如果手机和钱包同时丢失，你的支付宝和银行卡很可能分文不剩 - 简书
下载简书移动应用
写了2497字，被7人关注，获得了76个喜欢
如果手机和钱包同时丢失，你的支付宝和银行卡很可能分文不剩
如果只是丢失手机的话，支付宝账号还是比较安全的。但如果钱包也丢了，那就是大灾难。你的银行卡很可能会分文不剩！根源在于支付宝令人发指的重置密码机制。下面详细解释。
以下状况发生的前提条件是你与支付宝关联的手机，身份证和银行卡这三样东西同时丢失，且银行卡已开通快捷支付，支付宝可以用手机号登录。构成以上条件，则可以轻易盗取支付宝余额和开通快捷支付的银行卡里的金额。
测试时间为.支付宝钱包版本号：8.3 （iOS）
很多人的身份证和银行卡都是同时放在钱包里的，我就是。
以我自己为例，假如钱包（内有银行卡与身份证）和手机同时丢失，那我的支付宝还安全吗？不妨做个测试。
小偷打开支付宝时需要手势密码，有五次机会，直接无视，点击忘记密码，提示需要重新登录，那么再次点击忘记密码，支付宝的重置登录密码如下图，需要账号（我们已经假设了可以用手机号登录，获取了手机自然能拿到手机号），手机验证码，身份证即可重置。此时，小偷就轻松地登录你的支付宝了。
可是，只有登录密码是动不了钱的。还需要重置支付密码。在设置里可以找到重置支付密码，这里会提示两种找回支付密码的途径，一种是通过短信加密保问题，另一种是通过短信加银行卡，选择第二个，如下图，只需要手机验证码，绑定了快捷支付的银行卡号，身份证就能重置支付密码。
至此，支付宝账号完全沦陷，随意输个账号转个账，成功。支付体验赞一个。
IMG_2784.png
这还没完。假如钱包里还有其他未绑定支付宝的银行卡，且这张卡在银行的预留手机号与被偷的手机一致，那么贼人可以帮你把这些卡的快捷支付给开通了，开通快捷支付也和上面一样，只需要手机号，银行卡，身份证。然后你的钱包就彻底沦陷了。。
更恐怖的是手机加密也没用，即使是逼格满满的Touch ID加持也阻挡不了。因为构成重置支付宝密码的三要素中的手机并不是必要条件，手机里的sim 卡才是，所以不管你手机怎么加密，把sim 卡拔出来换部手机就能重复上述步骤了。
我们来看看问题出在哪？我认为最核心的问题是重置登录密码，重置支付密码，开通快捷支付所需要的东西都是明文显示在某一介质上（银行卡号，身份证号都是直接在卡显示），而不需要其他隐蔽性更强的信息，如密保问题。虽然重置支付密码时有密保选项，但不是唯一途径。
作为用户，面对如此随便的重置密码流程，应该怎么增强防范呢？我实在想不出什么好的方法，无非是看好手机，看好钱包。如发生丢失，要第一时间挂失手机卡，银行卡，支付宝等，你是在跟小偷斗快。我会告诉你上面那个重置密码加转账的流程执行起来最快不到3分钟吗？
最后，希望支付宝能改进重置密码流程，目前的风险实在太高了。
==========14.12.04 更新===================
感谢@Kynus 的设置pin码的建议，是个好方法。
小偷需要知道你的手机号码：假如iPhone有密码/Touch ID，小偷想知道你的号码，就只能换台手机放入SIM；这个时候建议大家都设置Pin码，小偷就无法在其他机器上用你的SIM卡；iPhone设置方法：设置-电话-SIM卡PIN码希望大家保管好自己的东西！
感谢@书尘萌夫 的测试。我稍后也测试下更改网络环境和支付环境的状况。
安卓8.3测试成功……另发现有一个小额免密支付，当面付免密支付（不过测试账号没钱所以没试），楼主所说有点道理。但是：查了些东西，和支付宝客服聊了下，首先明确：用自己的手机在熟悉的支付环境下，这样测试是百分百成功的，这是客户密码重置的需要。其次，换手机之后是不行的，网络环境和支付环境是不相同的，sim卡也不顶用。所以，别人要动你的钱，最低限度要求是原机同城会解锁手机锁屏，以上，大家不用担心钱给了别人。相反，注意下自己人吧！
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
打开微信“扫一扫”，打开网页后点击屏幕右上角分享按钮
被以下专题收入，发现更多相似内容：
欢迎投稿 将实用的知识共享
· 19478人关注
简书热文永留存。
· 18209人关注
只收录精华文章，至少能让别人从你的标题看出内文想说什么。
· 15688人关注
如果觉得我的文章对您有用，请随意打赏。您的支持将鼓励我继续创作！
选择支付方式：用支付宝跨行转账给他人？可能快行不通了|支付宝|跨行转账|央行_互联网_新浪科技_新浪网
用支付宝跨行转账给他人？可能快行不通了
　　央行第三方支付文件引发争论
　　今后网络支付麻烦了？
　　人民银行《非 银行支付机构网络支付业务管理办法(征求意见稿)》一经发布就引发了社会极大争议，虽然央行有关人士表示，限额管理不会对客户网络支付造成太大影响，但昨 天北青报记者仔细研读条文后发觉，如果这一征求意见稿最终通过，客户在使用网络支付特别是移动支付时仍或多或少会比现在麻烦。&&&
　　央行前日发布了《非银行支付机构网络支付业务管理办法(征求意见稿)》，并向社会公开征求意见。无论是用户、第三方支付企业还是业内专家都对征求意见稿的有关内容提出了负面看法，甚至提升到了“限制第三方支付会阻碍金融创新”的高度。
　　开户手续复杂了
　　首先客户开户就需要更多手续证明。文件规定，支付机构为客户开立支付账户的，应当对客户实行实名制管理，登记客户身份基本信息，核实客户有效身 份证件，按规定留存有效身份证件复印件或者影印件，并通过三个(含)以上合法安全的外部渠道对客户身份基本信息进行多重交叉验证，确保有效核实客户身份及 其真实意愿，不得开立匿名、假名支付账户。
　　据央行解释，具体验证渠道包括但不限于公安、工商、教育、财税等管理部门及商业银行、征信机构等单位所运营的，能够有效验证客户身份基本信息的数据库或系统。
　　现在客户开个网络支付账户，一般就提交身份证和银行卡以及留存在银行的电话等信息就可以了。如果按照新规，除身份证和银行信息外，还需要再提交 一份学历、纳税或征信报告等方面的证明，才能说明“我就是我”。这不仅会增加客户跑手续的时间成本，还可能使那些教育程度低、收入低、无信用卡的弱势人群无缘使用网络支付。
　　支付宝不能向银行卡转账了
　　此外，今后客户可能不能用支付宝直接向他人的银行卡转账了。文件规定：支付机构为客户办理银行账户向支付账户转账的，转出账户应仅限于支付账户客户本人同名银行借记账户；办理支付账户向银行借记账户转账的，转入账户应仅限于客户预先指定的一个本人同名银行借记账户。
　　目前，支付宝转账既可以从本人的支付账户向他人的支付账户转，也可以直接向他人的银行卡转。今后，如果你不知道对方的支付宝账户，就不能向他转 账了。生活中，这就给那些没有支付宝账号的人带来不便。如果他要接受别人支付宝的转账，必须得先注册一个账号，绑定一张借记卡才可以。
　　200元以上交易要银行验证？
　　还有一处条文也让支付机构和用户也感到不安。文件规定，支付机构根据客户授权，向客户开户银行发送支付指令，扣划客户银行账户资金的，支付机 构、客户和银行在事先或者首笔交易时，单笔金额200元以上，支付机构不得代替银行进行客户身份及交易验证。对于这段叙述复杂的文字，业内产生不同理解， 因为文中并没详细说明单笔200元以上到底是哪些具体情形。
　　对此疑问，央行人士的说法是：200元以上的支付，具体银行验还是支付机构验，必须是客户授权同意银行与支付机构按约定做的。如果他们约定由机 构验，那么一旦发生资金欺诈或盗窃，银行必须承担资金安全责任，不允许推责给支付机构。实际是明确了银行与支付机构的责任，保护弱势的消费者权益，否则两 类机构扯皮会令消费者受伤。但是，在实践中，到底该如何操作，现在谁心里也没底。万一真要200元以上的都要银行验证，那真就麻烦了，大家输完网络支付账 号的密码后，可能还要跳到银行的APP，或者是需要银行再发一遍短信验证，才能支付成功，这将浪费时间，影响客户体验。
　　央行释疑
　　六成用户年支付余额交易不超千元
　　消息发布后，一石激起千层浪，迅速引起各界争论。有网友抱怨今后网络支付只有5000元额度，连手机都买不了；有第三方支付行业人士认为， 央行下手太狠，会对这一朝气蓬勃的行业带来致命打击；也有人士认为，央行这是防范风险，有利于支付行业的长远发展；还有市场人士认为，这一文件本身 晦涩难懂，模棱两可的地方多，很难看明白。看到这一文件引起如此巨大的反响，同时出现不少误读的声音，央行积极进行了回应。昨天，央行相关负责人就征求意 见稿有关问题回答了记者的提问。
　　这一文件最初的被关注点就是征求意见稿根据客户身份核实方式对个人支付账户余额的付款功能和交易限额进行分类管理。综合类支付账户的余额可以用 于消费、转账以及购买投资理财产品或服务；消费类支付账户的余额仅可用于消费以及转账至客户本人同名银行账户(包括借记和贷记账户)，不可用于转账至其他 账户，也不可用于购买投资理财产品或服务。
　　文件规定，支付机构采用包括数字证书或电子签名在内的两类(含)以上要素进行验证的交易，单日累计限额由支付机构与客户通过协议自主约定；支付 机构采用不包括数字证书、电子签名在内的两类(含)以上要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过5000元(不包括支付账户向客户 本人同名银行账户转账，下同)；支付机构采用不足两类要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元，且支付机构应当承诺无条 件全额承担此类交易的风险损失赔付责任。
　　此外，支付机构应根据客户身份对同一客户开立的所有支付账户进行关联管理。个人客户拥有综合类支付账户的，其所有支付账户的余额付款交易(不包 括支付账户向客户本人同名银行账户转账，下同)年累计应不超过20万元。个人客户仅拥有消费类支付账户的，其所有支付账户的余额付款交易年累计应不超过 10万元。
　　昨天，众多网友担心，这种限额管理会让自己网上购物麻烦重重。但央行有关负责人表示，单日5000元的限额只针对支付账户的余额付款。消费者仍然可以与现在一样，通过支付机构提供的跳转银行网关或快捷支付方式，用自己的银行卡(银行账户)完成对外付款，并无额度限制。
　　此外，统计数据显示，这种限额管理不会对大家造成太大影响。据对国内典型代表性支付机构2014年网络支付业务数据的分析，2014 年，61.3%的个人客户使用支付账户余额进行消费、转账、购买投资理财产品等(即《办法》规定的综合类支付账户)全年累计付款金额不超过1000 元，80.12%的个人客户不超过5000元，98.5%的个人客户不超过20万元；72.31%的个人客户支付账户余额仅用于购物消费(即《办法》规定 的消费类支付账户)全年累计付款金额不超过1000元，92%的个人客户不超过5000元，99.72%的个人客户不超过10万元。
　　该负责人表示，限额数据的确定，既参考了国内典型代表支付机构的业务分析数据，也考虑了尊重现实需求与未来支付业务的规范发展，防范支付机构客 户备付金规模过度膨胀引发资金风险。当然，《办法》目前正在向公众征求意见阶段，限额管理是综合考虑支付效率与便捷，以及反洗钱和客户资金安全等因素而提 出的。人民银行将认真评估社会各界意见，按照“鼓励创新，防范风险，趋利避害，健康发展”的总体要求，制定适度的监管措施，促进支付服务市场规范发展。
　　行业观点
　　央行新规意在迫使资金离开第三方账户？
　　在昨天众多网友担忧今后网上购物要受5000元限制时，已经有不少资深业内人士十分着急大家没有领会央行的深意。
　　多位业内人士告诉北京青年报记者，此前发布的《关于促进互联网金融健康发展的指导意见》已经明确了互联网支付的业务定位，即“互联网支付应始终坚持服务电子商务发展和为社会提供小额、快捷、便民小微支付服务的宗旨”。
　　前日出台的征求意见稿，正式体现了这一定位，处处强调对支付账户余额的管理。潜台词就是互联网支付机构要回归“支付业务”本色，不能自己形成资 金池，不能像银行那样进行清算业务，规规矩矩做资金通道就好了。更通俗地说，第三方支付账户的主要功能是帮客户的资金进行安全转移，央行不希望客户的大量 资金滞留在第三方账户上。
　　征求意见稿特别强调，支付账户的余额，不是存款，只是商业预付卡中的客户备付金，仅代表支付机构的信用，一旦支付机构出现问题，客户就会受到损 失。事实上国内支付公司出问题的已经不少了。不少支付公司就是利用大量客户不提现到银行所形成的时间差，沉淀出大量的资金，进行他用，一旦出现点问题风险 就很大。央行对支付账户余额处处设限，就是让用户发现，把大量资金放在这个账户什么用也没有，迫使资金离开支付账户。
　　企业困境
　　今后托管业务还会被银行抢走？
　　“如果这份意见稿最终通过，今后我们很多业务可能都开展不了。”众多第三方支付公司昨天开始忧心忡忡。
　　征求意见稿规定，支付机构不得为金融机构，以及从事信贷、融资、理财、担保、货币兑换等金融业务的其他机构开立支付账户。再加上对客户账户余额的限制管理，一些市场人士认为，现在大热的余额宝、招财宝等投资理财业务会大大受限。
　　近两年来，一些第三方支付机构为P2P企业提供专业的资金托管，并将其视为未来发展的重点。可如果按征求意见稿来看，今后这托管业务应该还是会被银行抢走。
　　不过，央行这样做自有风险防范的考虑，而且互联网金融的相关业务并不会因为这一文件而被叫停。
　　央行有关人士昨天解释说，从事金融业务的机构存在金融业务经营风险。目前，支付机构的内控风险体系建设不够完善，抵御外部风险冲击的能力较弱。 为避免两类机构的风险相互传递，《办法》规定支付机构不得为从事金融业务的机构开立支付账户。同时该规定并不影响支付机构为相关机构提供支付服务。一是现 行支付体系为传统金融机构提供了高效安全的支付清算及结算安排，并符合国际支付清算监管惯例和准则。二是支付机构按《办法》规定虽然不能为网络借贷等互联 网金融企业开立支付账户，但仍可为其提供支付通道服务，将付款人的款项划转至网络借贷等企业的银行结算账户。这不会影响网络借贷等企业的业务开展，而且有 利于保障客户资金安全，也符合《关于促进互联网金融健康发展的指导意见》要求。
　　通俗理解，第三方支付仍可以做P2P的资金通道，但仅仅是资金通道，也就是帮用户实现银行资金的转移，不能成为清算通道。P2P公司可能无法开 设托管账户，虽然可以给投资人一个虚拟账户了，但是个人的虚拟账户一年的累计投资额度最多不能超过20万。投资的行为就改成第三方支付通过绑卡的方式直接 扣减个人银行里的钱先到P2P在第三方支付的一个临时归集账户，募集期满之后，一笔划转到借款方在银行里开设的托管账户或者监管账户，第三方支付就真正成 为通道型支付了。过去P2P业内通行的第三方托管的模式将不再可行。
　　专家声音
　　限制第三方支付会阻碍金融创新
　　“我对征求意见稿表现出一种忧虑，互联网金融是随经济运行模式的变化而出现的，形成互联网金融最具有影响力的是第三方支付，之后才是其他的财富 管理、众筹和网贷等等，第三方支付非常重要，而且它和电子商务高度契合，为什么把这个高度契合的东西要做一个限制？设定这样一个限制，这使得人们非常不方 便。”昨天，中国人民大学金融与证券研究所所长吴晓求在公开演讲前表达了对这一文件的不同看法。
　　吴晓求认为，人类的支付历史是一步步从怀疑中走过来的，从最早的现金交易，到以银行为载体的支付，现在已经进入到以第三方支付、移动互联为基本 平台的支付体系。这是金融的变革，是在支付功能上的变革。它推动了社会进步、经济发展，使人们享受了很多高效率的东西。这是个历史趋势，不可以让人们回到 通过银行的载体进行支付的时代，如同不可以让人们回到必须拿现金交易一样。
　　吴晓求强调，限制第三方支付会阻碍金融创新，会阻止和扼杀创新。他希望中国能顺应历史潮流，通过新的金融创意推动金融变革。&文/北京青年报记者 程婕
　　扫一扫，一起坐看风云变幻。扫描下方二维码关注新浪科技官方微信(也可微信搜索：techsina或新浪科技)。
文章关键词：
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
，推荐效果更好！
看过本文的人还看过404 - 找不到文件或目录。
404 - 找不到文件或目录。
您要查找的资源可能已被删除，已更改名称或者暂时不可用。