年关将至，很多朋友都要赶车回家，路上贼手众多，大家要注意安全。而如果一旦丢失手机和身份证，那么一定要关注自己支付宝账户的安全了。

今天这篇日志，是作为最基础的网络账户安全性科普。我估计很多人对于支付宝的安全性认识度都不足，因此，在年前的最后一个周末写了这篇短文，主要是探讨支付宝账户安全性的，我会告诉大家，目前支付宝账户目前存在的不安全设计，以及如何避免。

支付宝的基本安全机制

默认情况下，大家的支付宝至少有两重安全保障，那就是登录密码和支付密码，且两者肯定是不同的。

这俩密码有没可能被盗呢？

当然！，而且是通过“正规途径”盗取—找回密码

密码找回

支付宝提供了非常“便捷”的密码找回方式。

登陆密码：通过手机短信找回密码

支付密码：手机短信+身份证号码找回

以上两者的新密码都会通过短信发送给客户！

说到这里，也就点开了今天讨论的核心：我认为，支付宝对于手机的信任度过高了，造成了目前严重的安全风险！

登陆密码找回途径

支付密码找回途径

情景重现

现在，我们完整的来看一下攻击场景。

假如你的手机和钱包被盗了，然后……

1.他们尝试用手机号码登陆支付宝

2.他们点击密码找回，选择短信接收

3.重新登陆支付宝

4.登陆后，执行找回支付密码，输入身份证号码，选择短信接收新密码

5.支付密码已到手，账户余额全部消费掉

6.余额宝账户也全部消费

7.如果钱包内还有银行卡，那么全部开通快捷支付

8.每张银行卡在快捷支付额度内，全额消费

9.盗取结束

是不是吓出一身冷汗？？你帐户里有余额吗？余额宝有钱吗？快捷支付开通了吗？？

你的手机和钱包看紧了吗？？

开通快捷支付，只需要拿到卡片基本信息即可

问题症结与解决

我们发现，问题都是出在手机上，一个手机到手，很多功能迎刃而解！

那么我们如何强化账户安全呢？很简单，从手机和支付宝两侧入手，往下看！

强化手机安全

• 启用sim卡的pin码，解决sim卡安全性。每次重启手机后，在接入网络之前，都必须输入pin密码，否则此sim无法联网，也就是无法接收短信，即便更换手机也没用！最重要的一点！
• 启用手机锁屏密码，解决手机安全性。如果手机被盗后，不重启手机，则pin码无法施展功效，依旧可以正常收发短信
• 关闭短信预览。否则会使锁屏密码功能失效，因为在锁屏界面也能看到短信内容
• 看紧你的手机，别丢了！

做到如上几步后，恭喜你，目前支付宝的安全性就已经被大幅提升！

强化支付宝安全

• 关闭手机号码登陆功能！
• 关闭所有快捷支付，以后也不要启用！尽量只关联一张银行卡
• 购买支付盾。这才是硬件级解决方案。数字证书、宝令之类的都不如这个强劲，但，有个漏洞，看下一条……
• 请关闭全部无线支付功能。支付宝的手机客户端是不受支付盾限制的！因此购买了支付盾，就应该关闭“无线功能”，这样手机端就无法进行支付或转账操作，再次启用此功能需要支付盾插入后操作

终极大法：使用支付盾+关闭无线支付

安全与效率

我们会发现，强化支付宝的安全性后，会使我们平时的操作变得繁琐。开机要密码，解锁屏幕也要密码，支付必须要插入支付盾，手机购物就从此88了。

但请大家记住，安全与效率永远是对立的。

你只能两者取其一，这个没有绝对的平衡。对于在支付宝上面有大量资金流动的，应该要牺牲效率换最高安全。即便没有大量资金的用户，也至少要强化各自的手机安全！

附录—手机选择

上个章节介绍了强化手机安全的办法，但都是防范手机被盗后的情况，如果手机没丢，有安全隐患吗？

有！特别要提及的是安卓操作系统的用户，由于系统的开放性，任何一款app都可以读取你的短信，虽然安装时有提示，但是有多少人会注意这些呢？

如下建议给出

• 不要优先考虑使用android手机！如果非要使用，建议只选择谷歌亲儿子，nexus系列手机。并且不要root，不要刷第三方固件，只使用原厂系统，不熟悉的软件一个都不要装，只从谷歌商店下载程序；
• 如果选择iphone，请不要越狱，确保系统安全性；
• 如果选择wp系统，目前暂时安全，因为尚不能越狱，安全性级别可与功能机匹敌！
• 可以选择一台nokia功能机，专门用于接收验证类短信

提前给大家拜年，祝大家马年吉祥，好运！

.