没有完美

如果你最近有稍微关注一下支付宝的新闻，你会看到如下连续的三篇： [惊悚实验]支付宝关联了银行卡 如果手机丢了会发生什么 [多图]支付宝找回密码验身份证被指依然可以绕过 [多图]捡到手机 除了支付宝你还可以干点什么?

我们不去讨论为什么这三篇文章如此集中（这还用说嘛，TX要推自己的“XX宝”了，当然要打压对手一下～） 但是这里可以看到，都集中在获取手机后如何如何去做坏事，彰显手机的强大，鄙视了支付宝等各大站点在安全上对手机的过分依赖。 说白了，就是拿到了手机，就仿佛获得了原机主的最高权限～～ （我想说句废话，手机里面那么多秘密，给你看到了还不疯掉！支付宝在这种case下算个P啊！）

不过我们换个角度想想看，为什么支付宝会有这种“漏洞”。 支付宝最关注的是什么？ 一定是安全。 一个绝对靠谱的安全是什么样子？ 就像之前密码和指纹 哪个身份识别方式更安全？里面说的，各种复杂的多重验证；而且密码恢复的手段都是反人类不科学到听了都吐血的。《白宫陷落》看过没？地狱犬系统还记得吧？ 况且，假设真做到那种程度，支付宝还有人用么？ 想象一下，想给手机充个值，结果需要3个不同的动态密钥，还要一个放在邮箱，一个发到手机，一个用脑子记住，而且强制3个月必须更换！想找回密码，必须本人亲自去杭州支付宝总部，带上身份证/户口本/当地派出所出具的证明函/单身证明或已婚证明等等等等，还有要记得排队取号哦亲～ 但如果那样的话，大家还有必要用支付宝么～？

所以我们来看支付宝另外需要密切关注的点，也就是方便（用户体验） 如果支付宝用起来不方便，大家就没必要用支付宝了；就好像去吃KFC，一样的套餐，你是在家门口的KFC吃或者叫外卖吃？还是坐飞机跑到北上广深的市中心去吃？（如果你选择了后者。。。亲请出门左转不送） 所以支付宝必须在安全和方便之间做权衡，这也是题目的意思，没有完美的逻辑；没有安全到极限又无比方便的方案，这不管是从统计学还是上升到哲学高度都是说不通的。 不同的互联网公司会做不同的权衡，支付宝选择手机-号码作为一个核心的依赖项，应该是出于以下两点的考虑：

1. “手机”是贴身方便的个人物品
2. “号码”是运营商提供的，而运营商是靠谱的（至少比三方机构靠谱吧） – 这里请忽略2G假基站的影响，谢谢。 当然如果亲觉得这种依赖是个弊端，那请问有什么“更好”的方案么～？

那如何避免出现类似支付宝这种的损失？ 我想说，这个大家都会，而且可能有些人已经做过了，而且。。有些人可能做过不止一次。。。

1. 手机应该已经加密过，至少应该有开启“设备管理器”或类似的远程销毁数据的功能（没这些就算了，大家等着亲的艳照门哦～）
2. 手机号码第一时间挂失补办新卡（重要啊！！）

插句其他的 – WordPress的新升级感觉不错嘛～