作為一款實名使用者數超過3億、單天交易筆數能夠達到1.97億的交易工具，支付寶是靠什麼來保障賬戶的安全。

首先，支付寶密碼都是怎麼丟失的？

最大的丟失來源是掃號，你在別的網站賬號密碼丟失後，被用來登陸支付寶。由於使用的是同一套密碼，所以導致支付寶密碼丟失。這樣的丟失比例，佔到整個密碼丟失案例的47%。

第二種就是社工，假冒各種公檢法、熟人好友、假客服等，通過簡訊、聊天工具，把你的各類資訊騙走，然後盜取或是更改你的密碼。釣魚和木馬也有一定比例，釣魚就是搞個假網站，比如弄個tiaobao.com，長得和淘寶很像，矇騙你輸入賬號、密碼，而木馬就是中毒。

相比而言，手機丟失導致密碼丟失的佔比不高，大概是2%。

在密碼丟失後，支付寶產品體系中還有一個叫CTU的風控大腦，這個被訓練了8年時間的風險判定工具，會根據策略對交易進行風險進行打分，區間在0-1。當交易風險大於0.93時，將會直接拒絕交易。風險程度高的時候，支付寶會要求進行二次校驗，來判定是否賬戶本人。

A是在深圳的支付寶使用者，平時經常使用支付寶來購買理財產品。去年6月7日，A接收了偽基站10086的簡訊，主動輸入了身份證資訊和銀行卡資訊，並中手機木馬。當天深夜，騙子在獲得A的資訊後，成功獲取校驗碼後修改登入密碼，並在廣州某小區登陸，之後又修改支付密碼。接著，下單了一臺iPhone5，但在進行支付的時候，CTU直接判定交易失敗，並對賬戶進行了限制。第二天，支付寶客服與使用者進行了溝通，確認了賬戶被盜。

這起交易的中止，便是因為風險評分太高。首先，登陸的裝置不是主人的日常裝置，登陸地點不在深圳，而在廣州某小區。第二，對於修改密碼的行為，CTU很困惑。一個經常輸入密碼的人，深更半夜去修改密碼幹嘛，一般修改密碼都是密碼忘記了，要找回密碼才會重置嘛。最後，主人平時主要就是理財，極少淘寶，而大半夜改了密碼就直接下單iPhone，違背常理。所以，CTU中止了交易。

關係是CTU判定風險的一個重要維度。當賬戶被盜後，要把錢轉走，去到另一個賬戶。而如果這個賬戶和你從未有過資金往來，和你的朋友們也沒有過資金往來，CTU就會提高警覺了。再進一步，如果這個賬戶是曾經有過不良記錄的，或者和黑名單賬戶有過某些交集，CTU很大程度就會攔截。因為它會判定，這估計不是賬戶本人在操作。

使用者操作手機的習慣也是CTU進行風險判定的一個重要維度。每個人的行為都會有自己的習慣，就好像走路的姿勢、筆跡一樣。每個人觸控手機螢幕的方式不同，而手機上是有很多感測器的，所以可以通過指壓、接觸面積、重力變化，連續間隔時間等，可以幫助判斷是否是本人操作。支付寶透露，通過這項技術的應用，判定風險的成功率提升了5倍。

賬戶、裝置、位置、行為、關係、偏好，每一個大類裡面都會包含很多細的策略。而這樣的策略總計有1萬條左右，CTU通過運算這些複雜策略來進行風險判定。

根據螞蟻金服高階安全策略專家馮力國提供的資料，這樣的方式最終導致資金損失的概率，在100萬分之一左右，小於四胞胎的出生概率。