正文
“有点。”
“。。。”
雄文这么不按套路出牌的坦诚,让我本来准备好的一万个质疑都瞬间失效。
“录节目时你最慌的是什么时候?”
“AlphaRisk 判断一个账户是不是被盗用,是要综合很多指标来判断的。其中一个重要的维度就是看转走多少钱。结果在节目彩排的时候,黑客强行登录支付宝账号以后,居然只转5块钱!说实话,这么少的金额,是有可能被 AlphaRisk 放过的。转这么少钱,也没跟我商量,当时我真是捏了一把汗。还好支付宝给力,拦住了。”雄文吐槽。
感觉白衣黑客们费劲气力,才看清5这个按键在哪。。。
雄文当时的表情是这样的。
看看,在节目上黑客攻击三个支付宝账户都功败垂成时,雄文有多开心。
支付宝曾对外发布了一个数据:
资损率低于千万分之五。
意思就是,存在支付宝里的钱,出问题的概率低于千万分之五。
千万分之五,真牛X!等等,好像哪里不对。。。假如我就是那倒霉的千万分之五,我是不是要去杭州上访?
“不用,如果你的支付宝真的没被拦住,被盗了,我们赔给你就是了。”雄文淡定地说。
确实,我记得支付宝从2004年上线之后,就有一个口号叫“你敢付,我敢赔。”只不过说实话这么多年中哥的支付宝账户也没丢过钱,不知道他们到底是赔不赔。。。既然今天支付宝副总裁都这么说了,那我放心了。
也就是说,理论上支付宝并不能保证防御住每一次具体的黑客攻击,但这对于普通用户来说那不重要,因为每个人的钱都是绝对安全的。
说实话,见到雄文之前,我是没想到他会这么坦诚的。好不容易逮到他,得多问点电视台不让播的内容。
接下来就到了中哥硬核科普时间了,今天的话题是:
你家支付宝的门神——AlphaRisk——到底是咋工作的?
黑客偷钱,总共分三步
你可以简单想象一下,用支付宝转账,要过三道大门:
第一道:登录密码;
第二道:支付密码;
第三道:AlphaRisk 风险控制系统。
雄文说。
来,我们一道一道地科普。
第一关、登录密码
这个很简单。你登录支付宝的时候,要输入登录密码,证明你是你。
你可能会杠说,不对啊,我每次在手机上登录支付宝,不用输入密码,直接就打开了啊!没错,那是因为你经常登录,并且没有换手机。这种情况下,你账户有风险的概率很低。支付宝没有必要每次都打扰你,让你输密码。
这里,我们学到了今天最重要的一个概念:
打扰率。
一个 App,每要求你做一件事,比如输入密码,比如让你接收一个短信验证码,这都算一次打扰。而在用户体验中,打扰是要扣分的。所以,通过频繁打扰用户的方式来保证你的“绝对安全”,并不是个好办法。
由上图可知,频繁打扰是一件很烦的事,这个问题涉及到深奥的产品哲学,我们在最后还会详细讨论。
我们继续说登录密码。
如果你在一部手机里很久都没有登录支付宝,那是需要重新输入密码的。如果你换了一部新手机登录支付宝,那么不仅要输入密码,还要二次校验(短信验证码或者回答安全问题)。
所以,黑客单单偷到了你的支付宝登录密码,是无法直接登录你的支付宝的。那他们是怎么做的呢?中哥可以告诉你几种可能性:
1)你的身份信息泄露严重。
刚才我说到,支付宝密码是可以被重置的,需要提供身份证、银行卡等一系列信息。如果这些信息隐私信息都被黑产掌握了,那么从某种程度上说,他就是你了。没办法,你的密码也会被重置,他可以登录。
2)你的手机丢了。
你的手机丢了的意思是——你的手机不仅丢了,并且没有设置开屏密码或指纹解锁。否则坏人解不开你的手机,就跟没丢一样。
反正黑客只要进入你的手机主屏,接下来就有两种情况:
你在几天内用过支付宝,那么,黑客不用输入密码,就像你本人使用一样,能直接登陆。
你最近没有登录支付宝,那么支付宝会要求你输入密码,此时黑客可以选择重置密码,选择手机接收验证码,也是可以重置密码成功登录的。
此乃第一关。
第二关、支付密码
如果坏人破解了你的登录密码,那么接下来他想把钱转走,就要遇到“支付密码”这道关口。
你记得不,支付宝会要求你的支付密码和登录密码不同,目的就是为了防止坏人破解了你的登录密码,直接就能攻破你的支付密码。
这里有个小细节:支付宝最近几年会鼓励你用指纹代替支付密码。当然,用户也可以手动选择切换——这次支付不用指纹,就用密码。这关实际上挡不住黑客,但是你要记住这个细节,一会儿有用。
接下来我们继续说黑客怎么攻破你的支付密码:
1)用你之前泄露的其他登录密码尝试。
一般人不会把支付宝支付密码和其他应用的登录密码设置为一个,这种方法成功率从实战数据中看比较低。
2)重置你的支付密码。
重置你的密码,需要你的个人信息,或者需要你的手机。如果黑客已经掌握了这些,那么他很可能重置支付密码成功。
你一定以为:黑客破了我的支付密码,钱就会被转走了噜。
错!图样图森破!黑客的噩梦才刚刚开始。
马上就会进入第三步骤:AlphaRisk。
第三关、AlphaRisk
前面两步,黑客的所有操作,其实 AlphaRisk 都在默默看着,只是它没说话而已。
当前两个密码都输入正确后,AlphaRisk 会作为最后一道门神,像尉迟恭和秦叔宝一样,决定放不放走这个钱。
