从支付宝的安全漏洞看这个赤裸裸的世界

微信发布小程序后,1月10日曝光的支付宝非密码登录模式下可能出现的账户安全问题,加上马云父亲“虚张声势”特朗普未来将为美国带来100万个就业机会,阿里对头条新闻的攫取是疯狂的...本文探讨了科普中的漏洞及其产生的原因,以及个人应该如何做好保护工作,并给出了一些保护个人隐私信息的建议和思路。

以下是本文的总结和要点。当你没有时间的时候,你不需要去看它。

1.支付宝这次的安全漏洞本质上是回答“你是谁”这个哲学问题的一个错误2.这个错误反映了阿里下午和腾讯下午100百度下午的差异;3.社交软件对支付不安全,支付软件对社交更不安全。4.解决方案:保持这样的态度,即会有其他人可以登录所有帐户,看到他们可以承担的风险,然后考虑选择哪种解决方案;在这个赤裸裸的世界里,越来越多的安全和隐私问题被埋没了。

1.这次有什么问题?支付宝这次抢占微信小程序头条的暴露安全问题的全称应该叫做“支付宝1月10日暴露的非密码登录模式下可能存在的账户安全风险”。

这到底是什么?简而言之,在支付宝重设密码无需短信验证,你只需要回答两个社交问题,比如你最近买了什么以及谁是你在支付宝的朋友。

这样,你熟悉的邻居陈嘉和你的朋友支付宝可以看到你的支付宝账户的名字,你很有可能重置你的支付宝密码。

如果你想重置你朋友的支付宝密码,当然支付宝里有一个“支付密码”,它独立于登录密码,所以如果你在号码被盗后不知道支付密码,理论上你不可能完成大额消费,但即便如此,你可能仍然会遭受以下损失:很多人的支付宝已经建立了小额无密支付,虽然小额支付被限制在200元,但无法忍受隔壁的陈骁刷得更多;隔壁的陈骁可能会向支付宝的朋友借钱。您的各种接收地址、关联方、电话号码、柏华、余额宝、银行卡、支付代码等信息也将被披露。万一,你和小女孩分发红包谈论生活和理想,交换一些照片,也就是隔壁的照片门...情况大致如此。你问我是否被隔壁的陈家成员抢劫了。嘿嘿,自从8月16日支付宝9.9重大修改后,我已经删除了支付宝联系人中除亲戚以外的所有朋友。就连不久前想进行首次公开募股的MOOCTEST的老板陈震宇教授也在最早的一批中删除了它们。

检索密码的核心问题是“你是谁”的哲学问题。最常见的密码检索方式是通过多因素认证,如手机、电子邮件、实际电话检索等。支付宝增加了认证因素带来的安全隐患,比如你自己的行为和朋友之间的歧视。

2.临时工和程序员都扛着锅。这次谁来拿罐子?毫无疑问,这是支付宝“密码恢复”的产品经理完成的锅。

一般来说,支付宝甚至整个阿里总理都有一个问题,那就是他们非常喜欢给用户做决定,想当然地决定一些功能,缺乏必要的逻辑和深入思考。

事实上,阿里问题的核心是缺乏从用户角度的思考。

看看微信的父亲张小龙,他曾经对微信的产品经理说:“每次你添加或更改一个功能,都会影响到数亿用户。你难道不应该害怕吗?想想你自己决定的后果,你不会害怕吗?”“是这句话,带着恐惧,带着恐惧,带着恐惧。

引用智虎的话,阿里的下午和腾讯的下午相差100百度。

3.这种安全漏洞的来源是什么?社交互动和支付是两个完全不同的起点。在社会交往中很容易无意中暴露大量信息,但为了确保财产本身的安全,有必要确保尽可能少的信息暴露。

社会希望越来越近,但付出实际上是希望越来越远。

两者是相反的。

几年前,我一直觉得社交网络(微信)不安全。现在我只知道使用支付软件(支付宝)的社交网络是最安全的。

问题是微信必须付费,支付宝推出的“付费巴斯塔”知道它的社交心脏永远不会死。当然,为什么这是另一个更大的话题。

因此,解决方法1:选择不付费的社交,选择不付费的社交。

换句话说,我们不用微信付费,也不用没有朋友的支付宝聊天。

但是,如果我们不能决定或影响社交互动和支付的整合,甚至不能享受支付宝和微信支付带来的便利,我们如何解决我们的隐私和安全问题呢?

我们该怎么办,吃甜瓜的?王包强被他的妻子和经纪人欺骗了,佟丽娅的丈夫陈思成欺骗了他。这些流言蜚语我们吃瓜的人和看戏的人都喜欢,当我们剔牙付账时,这些流言蜚语成了笑话。然而,一旦这种事情落到我们自己身上,我们就不那么放松和舒服了。

对于这样的安全问题,我们该怎么办?我们不能指望党不能指望国家、马云、马化腾,甚至产品经理和程序员。(当然,我们应该更好地对待程序员,让他们生活在一个更好的世界里,因为将来我们的生活会越来越受他们的控制。

因此,我们只能依靠自己。

解决方案2: 1。首先,对于你自己的账户,你必须相信别人会登录或使用这样健康的态度。

例如,首先,您应该知道您的支付宝帐户可能被其他人登录;2.接下来,你必须问自己,如果有人登录你的账户,会带来什么样的损失,你最多能承受什么样的损失。

例如,你认为你能承受被别人偷走的500元的损失吗,即使支付宝不赔偿(记住,支付宝在一种情况下不赔偿,也就是说,它认为是被亲戚朋友偷走的);3.最后,你解开所有的卡,删除大部分没有亲属关系的朋友,只绑定一张只有500元的银行卡,每次使用时从银行转账到这张卡。

5.修理5号轮胎安全吗?BUG?事实上,任何单一平台的安全性都可以轻松解决,无论是支付宝、微信、京东还是传统银行,但现在和将来,最大的风险来自跨平台安全问题,举几个例子。

例1:很多人在淘宝、京东、微信和电子邮件上都有相同的账号和密码。如果有泄漏,将有被图书馆击中的风险。这种事情已经大量发生了。例2:在电子商务网站中,你的名字、电话号码和地址很少受到保护,但在许多网站中它们通常是相同的(就连淘宝卖家和快递兄弟都知道)。在许多地方,密码可以通过打电话给网站的客服直接检索,而电话检索通常会询问您的电话号码、公共地址等。,如京东的电话检索密码;例3:在过去,你在淘宝上被卖家杀死并打电话给不好的评论。事实上,卖家可以打电话给银行。他可以很容易地在淘宝上知道你身份证的最后4位和你银行卡的最后4位,然后申请紧急挂失,比如建行。损失报告只需要询问这些和最近的消耗量(这对卖方来说太简单了)。

例4:如果你知道别人的电话号码,你怎么知道他们的名字?百度肯定找不到了,嘿嘿,你可以试试支付宝,你输入电话号码,一般的电话号码是绑定到支付宝的,你申请转账,支付宝会给你提供这个账户的真实名称,你只需要用100个姓再试一次就可以做到。

......嗯,只要有一个跨领域的问题,这种问题是无穷无尽的,不能从根本上解决,那么先说几个可以救自己一点的解决方案。

解决方案3:特征密码,例如陈震宇教授常用的密码是mooctest123,那么JD.com的密码是mooctest 123和淘宝上的mooctaobaotest123,可以防止机器行为的自动碰撞。

解决方案技巧4:特征地址,这与特征密码的逻辑相同。不管怎样,现在,那些小快递员只把快递员送到楼下。你在不同地方的地址可以用不同的单位写。例如,陈震宇教授可以使用京东的送货地址作为南京大学XXX楼甲单元,淘宝的地址作为XXX楼乙单元等。

解决方案技巧5:有一个一揽子计划。除了在上述解决方案技巧2中绑定低价值银行卡之外,还可以申请本地电话,该电话专门用于购物和接收快递。没有账号必然会减少真实电话号码的泄露。所有身份证复印件都由他们自己操作。不要在非支付区绑定银行卡(例如,不要在京东绑定银行卡)。所有快递收件人不需要全名。例如,你可以用“老俞”、“隔壁陈骁”和“马特(mooctest)”来接收快递等……网络安全事件就像明星作弊一样,只曝光而不曝光。

因此,每个人不仅应该在每次网络安全事故报告后感到紧张和愤怒。这些事件的曝光,一方面促使企业加强网络安全建设,另一方面也让我们更多地思考“如何保护自己”。

附言:本文内容来源于江苏电视台的一次临时采访。

我只想说,你为什么不添加美丽的视频图片,为什么?为什么?为什么?南京大学软件学院副教授刘佳博士是本文的作者。他的主要研究方向是挖掘和分析开发者的社交网络。

耿强的公共平台是南京大学的耿强教授。他对经济有独到的见解,对经济政策的解释,对经济周期趋势的判断,新闻评论和独到的行业分析。

发表评论