前不久，央视新闻频道《东方时空》栏目播出了《支付宝找回密码功能有漏洞账号安全受威胁》，事件大致内容如下

掌握了当事人的姓名、手机号码和身份证号码这些信息之后，伪造假的身份证，然后再利用假身份证补办一张当事人的手机卡，当事人的支付宝和这个手机号是绑定的，犯罪嫌疑人就能易如反掌的登录当事人的支付宝账户，将当事人银行卡内的存款转走

从这个案件看，首先最大责任人应该是营业厅，为什么假身份证可以补办手机卡。其次支付宝也有不可推卸的责任，下面围绕支付宝支付体验方面谈谈。

凡是用手机号做注册、登录、找回密码服务的设计，都是不安全的

我们看亚马逊的登录注册，登录身份仅限于Email。

我们再看Paypal的找回密码，也没有绑定手机找回的选项。

亚马逊和Paypal算是国外顶级电商和支付平台，难道他们不知道手机号码的便捷？因为一般来说，邮件服务商都会设计安全环节，有效降低Email被盗取的可能，而手机却很容易丢失，一旦丢失，就很容易给不法分子造成机会了。安全的交易平台，都会对用户邮件、手机号做安全处理，尽量避免在平台的界面上透露和使用，更不允许采用手机找回密码的服务。

不仅仅是支付宝，包括腾讯的财付通，都支持手机绑定，都可以通过手机直接找回密码，这只是重视了用户使用的便捷，忽略用户安全。

实际上用户便捷的设计不等于好的用户体验

我们看看淘宝网的登录方式：

手机号、会员名、邮箱、手机动态密码、二维码，一共5种登录方式，表面上是多种选择，便捷了用户，实际上，如果一个用户一旦忘记了自己的登录方式，那么他有可能要做多种尝试。

优秀的产品设计，会让用户对产品使用形成一种习惯。给用户更多选择，实际上这中多选择也是在分散用户注意力。

支付宝的很多设计都是急功近利，盲目迎合用户

我举个例子，我为了测试支付宝的手机登录，在登录支付宝后，主界面的“帐户设置”，很显眼的位置，“账户名”后方，提示“开启手机号登录”，于是我点击开启，接下来的事情就很有意思了。

开启后提示手机号码，然后是“修改”选项，我再也找不到关闭按钮了，我想关闭手机号登录的这个服务，却不知道在那里设置，我找遍了整个支付宝的设置选项，都没有发现，于是我在Google中搜索“支付宝 关闭手机”，Suggest提示出三条，可见和我一样想关掉手机号登录的大有人在。

结果在Google上依然找不到答案。于是我打电话95188给支付宝，说明了情况，客服和我支付宝没提供直接关闭这个服务的操作，需要修改手机号，我说我不想改手机号，只想取消这个登录服务，她说取消这个功能只能改手机号，我听起来像是绕口令，然后她进一步解释说，不是让我改手机号，是走改手机号的操作，然后新手机号还是写这个号就可以了。

虽然这个方法让人抓狂，我还是按照他的提示操作了，修改手机号，然后新手机号还填写这个手机号，然后上传身份证照片，提交表格申请，然后等待批准。

支付宝做了这么多年，还有这种让用户崩溃的用户体验，是支付宝的产品经理不合格还是另有原因？我觉得某种程度上讲，是为了迎合国内小白用户的需要，盲目的急功近利。

那些小白用户们

你看那些习惯网上支付的，一般自己绑定三五个银行卡是很普遍的，什么U盘U盾一大把，支付的时候挨个试，反正成功就行。

特别是女人，你看她的电脑，安装各种流氓软件，只要提示够温馨，什么“你的电脑击败了60%的用户哦”，什么“亲，让你的系统更流畅哦”，什么“这是最快的浏览器哦”……她一定照单全收。

希望我的女朋友看到后别打我！