自从支付宝与天弘基金联合推出名为余额宝的金融产品以来，着实带火了互联网理财市场。一时间，市场上不断跟风涌现同类产品，现金宝、活期宝、活期通，就连苏宁也不甘寂寞地宣布要推出易付宝。这些产品瞄准的目标都是用户的“小额活钱”，比如存在支付宝里的现钱，或是存在银行里的活期存款。这些电子理财产品交易灵活，随意买卖，且一般都有相对应的手机软件，对用户来说可谓方便至极。

但近期却频频出现用户余额宝资金不翼而飞的新闻，原因不外乎用户的电脑或手机在使用时遭到木马病毒入侵。便捷的电子交易形式也同样给了网银大盗们可乘之机。由此可见，刚刚起步的互联网理财项目不管是在收益方面还是网络技术方面，都存在着明显的风险。而余额宝资金被窃用户索赔遭拒的事实也说明，诸如此类的理财产品远不像网站宣传的那样“万无一失”。

近日，一位支付宝用户的余额宝在用户毫不知情的情况下被转走了4万元，这在用户中炸开了锅，余额宝是否安全受到众人极大关注。支付宝方面称，初步判断余额宝被盗是用户身份信息泄露及短信被劫持所致。

虽然支付宝方面称，余额宝被盗的概率非常之低，但是这让不少人产生担忧。《IT时报》去年曾报道，通过一个手机号码就能解开支付账户，那么如果用户的手机丢失、手机号泄露，会不会导致余额宝被盗呢？

解开登录密码毫不费力

记者以自己一个尚未经过实名认证的支付宝账户做了试验，要打开余额宝，先要登录支付宝。在电脑上输入手机号码后，点击“忘记登录密码”，页面就会跳出三种找回密码的方式，分别是手机校验码+证件号码、安全保护问题、人工服务，记者发现没法找回密码。

那么在手机客户端上是否能找回密码？在支付宝的手机客户端上点击“忘记登录密码”后，只要输入支付宝用户名(即该手机号码)及页面上显示的验证码，该手机就会收到一条校验码，输入校验码后，就可以重新设置支付宝登录密码了，同时还可以设置手势密码。

为什么电脑上无法找回密码，而手机上就可以找回，客服人员称，因为后台系统会根据账户信息判断给出哪几种找回密码的方式。为了验证客服的话，记者又试了一个经过实名认证的支付宝账户，电脑上果然显示出了和之前不相同的找回密码方式，如证件号码+电子邮箱、身份核对问题等，最简单的就是通过手机校验码，只要输入收到的校验码，就能重置登录密码。

在实际操作中，用户账户被盗后，其资金会被迅速转入别的账户，实践中并不容易直接找到真实的资金流入主体，难以追踪到窃贼个人并向其主张索赔。而且对于账户被盗信息，用户未必能及时知晓，也就难以进行及时、有效的事后救济。同时，我国尚未有健全的互联网金融法律体系，很多关于证明事项、举证责任划分、证明要求等内容未有清晰界定，不能在双方出现纠纷时提供具体可行的裁判标准。

一方面，国务院已经决定成立由央行牵头，联合有关部门共同组成的互联网金融发展与监管研究小组，探寻互联网金融业态监管秩序与制度机制的建立。而另一方面，凡是涉及到互联网金融的事情，用户们都要多留个心眼，留意自己的电脑和手机是否“干净可靠”。

支付密码并非坚不可摧
如果需要从余额宝中转出资金，则需要支付密码。支付密码能解开吗？记者还是分别用未经过实名认证和经过实名认证的账户做了实验。未经过实名认证的账户依旧能通过校验码就能在手机客户端重置了支付密码，而经过实名认证的账户则需要证件号码、安全保护问题、电子邮箱等其它个人资料才能找回。

但记者发现，虽然经过认证的支付宝账户重置支付密码不像登录密码那么方便，但一旦登录到支付宝后，就会看到用户的一些基本信息，比如电子邮箱等。在找回支付密码的方式中，有一种是证书+电子邮箱的方式，由于邮箱已可被看到，且与手机绑定，因此通过手机接收验证码的方式，记者顺利解开了该邮箱的密码，并且在邮箱中收到了一封重置支付密码的邮件，成功重置了支付密码。

由此可见，虽然比较繁琐，但支付密码并非一道坚不可破的铜墙，而余额宝转账只需要通过输入支付密码即可。

“网络支付没有绝对安全，像支付宝这样用户数量大的第三方支付在进行风控体系设计时也要在可用性和安全性之间平衡，因此，肯定会有漏洞。”上海市信息安全行业协会秘书长王强表示。