日前，相關媒體通過鏡頭給全國人民做了一次現場真實測試。測試發現，事實并非如實驗中的描述，找回支付寶密碼需要同時驗證手機校驗碼、身份證號和私人安全問題，過程相當繁瑣，破譯的可能性很小。傳言幾個月的“支付寶驚悚實驗”也終于真相大白。

　　重設登錄密碼需要身份證驗證

　　為了證實“支付寶驚悚實驗”的可信度，筆者專程從國內專業的網絡安全公司里請來一位安全研究員，按照“支付寶驚悚實驗”的步驟，對手機丟失后可能發現情況做了全面的真實測試。

　　研究人員假設撿到筆者的手機，手機上裝有支付寶錢包，然后研究人員開始對手機里的支付寶錢包進行資金盜取。

　　打開支付寶錢包，研究人員馬上遇到支付寶錢包第一道安全屏障——圖形鎖定界面。支付寶錢包設有手勢圖形鎖定功能，需要手設密碼或重新登錄才能進入，研究人員既沒手設密碼，又不知道賬戶登錄密碼，只能選擇“忘記密碼”，希望通過重設登錄密碼功能進入支付寶賬戶。

　　進入重設登錄密碼界面，第一步系統要求輸入支付寶賬戶名和手機短信驗證碼，剛好筆者的手機號就是賬戶號，而短信驗證碼也會發到筆者這個手機上，因此就可以通過這一步。然而，進一步，系統要求研究人員輸入支付寶賬戶主人的身份證號。這一步，研究人員沒有拿到筆者的身份證，支付寶的登錄密碼也無法進行修改。在現實中，如果沒有獲得正確的身份證號碼，盜竊者就止步于此了。

　　“短信+安保問題”

　　修改支付密碼可能性很小

　　為了進一步測試，筆者假定手機獲得者能夠得到身份證信息，在修改了登錄密碼后，研究人員成功地登錄了這臺手機上的支付寶。接下來，研究人員就嘗試對這個賬戶做資金轉出、轉入操作了。

　　由于研究人員不知道支付密碼，同樣只能通過密碼找回功能破解。支付密碼找回有兩種方式：一種是通過短信校驗碼，加上安保問題；另一種就是短信校驗碼，加上這個你存到的快捷支付的銀行卡的信息。

　　實操中研究人員選擇第一種：短信校驗碼+安保問題。短信校驗碼很容手機上。但得到驗證碼之后，還要正確填寫一個安保問題，通常這個問題是手機用戶自己個性化設定的，有的手機用戶設計的就是自己媽媽的名字，而類似這樣私密的問題，撿到手機的人不可能知道。這也就是說修改支付密碼的可能性很小。

　　在這次測試中，筆者得出結論，支付寶的安全完全有保障，即使手機丟失，別人也無法從這臺手機上盜取資金。研究人員也坦言，手機丟失的風險其實是可控的，而且只要用戶保護好自己的隱私，特別是像身份證號、銀行卡號這些東西只要保護好，并不需要擔心。