支付宝回应破解密码漏洞之谜：特定情况才会实现

今日有网友曝光支付宝安全漏洞，称利用此漏洞，熟人可轻松破解密码。对此，蚂蚁金服安全中心官方微博@蚂蚁神盾局回应称，这一方式仅在特定情况下才会实现。如果用户支付宝在其他设备被登录，本人设备会收到通知提醒。

支付宝回应破解密码漏洞：只在特定情况下才会实现

网友曝光的破解密码的方法，同事相互试，都能成功。不用手机验证。不用密码登陆。

其中，最为重要的两个环节为“选一个您购买过的商品”、“选一个您可能认识的人”。

对此，有网友推断，因为如果是同事关系，就可能选对“购买过的商品”，如果是熟人关系，就有可能选对“您可能认识的人”，因此被盗号的几率很高。

支付宝称，通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。

在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

以下为蚂蚁金服回应全文：

我们接到网友反映，称可以通过识别好友、识别近期购买物品，来找回支付宝登录密码。

这一方式仅在特定情况下才会实现。通常情况下，用户找回登录密码至少需要输入手机短信验证码。对于部分暂时无法收到短信的用户或者更换移动设备的用户，我们的风控系统会先进行评估(比如账户信息完整程度、网络环境等因素)。

在安全系数较高的情况下，才让用户回答一系列安全问题，只有在回答正确后，才能修改登录密码。

这一策略只能找回登录密码，仅通过回答安全问题并无法找回支付密码。且一旦用户支付宝在其他设备被登录，本人设备会收到通知提醒。

为了更好提升用户的安全感，在接到网友反映后，我们也进一步提高了风控系统的安全等级。目前仅在用户自己的手机上，才能通过识别近期购买商品以及识别本人好友来找回登录密码，通过其他手机设备是无法应用这一方式找回登录密码的。

我们也欢迎用户继续对我们的安全策略提出意见和建议，我们会根据大家的反馈进一步完善和修正。

支付宝后续有发声明转发蚂蚁神盾局的文案。

此事事件因为涉及支付宝的用户的体验，因此后续有什么新发现，小编会给大家提前播报。