作为拥有超3亿实名用户、日均交易量1.97亿笔的交易工具，支付宝如何保障账户安全？

支付宝密码是怎么丢失的？

最大的丢失来源是扫描。你在其他网站丢失了账号密码后，用它登录支付宝，由于使用了相同的密码，导致支付宝密码丢失。这个丢失率占所有密码丢失案例的47%。

第二类是社工，他们冒充公安人员、朋友或者假冒客服，通过短信、聊天工具窃取你的信息，然后盗取或更改你的密码。还有一定比例的钓鱼、木马。钓鱼就是建立一个假网站，比如一个跟淘宝很像的网站，诱骗你输入账号和密码，木马就是中毒。

相比较而言，因手机丢失导致密码丢失的比例并不高，约为2%。

密码丢失后，支付宝产品体系里有一个叫CTU的风控大脑，这个经过8年训练的风险评估工具会根据策略对交易的风险进行评分，评分范围从0到1，当交易风险大于0.93时，交易会被直接拒绝，当风险等级较高时，支付宝会要求进行二次验证，以确定账户是否为本人所有。

A某是深圳的支付宝用户，经常用支付宝购买理财产品。去年6月7日，A某收到假基站发来的短信，主动输入其身份证信息和银行卡信息，并因此感染手机木马。当晚深夜，骗子在获取A某信息后，成功获取验证码并修改登录密码，登录广州某小区，随后修改支付密码。随后，A某下单购买，但在支付时，CTU直接判定交易失败，并对账户进行了限制。次日，支付宝客服与该用户沟通，确认账户已被盗用。

由于风险评分过高，交易被终止。

首先，登录所用的设备并非业主日常使用的设备，且登录地点也不在深圳，而是在广州的一个小区。

其次，CTU对于密码修改一事感到疑惑，经常输入密码的人为什么会在半夜修改密码？一般都是忘记密码才修改，需要先找到密码才能重新设置。最后，店主平时理财，很少用淘宝，半夜修改密码再下单，直接违背常理。因此，CTU终止了交易。

关系是CTU确定风险的重要维度

当一个账户被盗时，资金将被转移到另一个账户。如果这个账户从未与您或您的朋友进行过任何金融交易，CTU 就会保持警惕。此外，如果这个账户有不良记录或与黑名单账户有某种交集，CTU 很可能会拦截它，因为它会确定这很可能不是账户所有者操作的。

用户操作手机的习惯也是CTU判定风险的重要维度。每个人都有自己的行为习惯，就像走路姿势、笔迹一样。每个人接触手机屏幕的方式都不一样，而且手机有很多传感器，所以手指压力、接触面积、重力变化、连续间隔时间等都可以帮助判断是否是本人操作。支付宝透露，通过应用这项技术，风险判定的成功率提升了5倍。

账户、设备、位置、行为、关系、偏好，每个都包含很多详细的策略，总共大概有1万条，CTU就是通过计算这些复杂的策略来确定风险的。

据蚂蚁金服高级安全策略专家冯利国提供的数据，这种方式造成财务损失的概率大概是百万分之一，比四胞胎出生的概率还小。

风险控制者，向支付宝学习。