在微信发布小程序之后,支付宝1月10日被曝光的非密码登录模式下可能出现的账户安全问题,在加上马云爸爸“忽悠”川普未来给美国带来100万个就业岗位,阿里抢头条也算是丧心病狂了……
本文科普这个漏洞和产生这个漏洞的原因,以及个人该如何做好防护,文中给了若干个人隐私信息保护的技巧和思路。
以下是本文的概要和重点观点,没(kan)时(bu)间(dong)就不用看了。
1. 这次支付宝的安全漏洞本质上就是在回答“你是谁”这个哲学问题上,犯了一个错误;
2. 这个错误反映了阿里的PM和腾讯的PM之间差了100个百度的PM;
3. 社交软件做支付不安全,支付软件做社交更不安全;
4. 解决:对一切账号抱着一定会有其他人能登录的心态,看自己能承担的风险,再考虑选择怎样的解决方案;
5. 这个赤裸裸的世界里,埋藏了更多更大的安全及隐私的问题。
刘嘉老师友情提示:
本文3300个字
预计阅读时间为5分钟
1.这次到底是啥问题?
支付宝这次抢微信小程序头条的暴露的安全问题的全称应该叫“支付宝1月10日被曝光的非密码登录模式下可能出现的账户安全风险”。这到底是什么鬼?
简单讲,就是在支付宝中重置密码可以不用手机短信验证,而只需要回答两个类似你最近买了什么,谁是你支付宝好友这样的社交问题,就可以重置你的支付宝密码了。这样跟你熟悉的隔壁家小陈加了你支付宝好友能看到你支付宝账户名称的,就有极大的概率可以重置你的支付宝密码。
⬆️如果你想重置你好友的支付宝密码
当然,支付宝中有一个“支付密码”,这个密码和登录密码是独立的,所以盗完号后如果不知道支付密码,理论上无法完成大额消费,但即便如此,你仍然可能会蒙受如下损失:
Ø 很多人的支付宝都设置了小额免密支付,虽然小额只限200元,但经不住隔壁小陈多刷;
Ø 隔壁小陈可能会向支付宝里的好友借钱;
Ø 你的各种收货地址、关系人、电话、花呗、余额宝、银行卡、付款码等信息也都会被泄露;
Ø 万一,你和那家小姑娘发发红包聊聊人生和理想还交互过一些照片,就是下一个照片门……
好了,大致就是这个情况,你问我有没有被隔壁家小陈盗号,嘿嘿,自从支付宝 16年 8月初 9.9 大改版之后,我就删除了支付宝联系人里面除亲属外的所有好友,就连很(zuo)快(bai)就(ri)要(meng)IPO的MOOCTEST的老板陈振宇教授,我一咬牙在最早的一批就删了。
找回密码的最核心的问题就是认证“你是谁”这个哲学问题,找回密码最常见的是可以用手机、邮箱、实际电话找回等等多因子认证,而支付宝加入了你自己行为和朋友的辨析这样的认证因子而带来的安全隐患。
2.临时工程序员都背过锅了,
这次锅谁背?
毫无疑问,这次是支付宝“找回密码”的PM(产品经理)妥妥的锅。
普遍来说,支付宝,甚至整个阿里的PM都有一个毛病,就是非常喜欢对用户做决定,想当然的决定一些功能,缺乏必要的逻辑和深入的思考。其实最核心的,阿里的毛病是缺乏针对用户角度的思考。
而看看微信的爸爸张小龙,他曾经对微信的产品经理说过:
“
“你们每增加或者改变一个功能,都会影响到数亿用户,对此你们不应该心怀畏惧么?想一想自己决策的后果,不会因此而感到害怕吗?”
”
就是这句,心怀畏惧,心怀畏惧,心怀畏惧。
引用知乎那句,阿里的PM和腾讯的PM之间差了100个百度的PM。
3.这次安全漏洞的本源是什么?
社交和支付本就是两件完全不同的本源出发点,社交时容易无意暴露自己的很多信息,但保证财产安全本身需要保证尽量少的信息暴露。社交希望越来越近,而支付其实是希望越来越远。这两者是相悖的。
几年前,我一直觉得社交网络(微信)做支付是不安全的,现在我才知道,支付软件(支付宝)做社交才是最不安全的。
而问题是,微信一定要做支付,而支付宝推出“支付鸨”这样的东西就知道它想做社交的心永远不死,当然为什么会这样是另一个更大的话题。
所以,
解决技巧1:选择社交就不用它的支付,选择支付就不用它的社交。也就是用微信不支付,用支付宝不加好友不聊天。
但如果我们无法决定或者影响社交和支付的融合的情况下,甚至我们在享受支付宝、微信支付带来的便利的时候,我们该如何解决我们的隐私和安全问题。
4.俺们这些吃瓜群众该怎么办?
王宝强被老婆和经纪人坑了,佟丽娅老公陈思成劈腿,这些八卦我们这些吃瓜看戏的群众喜闻乐见,成为我们剔牙买单时的笑谈,可是这种事情一旦落在自己身上,我们就完全没有这么轻松和惬意了。
那这类安全问题,我们该怎么办呢?
我们不能指望党不能指望国家,不能指望马云也不能指望马化腾,更指望不上那些产品经理和程序员,(当然,我们应该对程序员好一点,让他们在美好的世界里活着,因为未来我们的生活越来越被他们所掌控。)所以,我们只能指望自己。
解决技巧2:
1. 首先,对你自己一切的账号,要抱着一定会被其他人登录,或者使用这样的一个健康的心态。比如,首先你要知道你支付宝账户可能被别人登录;
2. 接着,你要问自己,如果有人登录你的账号会带来怎样的损失,你最多能承受多大的损失。比如,你觉得你能承受被别人盗刷个500块的损失,即便支付宝不赔(记住,支付宝有一个情况是不赔的,就是它认为是亲友盗用);
3. 最后,你解绑所有的卡,删除大部分不太相关的好友,只绑定一个只有500元的银行卡,每次用完了就从银行转账转到这张卡上即可。
5. BUG修复了就安全了?
其实,任何单一平台的安全都是好解决的,无论是支付宝、微信、京东还是传统的银行,但是现在和未来,最大的风险来源于跨平台的安全性问题,举几个例子。
例子1:很多人在淘宝、京东、微信、邮箱的账号密码都是一样的,一旦有地方泄露,将形成被撞库的风险,这种事情已经大量出现;
例子2:电商网站中,你的姓名、电话和地址被保护的极少,而在多个网站中往往都一样,(就连淘宝卖家,快递小哥都知道),而很多地方找回密码是可以直接通过打电话给网站的客服找回的,而电话找回一般都会问你电话号码,常用地址之类的,比如京东的电话找回密码;
例子3:以前你在淘宝上因为差评而被卖家夺命追魂call,其实,卖家完全可以打电话给银行,他能很轻松的在淘宝上知晓你的身份证后4位,银行卡后4位,然后申请紧急挂失,比如建行,挂失就只需要问这些再加上最近的某些消费金额(这对卖家来说太简单了)。
例子4:如果你知道别人的电话号码,你怎么知道别人的姓名呢?百度上肯定搜不到,嘿嘿,你可以去支付宝试试啊,你输入电话号码,一般电话号码都和支付宝绑定,你申请转账,支付宝会提供给你这个账号真实姓名的名,你只要用百家姓不断的试就可以搞定了。
……
好吧,只要出现跨域的问题,这种问题就是无穷无尽的,无法根本上解决,那就先说几个能稍微自救一点的解决方案吧。
解决技巧3:特征性密码,比如,陈振宇教授,他常用的密码是mooctest123,那么就可以在京东上的密码是moocjdtest123,淘宝上mooctaobaotest123,这招可防止机器行为的自动化撞库现象。
解决技巧4:特征性地址,这个和特征性密码是一样逻辑,反正特么现在那些快递小哥送快递都只送到楼下,你在不同地方的地址可以写不同的单位,比如,陈振宇教授可以京东的送货地址是南京大学费XXX楼A单位,淘宝的地址是XXX楼B单位之类的。
解决技巧5:有一个一揽子计划,除了结合上面的解决技巧2中有一张低值银行卡绑定之外,申请一个本地电话,专门用来购物和收快递,不绑定任何账号,减少真实电话号码外泄,所有身份证复印件都自己操作,不要在非支付领域绑定银行卡(比如不要在京东上绑银行卡),所有快递收件人姓名都不用全名,比如可以用“老宇”“隔壁小陈”“MT(mooctest)”收快递等等……
网络安全事故就像明星出轨一样,只有被曝光与没被曝光之分。所以每次有网络安全事故被报道之后大家不要只是紧张和愤怒,这些事件的被曝光一方面督促企业加强网络安全建设,另一方面能让我们多一些关于“如何保护自己”的思考。
题外话:以前的网络安全问题,我们都是集中在防病毒、防火墙、VPN、入侵检测之类的问题上,形成了一系列牛逼的上市公司。而未来,身份认证的安全、账号密码的安全拥有着广泛的市场,小伙伴们可以在这个领域结合各类场景形成更好的工具和安全解决方案,这是一个极大的创业的机会。想想神州专车推出的隐私号码(神州将客户号码转化成一个随机的其他号码,在内部做绑定,司机不会知道你真实的电话号码)这个思路就挺好。
PS:本文内容源于江苏电视台的一次临时采访。
我只想说,视频美图为什么没有加,为什么?为什么?为什么?
本文作者
Doctor 刘嘉
南京大学软件学院副教授,主要研究方向是开发者社会化网络的挖掘与分析。
耿强的公众平台号
南京大学耿强教授,对经济的原创评论,经济政策解读,经济周期趋势判断,新闻评点,原创的行业分析。
微信号: gengqiangNJU
点击阅读原文
获得刘嘉老师更多原创观点