手机装有支付宝 如果丢了很可怕？

6.在该页面左下角，可以看到“快速入口”下的“找回支付密码”。点击进入后，填写了手机收到的校验码后，再填完银行卡卡号和身份证号，便可以顺利重置支付密码。

数据证书很头疼? 有手机在手便可绕过去

接下来，华商报记者尝试用电脑给别人支付宝账号转10元钱，结果页面提示，“你是数字证书用户，但本台电脑尚未安装证书”。这让华商报记者想起了网帖子中所说的内容，从作者的叙述看，应该是通过手机短信校验码申请取消了数字证书。

难道只能取消吗?记者注意到，页面提示有“你可以安装数字证书”。那就安装一个试试呗!点击安装后，填写了使用地点和页面验证码，提交后再次收到手机短信校验码。填写后，下一步便进入安装。完毕后再次转账发现，又进入了“自由境界”。想怎么玩，就可以怎么玩了。

如果一张银行卡上没钱了，还有另一张卡，网帖中还介绍了可以添加银行卡的事情。华商报记者没有做这个实验，但想来既然已经掌握了该账号的最高权限，有什么事情是做不成的呢?

怕短信“打扰”到账号主人?竟然可直接改绑定别的手机

网帖介绍中，作者还从窃取别人支付宝账户者的心态考虑：这样的频繁的短信骚扰是否会让失主发现?所以，在操作中把绑定的手机号码也改了。现在依然可以这样做吗?

华商报记者再次尝试，在安全页面快速入口下点击“更换手机”，页面打开后有两个选项：无法接收短信、能接收短信。点击“能接收短信”，又弹出两个选项：通过证书+手机校验码、通过手机校验码+支付密码。

这两个选项，现在都不是问题。选择第一个，填写收到的手机短信校验码后，再填写新手机号码，和新手机收到的短信校验码，原来绑定的手机就接到了停止服务的提示，短信提醒便转到了新手机上。

再次进入支付宝账户页面，华商报记者发现，朋友支付宝账户的账户名也改成了新的号码。

实验总结

核心安全权限级别设置 手机短信似乎最大

相关帖子总结说，这一切“杯具”的根源在于手机的权限太逆天，居然可以解除其他所有安全设置。正确的策略应该是数字证书优先于手机验证，可支付宝居然可以让手机取消数字证书……

网帖作者认为，支付宝应该做的有四点：1、提供禁用手机号登录功能;2、找回密码别这么简单;3、支付密码和数字证书级别应在手机之上，禁止用手机找回支付密码，禁止解除数字证书;4、数字证书和支付密码如果要修改，可以委托给合作银行，或自己在全国开设网点，银行身份证和本人验证，至少目前是最安全的。

华商报记者注意到，尽管支付宝在安全策略上已有所升级，比如找回密码除了要填写短信校验码外，还增加了安保问题或证件号、银行卡号等，但核心的安全权限级别设置方面，手机短信似乎还是最大的。