流程严谨性与风控等级,切实确保用户的金融资产安全。

关键字:支付宝 认证机制

本文摘自:中关村在线

认证流程不严谨 支付宝身陷密码危机 扫一扫
分享本文到朋友圈

关于我们联系我们版权声明友情链接广告服务会员服务投稿中心招贤纳士

企业网版权所有©2010-2017 京ICP备09108050号-6

^