手机被盗时，如何保证支付宝、余额宝的安全？
手机支付宝手势密码可以通过登录密码修改；登录密码可以通过手机修改；支付密码一样可以通过手机修改。也就是说，无论谁拥有手机后，都可以获取支付宝手势密码、登录密码、支付密码！此时显得支付宝的安全难以保障！--------------------------------------------后来发现修改支付密码是需要提供身份证号码的，也就是说在手机与身份证信息未一起丢失的情况下，支付宝还是很安全的。
101 个回答
这事我还真遇到过，当时手机丢了，我只干了一件事就是补办手机卡，这样原来的号码就收不到短信了，修改密码很麻烦的，需要有支付宝手势密码，改密码又需要支付密码，最近手机上还有一个支付宝手机支付6位密码，最后要收一条短信，好像还要输入证件号码。不过只要你立马挂失手机卡，一切就OK。--------------------------------------------12月12号更新------------------------------------------------有很多人都赞了这个答案，就把大家疑惑的评论私信一一回复问题大概是修改密码用手机就行了，这样是不是很不安全？答：手机支付宝作为国内比较大的第三方支付当然有自己的应对机制，比如当你进入支付宝的时候需要输入手势密码,当然在左下角有一个忘记手势密码，我实验了一下，点击忘记手势密码之后需要重新登陆，如下图之后又是重新登录在右下角有忘记密码，我们再次点击在右下角有忘记密码，我们再次点击在这里他就要让填写手机号码，这个小偷不知道吧，你说可以打电话就知道了，可是只要一打电话，就暴露小偷自己了，有人又说，他可以办不记名卡打过去，ok。就依照你的推断，小偷知道了手机号码，我们进行下一步。收验证码， 看到这里，你是不是想，完了，验证码都有了，这个咋办？钱要损失了，别急，他还有下一步，输入证件号码（这个需要支付宝实名登记）
有人还说，我要是没有实名呢？有人还说，我要是没有实名呢？这个可以在输入手机号码的地方就拦下来，实际操作就是打1，10010.有人评论说挂失有延迟，好的，我出于害怕大家出现这种情况，去营业厅挂失了自己的手机卡，30秒后，我的手机就收发不了短信，打不了电话。所以要出现钱被转移的可能性较小，大家可以放心，要出现被盗刷的条件是。1，他要知道你的手机号码并且不让警方发现，2.支付宝没有实名登记，（所以没有实名的赶紧去吧），3.你丢失手机很久之后才发现丢失，来不及挂失。答案完毕（如有错别字等问题，请指正。）
首先讲丢失手机之前应该做的，后面讲丢失手机之后应该做的。内容已经更新~------------------------------------未雨绸缪安全策略篇-----------------------------首先在丢失手机之前，请尽量按照以下步骤未雨绸缪，如果全部做到了，手机放心丢吧！手机作为支付宝默认的最高认证，如果丢了手机痛苦无限，所以以下措施的实质是讲最高认证转移到电脑端。1.取消手机作为用户名登录而用一个支付宝专用的邮箱登录。这样就可以确保捡到你手机的人不知道你的支付宝账号（即使是登录打开了支付宝账号界面也是看到打****的账号而已）。这点很重要，通常捡到你手机的人都会默认为你的手机号就是支付宝账号，当然多数人也是这么做的。另外，最好不要用QQ邮箱，因为你手机可以轻易看到QQ账号，建议用专用的一个邮箱。以下是取消手机作为登录名的步骤：登录支付宝----帮助---自助服务点最底下的修改手机登录名，选择人工审核方式，在备注里写上取消手机登录名，上传资料，等待人工审核办结（48小时内，如到时未办结直接联系在线客服加速处理）审核完毕后手机登录名就关闭了-------------2.取消无线支付，或者用不可以插电话卡的平板安装支付宝。假设很悲剧地就是没有取消手机登录名或者坏人（暂且这么称呼吧）知道了你的登录名和身份证号，又用手机修改你的登录密码进入了支付宝，但是你关闭了无线支付，起码他不能在手机端对你的资产作出任何行动。当然这也导致了无法无线购物，请自行斟酌得失。所以为了保证不失便捷性能，建议手机不安装支付宝而是用平板安装。以下是取消无线支付的步骤：登录支付宝----安全中心----无线支付----关闭无线支付---------------3.购买和使用支付盾。一旦绑定支付盾又关闭无线支付，手机是不能动资金的。任何资金改变都必须在电脑端插入支付盾。假设坏人捡到你手机，又知道你账户名又知道你身份证号（没那么倒霉吧？），即使是关闭了无线支付，理论上就可以在网页上修改你的登录密码和支付密码。这个时候支付盾登场啦，无论是开通或者关闭无线支付，都必须插入支付盾。而且注销支付盾也必须插入支付盾。而且就算偷了你的支付盾注销，也必须是支付宝的人工审核，有48小时。为了余额宝那血汗钱的安全，58元的支付盾果断搞起啊！话说如果能同时搞到你的手机、身份证号和支付盾的人....不是你老婆吧？（~\(≧▽≦)/~啦啦啦，到这里为止你的支付宝安全咯，手机？旧的不去新的不来呢~~~~）----------------番外篇-------------4.终极安全策略：搞三搞四。做完上面的安全措施还嫌不爽？这里有个折腾方法供看客欣赏，有点复杂，借个例子来描述：某男买了一个空白手机号绑定支付宝，并把空白手机号仅仅放到家里不带出去。同时，他的手机不安装支付宝而是买了一个不可以插电话卡的平板安装支付宝，又同时，他的支付宝实名认证的身份证号是他爸爸的号码。（因为通过手机实名制可能查到机主身份证号）----------------------手机丢后的措施----------------------回到正题：假设上面的安全措施都没做，手机已经丢了怎么破1.马上去移动服务商注销手机号码，并及时查看支付宝是否损失钱财2.如果钱物有损失，打支付宝客服95188可以咨询，余额宝100%赔付哦。在支付宝页面找回登录密码和支付密码，改成新的密码。3.按照上面的安全策略，一个一个完成4.是时候买新手机了...\(^o^)/------------------------------关于支付宝本身的问题----------------------------1.请不要相信手势密码，秒破！IOS版本在断网的情况下，连续输入5次错误，自动跳过手势密码进入了支付宝界面。安卓版本？在应用设置对支付宝钱包清除数据+缓存，手势密码秒破。不知道现在有没有改正以上问题2.支付宝本身已经有改进了，之前修改密码是不用身份证号的。不过有你手机的话，实名手机号码，可以轻而易举根据验证码登录中国移动/各大你可能注册过的网站，再查看身份证号码。3.请用支付盾，支付宝的漏洞在我眼里就是为了推销支付盾...
第一名答案怎么得票这么高！真讨厌！哥这么专业都没地方发挥了！（重点直接看最后）大家都说这么多了，我简单的来说吧，也算是给支付宝和支付宝风控打个广告。1、快捷和余额宝全额赔付2、余额赔5000所以，你把钱都放在余额宝里，支付的时候用快捷支付就好了。剩下的什么手机丢了钱没了，不小心被盗了钱没了，不小心中了木马钱没了，打95188去赔就好了声泪聚下，记得报案，72小时赔付。你说如果做风控的，要让你防这个防哪个，要他们干吗。所以，如果你手机被盗了，你什么也不用做，打95188就好了。
我就奇了怪了，iOS重重保护你的手机，就算丢了重新补卡买手机就是了，数据有什么好担心的。如果你把iOS做了如下设置，对于题主的所假设的情况，99.99%应该是不存在的，既然小偷连你家门都进不去，又何必担心保险箱被盗呢？呵呵，说我炫耀5s的，you can you up~你打开Find My Phone，手机被偷后，可以登录 ，远程控制你的手机，包括锁定、抹掉数据等等。（PS：iPhone5，包括iPhone5s在FMI打开的情况下恢复系统之后，再激活的时候需要首次登录首次激活该机器的Apple ID，关掉FMI，也需要你的iCloud ID） 对了，要是找不到手机了，也可以用iCloud网页版播放铃声的功能，手机会一直叮叮的响，直到你找到手机按下OK为止评论里有人说开启定位费电，在隐私设置里关掉你认为不需要定位的app在设置→通话→设置PIN，设置你的PIN小偷把你的SIM卡换到其他手机又用不了！@ 提醒，默认的PIN码是1234，赶快改掉吧！在设置→通用→密码，关掉简单密码，设置超长超复杂的密码最后一招：开启抹掉数据功能，当连续10次输入错误密码之后，系统自动抹掉所有数据大小写字母+数字+颜文字这种的解锁密码，能猜出密码就牛逼了~不信来猜猜我的密码，猜对了手机送你哦~不要说超长密码解锁麻烦啊，5s的指纹解锁超好用，真的哟~不要说超长密码解锁麻烦啊，5s的指纹解锁超好用，真的哟~用当下最好用的手机才是王道啊亲~
我实施的方法是：绑定支付宝的是一个手机，登录支付宝的又是一个手机。绑定支付宝的那个手机不下载支付宝App，常用来登陆支付宝的手机号不是绑定的号码。这样子，无论你的那个手机丢失都可以通过另一个手机配合电脑来进行安全操作。就算两个一块丢，只要不是被同一个蓄谋已久的人偷取都可以确保安全！
看了各种回复，我比较好奇为何各位不使用手机锁屏密码保证安全？目前我用的是安卓，据我所知没有任何可以方便、快速的破解解锁图案密码的方式。图案解锁输入错误5次就会锁定30秒，以这个时间来说基本上没有可能暴力破解你的解锁密码，而点忘记解锁密码则需要输入谷歌电子账号邮箱和密码，这个应该也是小偷不可能知道的。平时设置上锁屏密码，再加上不显示图案来从一定程度上防止被偷窥。至于有人觉得麻烦，我周围的同学基本上都会设置手机解锁密码，不论安卓，IOS还是WP，习惯了就好。============下面还有个小技巧，安卓的谷歌服务框架提供了远程锁定等等功能，这样在对方尝试你的密码时，也可以直接远程锁定设备，修改密码，抹去数据等。在google play网页
的右侧，那个设置点开： 进入安卓设备管理器进入安卓设备管理器会显示一张地图，为了隐私我就把它遮住了~~~会显示一张地图，为了隐私我就把它遮住了~~~左上角就是你的设备信息，可以看到位置，进行锁定：然后瞬间手机屏幕就会锁定，再解锁就变成输入pin解锁了。然后瞬间手机屏幕就会锁定，再解锁就变成输入pin解锁了。还有清空数据。。。。。。。不敢试验了………………………………还有响铃：这个对于手机忘了放哪里了还是有点用处的。。。这个对于手机忘了放哪里了还是有点用处的。。。至于IOS，也有类似的功能，WP我没用过不太清楚。所以………………还是从系统这个层面保证手机的安全吧…………
题主描述的这些情况，都是在手机屏幕解锁的前提下才能够进行的。现在手机如此重要，不加解锁密码就和出门不锁门一样。所以设置手机解锁密码显得格外重要。无论是安卓的手势、苹果的简单密码、苹果的复杂密码或者是iPhone5S的指纹密码（当然指纹密码实际上是帮你输入解锁密码），都能增加一层很关键的保障。这里我只能给iPhone5S打广告了（没错，我是果粉）：iOS7（无论是哪款苹果移动设备），开启Find My iPhone，可以在其他可以上网的设备上设置锁定这台手机、设置已丢失并抹除手机数据。Touch ID指纹解锁使得传统密码锁屏对用户体验的干扰完全消失，5S没有不上密码的理由。相关详细介绍请访问苹果官网。截图摘取如下：
做了一把试验，先放三提醒，且看为什么。1.支付宝账号不要绑定手机。2.手机支付宝小额免密支付不要开启。3.找回密码的密宝问题不要设置的太简单。最最重要的提醒是，手机支付宝小额免密支付请！请！请！不要开启。==========游戏开始的分界线============我捡到一部手机，上面安装了支付宝客户端，打开客户端，要输入登录手势。作为捡到手机者，我当然不知道手势密码。点击忘记手势密码，进入使用登录密码的界面。悲剧了，作为拾金却昧者，登录密码我也不知道。谢谢支付宝贴心的“忘记密码”服务，让我可以轻松重置密码。看下面图。这里有两个分支，一个是走邮箱路线，一个是走手机绑定路线。我走的是手机路线，填了本机手机号，输入图中验证码。手机收到短信校验码，填写。输入重置密码，轻松破解登录一关。此处跳过获得登录密码后，可以直接重置手势密码的过程。我可以登录了，此时我窃喜，马上看失主是否开启了“小额免密支付”。要知道，如果开启了小额免密支付，我是直接可以用“当面付”功能，将所有金额转到自己的支付宝，或者直接用购物。这里就提醒大家千万不要开启小额免密支付 ，因为开启后，只要登陆密码的防线一旦被攻破，那么支付宝的金额就不保了。失主机智，没有开启免密支付。我试一下，我能否自己开启免密支付。点击开启之后，点左上角返回。没想到提示需要支付密码。这就是第二关了。点击支付宝手机客户端上的“账户安全”，选择“找回支付密码”。提示选择找回方式。我选择的是“短信+安保问题”。短信当然是直接手机收到短信就搞定了，接下来是安保问题。失主的安保问题是“我爸爸的名字是？”，安保问题如果我破解不了，就没法找回支付密码了。就Game Over了。这里就提醒大家，安保问题别搞得太简单，比如爸爸名字，妈妈名字，高中学校什么的。支付宝主界面是有你个人名字的，如果你名字太特别，别人要搜索出你的高中、大学名字难度不大的。作为实验者，我当然知道安保问题答案啦。没想到只需要答对一个安保问题，就可以直接重置密码了。这个安全性我觉得也不是很高。游戏结束。破关成功。============游戏结束的分界线========补充说明一下，找回登录密码一关，如果你没有绑定手机账号，不能直接用手机账号登录。是可以使用邮箱号登录的，而在支付宝提示“输入登录密码”上，是会有部分的邮箱号的，比如 可能会显示成12****@，那么简单的方法就是，直接打开手机的邮箱客户端，就是iPhone上的“邮件”app，里面就可以看到邮箱了。所以说，登录密码这一关的安全保证还是非常薄弱的。
用iPhone，并且设置输错十次密码清空所有数据。手机卡一定要设置PIN码，一定一定！！！否则小偷拿了你的手机卡装到另一台手机上几乎可以接管所有用手机注册的账号。
汪利辉（阿里巴巴高级安全专家，原谷安天下资深信息安全专家）近日看到一则新闻说“某男子捡一手机装有支付宝网购，用其购买7台iPhone”。捡到手机的人通过支付宝“找回密码”操作，成功获得密码，然后开始网购，支付宝被刷了3万多元。关于这则新闻事件的可能性我在微博上与李铁军讨论了半天。有些朋友可能记得在今年三月份有条新闻说有人通过某些偏远地区的移动营业厅，使用假证件挂失补办他人的手机号，并通过手机修改支付宝密码，盗取支付宝里余额。我先暂且不去分析这两件事件的真实性，但作为支付宝的忠实用户，我还是想去了解一下究竟，是否存在这种可能。以前我并不是很关注支付宝的安全新闻。自从被“强迫”使用了支付宝的快捷支付和最近推出的余额宝，事关自己的利益，因此最近支付宝出现的安全事件新闻，我都会参与讨论一下，包括上次的交易信息泄露个人信息的事件。于是上周末我花了点时间对阿里的手机客户端做了下测试。由于本人只有安卓的手机，所以测试的都是安卓应用。测试的应用主要是淘宝手机客户端和支付宝钱包(都是最新版本)，同时对wap版及网页版淘宝和支付宝做了附带测试。本次测试没有使用任何工具，仅仅用常规手法测试业务流程。但通过测试我还是发现了一些问题，或许有些偏差，但测试的结果我都截了，应该反映的都是真实情况。以下是测试发现主要的一些零碎问题：1. 一分钱可以买你的账号信息支付宝客户端有一个“手机号转账的功能”。通过该功能，可以知道某手机号对应支付宝用户的关键信息。不花钱的情况下可以知道对方的名字，如果支付一分钱，就可以知道对方的支付宝的账号和真实姓名(点击手机转账里对方手机号的联系人图标，为了测试这个问题，花了几块钱，希望支付宝赔给我)。关于这个类似的问题，之前小鸟在乌云上报过，但是还是没有完全杜绝。另外， 也有这个问题，付款前都看不到对方的账号信息，付款后就可以在支付宝里面转账联系人里面看见。2. 提现银行卡号未处理直接显示关于信息泄露的问题客户端还有一些，比如提现银行卡号信息泄露的问题，网页版是看不到的。(301同学提供)银行卡号在网页版支付宝取回支付密码时可能被用上。3. 淘宝客户端退出好难淘宝客户端起初我一直没有关注过退出的问题。由于这次顺便测试了下淘宝客户端的安全性，顺便也测试了下安全退出的问题，结果发现淘宝客户端的退出好蛋疼。平时退出淘宝客户端我都直接按返回键。有时候也从菜单里面选择“退出”。但事实上，淘宝的客户端根本没有真正的退出，重新打开还是会自动登录(登录界面也没有记住密码的选项)。需要退出账号得在菜单》》设置》》注销，下次登录才需要输入用户名密码。此外我寻了半天也没有设置一个类似支付宝手势密码的地方。既然“不鼓励”退出，总该搞个其他的简单验证吧。话说淘宝里面有很多隐私信息的，如联系人、订单信息都可以查看，更重要的还可以一键切换到支付宝客户端。4. 支付宝手势密码形同虚设支付宝的手势密码看起来很威猛，但其实是个纸老虎，很容易就能绕过。我最先想到的方法是把支付宝客户端卸载了重新安装，然后通过淘宝客户端的一键切换跳转过去，这个大家可能都能想到。如果机器没有安装淘宝客户端，或者淘宝客户端没有登录怎么办?办法还是卸载支付宝客户端，然后重新安装。支付宝卸载并没有删除账号信息，重新安装后还可以使用，这样就绕过了手势密码。支付宝和淘宝的验证信息都存在手机本地，假如手机被植入木马，账号相关文件被盗取，是否可以在其他手机上直接调用并利用?是否可以逆向出用户名密码?关于这个我并没有测试，如果有同学有兴趣，可以去研究研究。5. 取消手机令宝不需要验证取消手机令宝不需要任何验证(貌似小额交易免密码也是，没有测试确认，有兴趣的同学可以测试测试)。以上发现的这些问题可以说是不痛不痒，有些人可能不是很关注，那么以下这些问题需要大家的足够重视。6. 小额免密支付功能与淘宝账号登录支付宝其实还有一种办法绕过支付宝手势密码，当忘记手势密码后可以通过重新登录进行绕过。虽然不知道支付宝的密码，但是可以通过淘宝账号进行登录。而如果有手机，搞到淘宝账号和密码比较容易，仅需要短信验证码(详见下一个问题的描述)。很多人为了方便，开启了小额免密支付功能，通过淘宝账号绕过登录后也继承了这一个特权。因此如果手机丢了，每准还会附带赠送200块话费。7. 欠妥的密码取回机制在说这个问题前，我大概梳理了下支付宝以及淘宝密码取回的条件要求：目前支付宝及淘宝用户主要面临的威胁有(不含钓鱼等需要用户参与的)：? 账号被盗? 电脑中毒? 手机丢失或被冒用? 手机中毒(如不全，请不要鄙视)针对账号被盗(撞库攻击)，阿里的应对策略应该足够用，有手机短信作为二次验证，想要修改密码，基本上很难。我作为一个安全从业者，对自己的手机系统安全还是比较有信心的，除非被高层盯上要搞我，人家也不会惦记着我的支付宝余额。但是我却不能保证自己的手机不丢失，不能保证不会被别人用假身份证把我的手机号补办了。阿里以及互联网各大公司的账号取回机制过于依赖运营商的短信验证，这让我感到很不安。淘宝wap站及客户端仅通过短信验证码就可以修改密码，获得淘宝的权限就相当于获得了支付宝登陆权限(通过一键跳转)。手机取回淘宝密码：手机取回支付密码：支付宝的密码修改，除了短信验证外还需要身份证号码做辅助。但是要搞到机主的身份证号码方法太多了。A. 手机上往往能找到身份证的号码(短信、手机邮件、图片扫描件)。玩转手机的达人，丢了手机就自求多福吧。B. 通过其他系统如12306这个除公安系统外最大的个人信息库，假如你登录12306的账号是手机邮箱，那对不起。有了手机可以进入手机邮箱，也可以进入12306看到你的身份证号码。(301同学提供)C. 或者稍微来点社工手段，比如：捡到手机后，等着机主来电话。电话来了，就说“你是机主吗，终于来电话了，刚才有个人要冒认，还好我机智。我在某某地等你，穿蓝衣服，你手机好像要没有电了，对了你把你身份证号码告诉我，我怕被人冒认，一会没电了我无法和你确认”失主着急的情况很有可能就告诉你了。如果小偷了解这个手段，可能偷了手机还能再捞一笔。有些人也许会说我手机有锁屏密码，但有些锁屏密码是可以绕过。而且sim卡SD卡是很容易就取出来的。或者拿我的手机号设置个短信转移，什么时候搞到我的身份证号码再下手就可以了(没有手机的情况下，不能发短信但，可以通过网站修改，支付宝支付密码修改需要的银行卡号可以在提现银行卡号里面获取、也可以在wap网站修改支付密码)。不过我还是最担心假身份证补办卡的攻击，sim卡和身份证号码都有了，只要几分钟，余额都没了。对于普通用户来说，手机中病毒问题也很严重，目前手机的病毒问题在上次安卓签名漏洞后貌似有爆发的趋势，病毒可能只需要发送一条短信就可以将手机短信转移了。此外不知道现在流行的假移动基站水平什么程度了，是不是可以嗅探到短信的内容。假如这个能实现也是个非常大的问题。Sim卡克隆也可能是个途径，也许未来中关村给手机装软件的不光给装插件的app还给你做点其他事情。最后：我们回到最初的2条新闻，从以上分析，通过补办卡号盗取支付宝金钱的是可能的。但捡到手机，然后取回密码，也是可能的，但需要身份证号码，否则最多只能小额交易。此外那条新闻()明确的说是信用卡被刷了30000多，关于这个我个人持怀疑的太多。如果是余额被消费30000多，那是可能的。快捷支付包含信用卡支付额度没有那么高，一般就几百。如果要高的支付需要登录信用卡网上银行，需要填写信用卡有效期pin码等信息。一张借记卡快捷支付转入到支付宝，一个月限额好像是一万(我个人是这个情况，不清楚别人的情况)。那也是借记卡，不是信用卡。所以关于这条新闻，支付宝最好出来澄清下。通过上面的这些分析，显然支付宝客户端在手机丢失或手机卡被冒用这块没有做很细致的考虑。以上发现的手机客户端的部分问题，实际上在支付宝网页版都有安全考虑(如账号隐藏、关闭手机令宝)。但不知道为什么在手机客户端出现了这些问题。也许无线部门的安全团队和网页版的不是一拨人，也有可能客户端安全在阿里目前还是个盲区。本次测试仅仅用了常规的方法，建议有能力的同学从软件本身看看是不是有安全的问题。最后，我也没有什么好的办法，也许最原始的验证安全问题是最好的办法。建议各位做移动支付的同学还是根据不同场景去重新梳理下安全需求吧，如账号被盗、手机丢失、手机中毒。不同的情况，攻击者掌握的资源是不一样的，应该有些规避的方法。篇幅问题，就不再啰嗦，欢迎大家在微博上讨论。以上这些分析基本上只考虑了技术上实现的可能性，并没有分析借到手机后作案的可能性。因此各位网友请不要在犯罪心理学上喷我。本次分析仅仅是因为我心里的不安，支付宝的赔付机制只有5000块大洋，我还没有去细看是否包含手机丢了被盗是否在赔付范围之内。何况5000块仅仅是有些同学余额宝的一点零头而已。本文写的比较仓促，如果有什么不妥欢迎指正。
已有帐号？
无法登录？
社交帐号登录-- 华商报 --
版次:[A12]
手机装有支付宝 如果丢了很可怕？
1月25日，《华商报》A7版报道了一名市民没有消费，银行卡上的9991元却被人转走买了游戏Q币。　　
而在微信朋友圈也流传着《手机丢了，里面装了支付宝，后果会如何》的文章，里面说，通过实际操作发现，只要装支付宝的手机被人捡到，就可能被轻松攻克支付宝登录密码。　　
这是真的吗？华商报记者拿了一部装有支付宝的手机，按文章所说的方法进行体验，结果发现，尽管支付宝安全措施有所升级，但只要知道几个关键信息，还是能通过手机或电脑重置登录密码、支付密码、绕过数据证书，还可以把绑定的手机号码改掉。　　
实验时间：日　　
实验地点：华商报社、西安城南一居民家　　
实验人员：华商报记者　　新闻事件　　没有消费 银行卡9991元被转走　　
听到手机短信提示，傅女士一看，银行卡里先后两次被莫名转走了9991元。　　
傅女士说，这张工行储蓄卡是她老公的，但短信通知绑定的是她的手机。1月22日下午2时许，她听到手机短信提示音，第一条短信显示该卡网银支出9691元，第二条短信显示又支出300元。　　
傅女士和老公都没有消费，她立即向工商银行客服询问，经查询，钱是通过淘宝转走的。给淘宝客服打电话，客服人员说是通过淘宝平台转账购买了游戏Q币。因为交易限额不能超过1万元，所以卡上其他的钱还都在。傅女士找到银行换了新卡，之后向公安莲湖分局大莲花池街派出所报警。　　
工行客服人员说，如果客户手机丢失或不小心泄露了动态密码，造成资金被转，银行会协助警方调查。淘宝客服人员说，通过淘宝下订单都要经过支付宝，如果能查到转账的支付宝账号，就可查到交易明细。（1月25日《华商报》A7版）　　热传微信　　装有支付宝的手机丢了会如何　　
微信朋友圈里流传《手机丢了，里面装了支付宝，后果会如何》的文章，里面提到，首先，获得手机后如果不知道支付宝登录名，好多人的登录名就是手机号；不知道登录密码，通过点击“忘记密码”，一个手机验证码就能搞定。也就是说你只要有了手机，账号和登录密码就都有了。　　
而支付宝账号如果装有数字证书，一个短信就可以解除；接下来，支付密码同样也可以一个短信就搞定。　　
文章最后提醒：“一定收好你的手机，它比你的钱包还重要。”　　如何应对　　支付宝工作人员：手机丢失后要尽快办挂失　　
支付宝公关部工作人员张女士表示，网上流传的帖子已经很久了。针对其所说的问题，公司通过微信公众号等途径曾多次回应过。最近的一次是日。实际操作也可以证明，支付宝安保措施升级以后，按照帖子说的去做是行不通的。至于手机、身份证、银行卡一起丢失，并因而导致支付宝账号被盗，在现实情况中发生的几率并不大。“退一万步来说，如果真的发生了这样的情况，打电话告知95188，就会由保险公司全额赔付。”　　
张女士提醒支付宝用户，若发生手机、身份证、银行卡一起丢失情况，应第一时间拨打通讯运营商电话挂失手机卡，拨打95188冻结支付宝账户，如果有财产损失就一定要报警。　　
针对“支付宝给予手机的权限是否过大”的问题，张女士没有正面回答。她表示：“如果手机、身份证、银行卡一起丢失，银行卡上的钱不仅仅可能从支付宝上被窃取，还可能通过其他第三方途径遭受损失。”言下之意是，用户对自己的重要证件和重要信息的管理，也是一个很重要的方面。　　记住这几点账户更安全　　
支付宝公关部工作人员张女士提醒市民，记住这几点可以更好地保护支付宝账户的安全：　　
1、支付宝登录密码和支付密码最好用数字和字母组合的高级别密码，最好与其他网站使用的密码区别开来；　　
2、给支付宝账户申请手机数字证书或手机宝令等；　　
3、安装密码安全控件，可对密码进行加密，有效防止木马程序截取键盘记录；　　
4、平时要多注意电脑安全，安装杀毒软件，不要上不安全网站，牢记支付宝官方网址，警惕欺诈网站；　　
5、手机不要频繁刷机，不要root，不要接不明文件，不要扫不安全的二维码；　　
6、认准支付宝官方客服热线95188，不要轻易相信别的所谓的客服电话，以免上当受骗。 本版稿件由华商报记者马虎振采写　　马上实验　　
华商报记者专门进行了实验。结果发现，支付宝安全措施已经有所升级，若仅仅丢了手机，出现帖子中所述后果可能性较小；但如果不小心连身份证、银行卡一块丢了，又没有及时挂失，帖子中所述的情况却完全可能发生。　　手机实验　　仅捡到手机 难以破解登录密码　　
借来朋友没有设置开机密码的iPhone5手机，里面装了支付宝。支付宝账户名就是手机号码，登录支付宝用的是手势密码。　　
1.在登录界面，选择“管理手势密码”，进入“手势密码”设置　　
2.点击“忘记手势密码”，屏幕弹出“忘记手势密码，需要重新登录”　　
3.选择“重新登录”后，登录界面上的用户名是不完整的手机号，密码是空的。选择下方“忘记密码”，出现“重置登录密码”的窗口，填了完整手机号和验证码，点击“下一步”　　
4.弹出了“安全校验”窗口，显示有三种方式可以进行安全校验：通过手机短信+证件号码校验、通过手机短信+安全保护问题校验、联系在线客服　　
不是自己手机，安保问题不好回答；在线客服就算了吧。所以选择第一种方式，点击后手机收到校验码，填写后，出现机主的实名，要求填写身份证号。　　
结论：看来，网帖中所说的仅仅凭借校验码行不通。　　凭借身份证号 可顺利重置登录密码　　
1.模拟场景：手机、钱包和手机一起丢了，钱包里有身份证和捆绑支付宝的银行卡。（生活中，有一些人会习惯把手机和钱包都放在包里。）　　
2.和前面步骤相同，到填写身份证号时，正确填写，“重置登录密码”窗口出现了。设置新密码重新登录后，第一步完全攻克。　　
3.进入支付宝界面，点击右下角“财富”按钮，机主的全名、手机号、账户余额、关联的银行卡数量、余额宝、娱乐宝等尽收眼底。　　知道一张银行卡 可顺利重置支付密码　　
1.点击姓名旁的小箭头，进入“账户与安全”后，“密码管理”“支付设置”“账户保护”“设备管理”“快速挂失”等都可以点击了。　　
2.进入“密码管理”，点击“找回支付密码”后，出现了两个选项：通过“短信+安保问题”找回、通过“短信+已存快捷卡”找回。　　
3.按照设定的情景，选择第二种方式，点击后手机再次收到校验码。填写完，弹出要求填写“已存快捷卡卡号”的窗口。由于朋友账号捆绑了一张信用卡、一张储蓄卡，记者照着储蓄卡卡号填写后，点击下一步。重新设置“支付密码”的窗口出现。设置后，顺利破解朋友支付宝账号最高权限的密码。　　
4.接下来，试着从朋友银行卡给其支付宝账号充50元看看。输入刚才设置的支付密码后点击确定，弹窗显示“充值成功”。不需要再输入银行卡的支付密码。　　
5.接下来再试试给别人的支付宝账号转100元吧。OK!一切顺利，就如同在随便玩自己的支付宝账号。　　电脑实验　　和手机短信校验码配合 重置登录、支付密码很简单　　
电脑实验情境模拟：手机、装身份证、银行卡的钱包一起丢了。也就是说，实验者掌握着支付宝捆绑的手机和机主身份证号，以及一张支付宝绑定的银行卡卡号。　　
1.华商报记者在支付宝登录页面的账户名中输入朋友手机号后，直接点击下面的“忘记登录密码”。　　
2.随后进入“找回登录密码”页面，填写账户名、网页验证码后，点击“下一步”。　　
3.新页面提示：“你在不常用的环境下操作”，需要进行安全校验。有两个选项可供选择：通过手机校验码+证件号码、通过人工服务。　　
4.选择第一项后，手机收到校验码短信，填写了校验码和身份证号码，便进入“重置登录密码”环节。设定好新密码后，登录密码便被攻克。　　
5.接下来重新登录，进入支付宝账户页面。其账户余额显示为50。在其账户的交易记录中，可以看到其通过支付宝购买的所有商品。点击进入安全中心的安全管家，可以看到其安全等级显示为“高”，有数字证书保护。　　
6.在该页面左下角，可以看到“快速入口”下的“找回支付密码”。点击进入后，填写了手机收到的校验码后，再填完银行卡卡号和身份证号，便可以顺利重置支付密码。　　数据证书很头疼？ 有手机在手便可绕过去　　
接下来，华商报记者尝试用电脑给别人支付宝账号转10元钱，结果页面提示，“你是数字证书用户，但本台电脑尚未安装证书”。这让华商报记者想起了网帖子中所说的内容，从作者的叙述看，应该是通过手机短信校验码申请取消了数字证书。　　
难道只能取消吗？记者注意到，页面提示有“你可以安装数字证书”。那就安装一个试试呗！点击安装后，填写了使用地点和页面验证码，提交后再次收到手机短信校验码。填写后，下一步便进入安装。完毕后再次转账发现，又进入了“自由境界”。想怎么玩，就可以怎么玩了。　　
如果一张银行卡上没钱了，还有另一张卡，网帖中还介绍了可以添加银行卡的事情。华商报记者没有做这个实验，但想来既然已经掌握了该账号的最高权限，有什么事情是做不成的呢？　　怕短信“打扰”到账号主人？竟然可直接改绑定别的手机　　
网帖介绍中，作者还从窃取别人支付宝账户者的心态考虑：这样的频繁的短信骚扰是否会让失主发现？所以，在操作中把绑定的手机号码也改了。现在依然可以这样做吗？　　
华商报记者再次尝试，在安全页面快速入口下点击“更换手机”，页面打开后有两个选项：无法接收短信、能接收短信。点击“能接收短信”，又弹出两个选项：通过证书+手机校验码、通过手机校验码+支付密码。　　
这两个选项，现在都不是问题。选择第一个，填写收到的手机短信校验码后，再填写新手机号码，和新手机收到的短信校验码，原来绑定的手机就接到了停止服务的提示，短信提醒便转到了新手机上。　　
再次进入支付宝账户页面，华商报记者发现，朋友支付宝账户的账户名也改成了新的号码。　　实验总结　　核心安全权限级别设置 手机短信似乎最大　　
相关帖子总结说，这一切“杯具”的根源在于手机的权限太逆天，居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证，可支付宝居然可以让手机取消数字证书……　　
网帖作者认为，支付宝应该做的有四点：1、提供禁用手机号登录功能；2、找回密码别这么简单；3、支付密码和数字证书级别应在手机之上，禁止用手机找回支付密码，禁止解除数字证书；4、数字证书和支付密码如果要修改，可以委托给合作银行，或自己在全国开设网点，银行身份证和本人验证，至少目前是最安全的。　　
华商报记者注意到，尽管支付宝在安全策略上已有所升级，比如找回密码除了要填写短信校验码外，还增加了安保问题或证件号、银行卡号等，但核心的安全权限级别设置方面，手机短信似乎还是最大的。　　&
《华商报》社版权所有，未经书面授权禁止使用}