来自阿里巴巴网络工程师的回复@Chass：

这里简单答复下楼主: 1.使用余额宝、快捷支付被盗造成的资金损失，支付宝都会给予全额补偿，补偿金额无上限。2.数字证书并非是最高安全等级产品，推荐使用支付宝手机钱包中的手机宝令。3.手机丢失也会威胁银行账户手机请设置密码，手机丢失是一种风险。但由于纯依赖手机号码权限不够，还需要验证附加密码或信息。目前纯粹因为手机丢失所发生的威胁，多数是熟人关系。需要注意的是，银行的客服也会识别来电手机号码，所以手机还是建议设置锁屏密码。

关于支付宝安全的帖子不少，那些帖子说的都是手机身份证银行卡一起丢，光凭身份证和卡就可以取钱了，何必通过支付宝。

如果只丢失手机呢，是否危险。为了避免被认为是托，决定亲测上图。

测试场景：捡到一个手机，没有银行卡身份证其他的任何东西(当然拿我自己的手机试验，请勿报警)

1获得手机之后，怎么知道支付宝登陆名，手机号就是登陆名啊，只要你绑定了手机

而且还能贴心的告诉你这个手机是否注册了支付宝

2 不知道登陆密码?支付宝，知托付，贴心的告诉你忘记密码怎么办，点一下试试

看看，一个手机验证码搞定，也就是说你只要有了手机，账号和密码都有了

3 登陆之后看看，不是土豪嘛，只有余额宝有点钱

4 安全级别看起挺高啊，有U盾的数字证书，看起来很放心的样子。把余额宝转出来试试，转不了

5 牢不可破的数字证书认证，是没法攻克的，这道门进不去怎么办，我们居然可以不开门，把门拆掉就行。解除数字证书，一个手机短信就够了。手机兄真是逆天了，神挡杀神，佛挡杀佛。

6 看看，数字证书已经被干掉了，再试试转出余额宝，哟，还有支付密码，手机君再次出场，熟悉的找回密码，短信验证，OK

7 现在，登陆密码，数字证书，支付密码都被攻克了，已经把余额宝钱转出来了，再从支付宝转到任意卡上试试，一个支付密码就够了

8 你没有开通快捷支付，没关系，12580，一按我帮您，好像有个关联卡号，没有开通快捷，免费帮您开通哟，卡号身份证号都是妥妥的填好了，收条短信就OK

9 假如碰巧在手机上存了另一个卡的卡号，也能开通吗?没问题，真是太贴心了，也不用身份证号，手机和银行卡就行了。

10 现在可以用的快捷支付随便玩了，支付密码已经有了

11 免得你发现了挂失，把绑定手机改了吧，尼玛，居然一条短信又搞定了

12 总结，这一切的杯具的根源在于，手机的权限太逆天，神挡杀神，佛挡杀佛，居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证，可脑残的支付宝，手机居然取消数字证书，连长干掉师长，我还能说什么呢。其他密码只要能找回，都是小菜一碟了。

用户能做的

(1)转移余额

(2)删除全部关联银行卡，用网银支付

(3)支付宝和银行卡用不同的手机号

(4)不绑定手机号，尼玛，不是更不安全了。

支付宝该做的

(1)提供禁用手机号登陆功能

(2)找回密码别这么简单行不行，好歹有个验证问答

(3)支付密码和数字证书级别应在手机之上，禁止用手机找回支付密码，禁止解除数字证书，安全级别应该只能升，不能降

(4)数字证书和支付密码如果要修改，委托给合作银行，或者自己在全国开设网点，银行身份证和本人验证，至少目前是最安全的。

来源：松松科技 QQ/微信：lusongsong7 ，转载请注明出处！

本文地址：https://down.lusongsong.com/info/838.html