/ 安全

没有完美

如果你最近有稍微关注一下支付宝的新闻,你会看到如下连续的三篇:
[惊悚实验]支付宝关联了银行卡 如果手机丢了会发生什么
[多图]支付宝找回密码验身份证被指依然可以绕过
[多图]捡到手机 除了支付宝你还可以干点什么?

我们不去讨论为什么这三篇文章如此集中(这还用说嘛,TX要推自己的“XX宝”了,当然要打压对手一下~)
但是这里可以看到,都集中在获取手机后如何如何去做坏事,彰显手机的强大,鄙视了支付宝等各大站点在安全上对手机的过分依赖。
说白了,就是拿到了手机,就仿佛获得了原机主的最高权限~~ (我想说句废话,手机里面那么多秘密,给你看到了还不疯掉!支付宝在这种case下算个P啊!)

不过我们换个角度想想看,为什么支付宝会有这种“漏洞”。
支付宝最关注的是什么? 一定是安全。
一个绝对靠谱的安全是什么样子? 就像之前密码和指纹 哪个身份识别方式更安全?里面说的,各种复杂的多重验证;而且密码恢复的手段都是反人类不科学到听了都吐血的。《白宫陷落》看过没?地狱犬系统还记得吧?
况且,假设真做到那种程度,支付宝还有人用么? 想象一下,想给手机充个值,结果需要3个不同的动态密钥,还要一个放在邮箱,一个发到手机,一个用脑子记住,而且强制3个月必须更换!想找回密码,必须本人亲自去杭州支付宝总部,带上身份证/户口本/当地派出所出具的证明函/单身证明或已婚证明等等等等,还有要记得排队取号哦亲~
但如果那样的话,大家还有必要用支付宝么~?

所以我们来看支付宝另外需要密切关注的点,也就是方便(用户体验)
如果支付宝用起来不方便,大家就没必要用支付宝了;就好像去吃KFC,一样的套餐,你是在家门口的KFC吃或者叫外卖吃?还是坐飞机跑到北上广深的市中心去吃?(如果你选择了后者。。。亲请出门左转不送)
所以支付宝必须在安全和方便之间做权衡,这也是题目的意思,没有完美的逻辑;没有安全到极限又无比方便的方案,这不管是从统计学还是上升到哲学高度都是说不通的。
不同的互联网公司会做不同的权衡,支付宝选择手机-号码作为一个核心的依赖项,应该是出于以下两点的考虑:

  1. “手机”是贴身方便的个人物品
  2. “号码”是运营商提供的,而运营商是靠谱的(至少比三方机构靠谱吧) -- 这里请忽略2G假基站的影响,谢谢。
    当然如果亲觉得这种依赖是个弊端,那请问有什么“更好”的方案么~?

那如何避免出现类似支付宝这种的损失? 我想说,这个大家都会,而且可能有些人已经做过了,而且。。有些人可能做过不止一次。。。

  1. 手机应该已经加密过,至少应该有开启“设备管理器”或类似的远程销毁数据的功能(没这些就算了,大家等着亲的艳照门哦~)
  2. 手机号码第一时间挂失补办新卡(重要啊!!)

插句其他的 -- WordPress的新升级感觉不错嘛~