遺失手機后,不少人煩惱的�,也許只是失去了一部通話工具和里面的通訊錄,鮮有人想到���,你隨之失去的���,很可能還有當當、人人����、微博�、網(wǎng)易郵箱�����、支付寶�、財付通……等等一系列網(wǎng)站的賬號和密碼��。7月27日��,本報曾報道以手機號碼注冊的財付通���、支付寶賬戶���,可以通過手機輕易修改密碼。本周《IT時報》記者繼續(xù)跟蹤調(diào)查發(fā)現(xiàn)��,除了第三方支付����,還有不少網(wǎng)站賬戶都提供手機綁定功能,且對找回�、修改密碼并沒設(shè)置太多門檻�,一旦用戶遺失手機����,便很可能因此泄露信息。
微博���、人人:編輯短信就可重置密碼
時下熱門的微博���、社交網(wǎng)站、郵箱包含著諸多個人信息�����,手機號碼能打開它們的大門嗎�?
在微博登錄頁面中,輸入手機號碼��,并點擊“忘記密碼”���,根據(jù)提示操作后����,手機上便收到一條驗證碼,只要在網(wǎng)頁上輸入驗證碼就可以重新設(shè)置密碼���。騰訊微博也是如此�����,只需用“密保手機”發(fā)送新的密碼到指定的號碼�,便會收到一條密碼修改完成的短信����,而密保手機往往就是登錄用的手機號碼�����。
在一些社交網(wǎng)站����,找回密碼的過程也頗為相似。如人人網(wǎng)�,同樣只需用“密保手機”編輯指定的短信發(fā)送到指定的地址就可以了。
一些電子郵箱同樣也存在風險����。比如網(wǎng)易的126郵箱,如果和手機號碼綁定過���,既可用戶名登錄���,也可直接用手機號碼登錄�,同樣選擇“忘記密碼”����,網(wǎng)易會向手機發(fā)送驗證碼進行密碼重置,然后便可以任意修改密碼了���,而密碼更改后�����,手機并不會收到任何提示信息����。
網(wǎng)易客服表示�����,手機號碼的確是能解開郵箱的密碼��,他建議用戶最好設(shè)置多重密保,例如密保郵箱�����、密?���?ǖ龋瑏砑訌娒艽a保護�。
當當網(wǎng):客服透露用戶信息
《IT時報》記者在各個網(wǎng)站逐一嘗試的過程中發(fā)現(xiàn),雖然有的賬戶信息僅通過自己操作并不能解決問題����,而要尋求客服的幫助,但很多客服對用戶信息的審核也只是走過場�。
在當當網(wǎng)上�,如果忘記密碼,需要輸入注冊時的EMAIL地址�����。記者致電當當網(wǎng)客服���,表示已經(jīng)忘記了登錄時的郵箱�。該客服詢問了記者綁定的手機號碼和姓氏后,就直接告訴了記者EMAIL郵箱��,甚至把記者在注冊當當時填的地址也一并報了出來��。知道郵箱后�����,點擊“忘記密碼”�����,當當會向該郵箱發(fā)送密碼重置的郵件��,通過郵件���,可以重新設(shè)置密碼����。而根據(jù)前文所言����,如果用戶郵箱恰巧是126等可以用手機解開的郵箱,當當賬戶丟失的風險依然存在�����。
QQ、MSN:手機號碼不能破解信息
難道所有與手機綁定的網(wǎng)站都存在如此風險嗎�����?
QQ作為最常用的聊天工具����,也有不少用戶把QQ號碼和手機綁定,QQ號被盜走的可能性有多大���?記者進行了嘗試�。在QQ安全中心的網(wǎng)頁里���,記者根據(jù)提示輸入了綁定的手機號碼和頁面上的驗證碼�,通過密保手機發(fā)送短信同樣可以找回密碼��,但在最終提示信息中���,QQ號碼只顯示了首末位數(shù)字。也就是說�,即使有人拿到你的手機���,修改了密碼,卻仍然會因為不知道QQ號碼而無法登錄�����。QQ客服向記者證實����,僅憑手機號碼的確找不到到QQ號碼,想要找到號碼���,必須通過申訴���,提供該QQ的一些使用信息等。
記者用同樣的方法試著找回MSN的用戶名和密碼�����,也沒有成功��。
當然���,也有與手機號碼完全無關(guān)的網(wǎng)站��,比如雅虎郵箱�,只能通過回答密保問題,或發(fā)郵件到關(guān)聯(lián)郵箱進行密碼重設(shè)��,和手機號碼無關(guān)��。
專家說法
企業(yè)應盡量杜絕管理漏洞
上海信息安全行業(yè)協(xié)會秘書長王強告訴記者��,不少網(wǎng)站在安全技術(shù)手段方面還是比較注重的���,但考慮到用戶對方便的需求�����,往往會在快捷和方便之間做一些取舍�����?!斑@是不少企業(yè)一直碰到的難題�����,太復雜��,沒有用戶愿意使用��,而不安全�����,則會帶來很多后續(xù)的問題���?����!?/p>
支付寶相關(guān)工作人員則向記者表示�,支付寶開發(fā)產(chǎn)品的原則���,是在安全的基礎(chǔ)上盡量便捷���,目前一些用戶碰到的安全問題,可能是因為用戶自己的使用習慣而造成����,所謂的“漏洞”也要針對實際的案例才能知道究竟是什么原因。
但王強認為�,企業(yè)除了加強技術(shù)保障以及用戶自己要重視自我保護外�,在管理上應該有不少工作可以做��,“人工服務理應對用戶進行最基本審核�。但像當當網(wǎng)的客服,僅報出一個手機號碼就告訴了用戶想要詢問的信息��,甚至連沒詢問的信息也透露了��,這就是管理漏洞����,是不應該出現(xiàn)的?!?/p>
記者手記
安全模式?jīng)]有快捷鍵
快捷,我所欲也���,安全����,亦我所欲也���。
如今不少賬戶都“聯(lián)姻”了�����,用多種方式都能登錄�����,比如微博���,可以用郵箱、手機號���、MSN等登錄��,因此��,只要一個信息泄露�����,或許會牽扯到多個賬戶的安危����。這就像一個連環(huán)套���,一旦其中一環(huán)出現(xiàn)問題�,會波及其它。在方便的同時��,這樣的聯(lián)姻帶來了更多的擔憂和風險���,甚至還可能帶來財產(chǎn)損失�。
其實�,對于用戶來說,安全與便捷的選擇題從來很好做���,一定是安全最重要��,尤其是一些與經(jīng)濟利益相關(guān)的賬戶����。而企業(yè)往往為了爭奪用戶�,盡量縮短用戶在注冊時的“猶豫期”,而提供越來越便捷的方式�,這樣,它可以向投資人說:我的用戶數(shù)是千萬級��、甚至億級的���。當然���,這沒有錯����,但最好問問自己��,有沒有在尋找更快捷方式的同時�����,花費更多的精力在確保安全上�?
驗證的時候�,多填一個郵箱地址,用戶多不了幾秒鐘時間���;客服審核的時候����,多回答一個問題�����,會讓用戶覺得更安心。為了安全�����,這些付出還是值得的�,不用任何快捷鍵。
來源:IT時報
版權(quán)及免責聲明:凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責任的權(quán)力。凡轉(zhuǎn)載文章����,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056�����。
延伸閱讀
