6.在該頁面左下角，可以看到“快速入口”下的“找回支付密碼”。點擊進入后，填寫了手機收到的校驗碼后，再填完銀行卡卡號和身份證號，便可以順利重置支付密碼。

數據證書很頭疼? 有手機在手便可繞過去

接下來，華商報記者嘗試用電腦給別人支付寶賬號轉10元錢，結果頁面提示，“你是數字證書用戶，但本臺電腦尚未安裝證書”。這讓華商報記者想起了網帖子中所說的內容，從作者的敘述看，應該是通過手機短信校驗碼申請取消了數字證書。

難道只能取消嗎?記者注意到，頁面提示有“你可以安裝數字證書”。那就安裝一個試試唄!點擊安裝后，填寫了使用地點和頁面驗證碼，提交后再次收到手機短信校驗碼。填寫后，下一步便進入安裝。完畢后再次轉賬發現，又進入了“自由境界”。想怎么玩，就可以怎么玩了。

如果一張銀行卡上沒錢了，還有另一張卡，網帖中還介紹了可以添加銀行卡的事情。華商報記者沒有做這個實驗，但想來既然已經掌握了該賬號的最高權限，有什么事情是做不成的呢?

怕短信“打擾”到賬號主人?竟然可直接改綁定別的手機

網帖介紹中，作者還從竊取別人支付寶賬戶者的心態考慮：這樣的頻繁的短信騷擾是否會讓失主發現?所以，在操作中把綁定的手機號碼也改了。現在依然可以這樣做嗎?

華商報記者再次嘗試，在安全頁面快速入口下點擊“更換手機”，頁面打開后有兩個選項：無法接收短信、能接收短信。點擊“能接收短信”，又彈出兩個選項：通過證書+手機校驗碼、通過手機校驗碼+支付密碼。

這兩個選項，現在都不是問題。選擇第一個，填寫收到的手機短信校驗碼后，再填寫新手機號碼，和新手機收到的短信校驗碼，原來綁定的手機就接到了停止服務的提示，短信提醒便轉到了新手機上。

再次進入支付寶賬戶頁面，華商報記者發現，朋友支付寶賬戶的賬戶名也改成了新的號碼。

實驗總結

核心安全權限級別設置 手機短信似乎最大

相關帖子總結說，這一切“杯具”的根源在于手機的權限太逆天，居然可以解除其他所有安全設置。正確的策略應該是數字證書優先于手機驗證，可支付寶居然可以讓手機取消數字證書……

網帖作者認為，支付寶應該做的有四點：1、提供禁用手機號登錄功能;2、找回密碼別這么簡單;3、支付密碼和數字證書級別應在手機之上，禁止用手機找回支付密碼，禁止解除數字證書;4、數字證書和支付密碼如果要修改，可以委托給合作銀行，或自己在全國開設網點，銀行身份證和本人驗證，至少目前是最安全的。

華商報記者注意到，盡管支付寶在安全策略上已有所升級，比如找回密碼除了要填寫短信校驗碼外，還增加了安保問題或證件號、銀行卡號等，但核心的安全權限級別設置方面，手機短信似乎還是最大的。