如果手机和钱包同时丢失，你的支付宝和银行卡很可能分文不剩

如果只是丢失手机的话，支付宝账号还是比较安全的。但如果钱包也丢了，那就是大灾难。你的银行卡很可能会分文不剩！根源在于支付宝令人发指的重置密码机制。下面详细解释。

以下状况发生的前提条件是你与支付宝关联的手机，身份证和银行卡这三样东西同时丢失，且银行卡已开通快捷支付，支付宝可以用手机号登录。构成以上条件，则可以轻易盗取支付宝余额和开通快捷支付的银行卡里的金额。

测试时间为2014.11.27.
支付宝钱包版本号：8.3 （iOS）

很多人的身份证和银行卡都是同时放在钱包里的，我就是。

以我自己为例，假如钱包（内有银行卡与身份证）和手机同时丢失，那我的支付宝还安全吗？不妨做个测试。

小偷打开支付宝时需要手势密码，有五次机会，直接无视，点击忘记密码，提示需要重新登录，那么再次点击忘记密码，支付宝的重置登录密码如下图，需要账号（我们已经假设了可以用手机号登录，获取了手机自然能拿到手机号），手机验证码，身份证即可重置。此时，小偷就轻松地登录你的支付宝了。

登录.png

可是，只有登录密码是动不了钱的。还需要重置支付密码。在设置里可以找到重置支付密码，这里会提示两种找回支付密码的途径，一种是通过短信加密保问题，另一种是通过短信加银行卡，选择第二个，如下图，只需要手机验证码，绑定了快捷支付的银行卡号，身份证就能重置支付密码。

支付.png

至此，支付宝账号完全沦陷，随意输个账号转个账，成功。支付体验赞一个。

IMG_2784.png

这还没完。假如钱包里还有其他未绑定支付宝的银行卡，且这张卡在银行的预留手机号与被偷的手机一致，那么贼人可以帮你把这些卡的快捷支付给开通了，开通快捷支付也和上面一样，只需要手机号，银行卡，身份证。然后你的钱包就彻底沦陷了。。

更恐怖的是手机加密也没用，即使是逼格满满的Touch ID加持也阻挡不了。因为构成重置支付宝密码的三要素中的手机并不是必要条件，手机里的sim 卡才是，所以不管你手机怎么加密，把sim 卡拔出来换部手机就能重复上述步骤了。

我们来看看问题出在哪？
我认为最核心的问题是重置登录密码，重置支付密码，开通快捷支付所需要的东西都是明文显示在某一介质上（银行卡号，身份证号都是直接在卡显示），而不需要其他隐蔽性更强的信息，如密保问题。虽然重置支付密码时有密保选项，但不是唯一途径。

作为用户，面对如此随便的重置密码流程，应该怎么增强防范呢？
我实在想不出什么好的方法，无非是看好手机，看好钱包。如发生丢失，要第一时间挂失手机卡，银行卡，支付宝等，你是在跟小偷斗快。我会告诉你上面那个重置密码加转账的流程执行起来最快不到3分钟吗？

最后，希望支付宝能改进重置密码流程，目前的风险实在太高了。

==========14.12.04 更新===================

感谢@Kynus 的设置pin码的建议，是个好方法。

小偷需要知道你的手机号码：
假如iPhone有密码/Touch ID，
小偷想知道你的号码，就只能换台手机放入SIM；
这个时候建议大家都设置Pin码，
小偷就无法在其他机器上用你的SIM卡；
iPhone设置方法：设置-电话-SIM卡PIN码
希望大家保管好自己的东西！

感谢@书尘萌夫 的测试。我稍后也测试下更改网络环境和支付环境的状况。

安卓8.3测试成功……另发现有一个小额免密支付，当面付免密支付（不过测试账号没钱所以没试），楼主所说有点道理。
但是：
查了些东西，和支付宝客服聊了下，首先明确：用自己的手机在熟悉的支付环境下，这样测试是百分百成功的，这是客户密码重置的需要。其次，换手机之后是不行的，网络环境和支付环境是不相同的，sim卡也不顶用。所以，别人要动你的钱，最低限度要求是原机同城会解锁手机锁屏，以上，大家不用担心钱给了别人。相反，注意下自己人吧！