近日，一位支付宝用户的余额宝在用户毫不知情的情况下被转走了4万元，这在用户中炸开了锅，余额宝是否安全受到众人极大关注。支付宝方面称，初步判断余额宝被盗是用户身份信息泄露及短信被劫持所致。

虽然支付宝方面称，余额宝被盗的概率非常之低，但是这让不少人产生担忧。《IT时报》去年曾报道，通过一个手机号码就能解开支付账户，那么如果用户的手机丢失、手机号泄露，会不会导致余额宝被盗呢？

解开登录密码毫不费力

记者以自己一个尚未经过实名认证的支付宝账户做了试验，要打开余额宝，先要登录支付宝。在电脑上输入手机号码后，点击“忘记登录密码”，页面就会跳出三种找回密码的方式，分别是手机校验码+证件号码、安全保护问题、人工服务，记者发现没法找回密码。

那么在手机客户端上是否能找回密码？在支付宝的手机客户端上点击“忘记登录密码”后，只要输入支付宝用户名(即该手机号码)及页面上显示的验证码，该手机就会收到一条校验码，输入校验码后，就可以重新设置支付宝登录密码了，同时还可以设置手势密码。

为什么电脑上无法找回密码，而手机上就可以找回，客服人员称，因为后台系统会根据账户信息判断给出哪几种找回密码的方式。为了验证客服的话，记者又试了一个经过实名认证的支付宝账户，电脑上果然显示出了和之前不相同的找回密码方式，如证件号码+电子邮箱、身份核对问题等，最简单的就是通过手机校验码，只要输入收到的校验码，就能重置登录密码。

支付密码并非坚不可摧

如果需要从余额宝中转出资金，则需要支付密码。支付密码能解开吗？记者还是分别用未经过实名认证和经过实名认证的账户做了实验。未经过实名认证的账户依旧能通过校验码就能在手机客户端重置了支付密码，而经过实名认证的账户则需要证件号码、安全保护问题、电子邮箱等其它个人资料才能找回。

但记者发现，虽然经过认证的支付宝账户重置支付密码不像登录密码那么方便，但一旦登录到支付宝后，就会看到用户的一些基本信息，比如电子邮箱等。在找回支付密码的方式中，有一种是证书+电子邮箱的方式，由于邮箱已可被看到，且与手机绑定，因此通过手机接收验证码的方式，记者顺利解开了该邮箱的密码，并且在邮箱中收到了一封重置支付密码的邮件，成功重置了支付密码。

由此可见，虽然比较繁琐，但支付密码并非一道坚不可破的铜墙，而余额宝转账只需要通过输入支付密码即可。

“网络支付没有绝对安全，像支付宝这样用户数量大的第三方支付在进行风控体系设计时也要在可用性和安全性之间平衡，因此，肯定会有漏洞。”上海市信息安全行业协会秘书长王强表示。