“如果你的手机丢了，任何人仅凭借手机接收到的校验码就能找回你的支付宝密码，解除你的数字证书，盗空你的支付宝账户”。这段时间，微博和微信朋友圈里一则“惊悚实验”被广泛散播。

　　随着智能手机的普及和互联网金融的渗透，通过手机购买“宝宝们”变得非常便捷，当然，便捷地操作是否意味着也会便捷地“失去”，同样是让用户担心的问题。记者了解到，在技术的支持下，“宝宝们”被盗的概率非常低，但消费者也应该有些风险防范意识，不要让“十万分之一”的不幸降落到自己身上。

　　解开登录密码毫不费力?

　　上述“实验贴”中表示，“捡到他人手机后，任何人都可以仅通过取回密码的方式破解支付宝的登陆和支付密码，从而盗走资金”。解开登录密码真的毫不费力吗?对此，小微金融服务集团首席风险官胡晓明回应称，“这种说法纯属谣言”。

　　胡晓明介绍，支付宝的安全基于一整套的风险防控体系，其中7×24小时的智能风险识别系统会对用户的每一笔支付、每一次找回密码等关键操作进行智能识别，对不同风险级别的操作会要求不同的安全校验。如果用户在自己的电脑上模拟自己“真实被盗”的过程，相对的风险级别就很低，自己容易“破译”自己的密码实现重置，“如果真有别人捡到你的手机，想在别的电脑上重置密码，他一定需要‘手机校验码+身份证信息’等更高安全级别的校验，绝对不可能仅通过一个手机校验码就找回密码。”

　　此前，有媒体报道，一位支付宝用户的余额宝在用户毫不知情的情况下被转走了4万元。对此，阿里小微金融事业部总经理袁雷鸣回应称，从余额宝的交易额、交易笔数来看，它的被盗风险率并不算高，被盗风险率低于十万分之一，远低于同业水平。

　　防盗还需“里应外合”

　　上海市信息安全行业协会秘书长王强表示，网络支付没有绝对安全，像支付宝这样用户数量大的第三方支付在进行风控体系设计时，也要在可用性和安全性之间平衡，因此，肯定会有漏洞。而有不愿具名的专家告诉记者，像余额宝这样的产品在安全防范上已属于高级别，且有多年经验累积和事后赔付机制托底，他更担心的是，随着互联网金融的加速，更多“宝宝们”的安全体系层次不齐。

　　安全专家表示，要让“宝宝们”更加安全，消费者也需要“留个心眼”。以支付宝为例，许多手机用户在注册时往往将自己的手机号码作为账号使用，密码简单易猜，当手机遗失时，很容易被不法分子识破，直接进入账户。此外，记者在尝试破解密码时发现，实名认证的账户需要证件号码、安全保护问题、电子邮箱等其它个人资料才能找回密码，相对来说安全程度更高。

　　4道“门槛”守护“宝宝”

　　余额宝、现金宝……当越来越多的用户通过手机购买理财产品，如何保护这些“宝宝们”的安全?安全专家总结了不少简单上手的经验，主要针对手机本身、理财产品、木马袭击和丢失手机等4大最有可能被“偷袭”的方面加以防范。

　　手机本身是第一道“门槛”，专家建议设置手机开机密码或手势，因为手机开机密码是第一道防盗门，没有开机密码就无法打开手机，可以为挂失和冻结账户赢得时间。在有可能的情况下，请顺手设置安全保护问题，如外公、外婆等名字等等。

　　第二道“门槛”来自理财产品本身，每个网站都有的实名验证是基础，如支付宝的数字证书、各大银行系统的认证，都是强有力的保护伞。

　　第三道“门槛”是防木马。和PC端相同，使用手机端时，不要轻易点击陌生人发送的链接、压缩包等，如果收到后缀名为.apk的文件，千万不要点击下载。在使用聊天软件时，在完全确定对方身份之前，最好不要接收对方发送的链接或图片。

　　最后一关是为手机遗失准备的，许多安全软件的“找回手机”功能里，都具备一键删除功能，是保护手机信息安全的有利武器。此外，手机、银行卡和身份证丢失后，要尽快向银行挂失。如果是被盗，还应第一时间报警，因为报警是事后理赔的重要证据。

　　文汇报记者 徐晶卉