V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qhwlpg
V2EX  ›  问与答

支付宝可信环境下可以任意修改可信用户的登录密码和支付密码

  •  
  •   qhwlpg · 2015-07-10 10:15:27 +08:00 · 2555 次点击
    这是一个创建于 3433 天前的主题,其中的信息可能已经有所发展或是发生改变。

    首先我好久登录支付宝,密码忘记了,选择密码找回,然后直接让我输入身份证就可以更改密码,不用手机短信验证码,顿感问题,就试了身边的小伙伴发现也可以这样!
    http://7xka5f.com1.z0.glb.clouddn.com/1.png
    http://7xka5f.com1.z0.glb.clouddn.com/2.png
    然后发到群里询问更多的小伙伴,发现如果是支付宝好友有的也可以直接输入身份证更改密码,也可以是支付密码!
    昨天提到阿里应急响应中心,说这个不算漏洞,
    http://7xka5f.com1.z0.glb.clouddn.com/3.png
    他这么一说,我就无力吐槽了,凭什么你认为你给我的可信用户名单在我认为就一定可信?!没有经过用户同意就通过大数据分析,划为相互可信?!就算这不可以批量攻击,不是漏洞,至少这件事情用户得有知情权,让用户决定自己的可信用户。各种改小伙伴的密码的姿势大家敬请尝试!

    robinray
        1
    robinray  
       2015-07-10 10:32:28 +08:00
    你换台电脑试试看看还能不能改
    Havee
        2
    Havee  
       2015-07-10 11:06:55 +08:00
    试了,不能
    wkdhf233
        3
    wkdhf233  
       2015-07-10 11:22:16 +08:00
    想起了朱雀记里佛祖看破轮回,准备拉着全世界一起寂灭的埂
    他的意思就是他能做到了而且觉得对所有人都好,就要不管所有人的意见强行拉着一起上

    水果有指纹了也没见更新成不让我设置锁屏手势吧
    We_Get
        4
    We_Get  
       2015-07-10 11:35:05 +08:00
    手机丢失掉之后,就呵呵了。身份证什么的在手机号码实名之后等同直接贴在手机号上了。
    shaoshuang
        5
    shaoshuang  
       2015-07-10 11:37:04 +08:00
    你们一直都在自己拿着钥匙开自家门来说防盗薄弱的问题
    如果真是这么简单,那支付宝整个安全部门可以集体开除回家了。
    现在针对你拿手机时候的习惯手势(陀螺仪)、按键频率速度、触摸区域大小等都是有习惯和识别的
    你们把支付宝的安全风控想的太简单了!
    imn1
        6
    imn1  
       2015-07-10 12:09:06 +08:00
    反正 可信设备===住户持有人 这个逻辑超级奇芭
    imn1
        7
    imn1  
       2015-07-10 12:09:34 +08:00
    @imn1
    写错了,应该是账户持有人
    imn1
        8
    imn1  
       2015-07-10 12:15:01 +08:00
    哇靠,刚才没看图,看完后发现又一条业务逻辑错误
    这样说,公司就可以随意修改(并控制)所有员工的密码了?入职基本都要给身份证的吧?
    Halry
        9
    Halry  
       2015-07-10 12:15:19 +08:00 via Android
    我都服了支付宝那奇葩的流程
    honeycomb
        10
    honeycomb  
       2015-07-10 12:15:39 +08:00 via Android
    @shaoshuang 自己拿着自家钥匙开自家门是存疑的。

    自己是自己吗,是自己的手机吧,自己的手机的人和人是自己没有必然关联。

    何况现在的主流思潮是两步验证+在受信任设备遇到敏感操作再强制验证一遍密码

    反正随蚂蚁金服便吧,反正不用了
    LazyZhu
        11
    LazyZhu  
       2015-07-10 12:16:05 +08:00 via Android
    支付宝取消手势密码是为了社交功能,不为别的.
    阿里已经堕落到了这个地步...
    zts1993
        12
    zts1993  
       2015-07-10 13:28:19 +08:00
    @LazyZhu 恍然大悟。
    arfaWong
        13
    arfaWong  
       2015-07-10 13:30:58 +08:00
    imn1
        14
    imn1  
       2015-07-10 13:40:16 +08:00
    @arfaWong
    打死不给老婆看我手机,不然这验证码显示的全是杜蕾斯……
    打死不给老公看我手机,不然这验证码显示的全是验孕棒……
    shaoshuang
        15
    shaoshuang  
       2015-07-10 15:51:49 +08:00
    @honeycomb 太好了,赶紧别用了!最怕你这种的,再用支付宝你没有小 JJ
    按你的道理,那给支付宝负责财产保险的保险公司要破产了
    人云亦云
    的确,主流的思潮是建立在对使用者的行为没有识别的基础上,的确需要双重验证,这也是密码学里面的需求物理验证+密码验证(正如银行卡+取款密码),但是如果对使用者的行为习惯等有足够的识别,例如可以如果取款机可以声音特征识别(YY 而已),那自然可以取消掉取款密码
    手机设备就是你的物理验证,你的使用行为早就已经在支付宝行程使用行为特征码,我刚才的回帖已经说了几种了(当然实际还包括更多更多的变量参数)
    如果你觉得这样还不够的话,那只能说你要不就是太牛逼,赶紧去破解支付宝转别人的钱去,你可以发财了,要不就是太2逼,只会跟着别人说啥就是啥,不动脑子不会判断。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3550 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 04:48 · PVG 12:48 · LAX 20:48 · JFK 23:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.