第三方接入支付宝交易系统的时候支付界面都会要求输入一次账号与##支付密码##，通过验证后下一步才是正式的输入支付密码完成验证→付款。 为什么第一步会使用支付密码来实现验证而不是要求登录密码呢？ 这个逻辑思考至今，百思不得妻姐，求大神解答。

少侠，还有PayPal么。

百思不得妻姐，

好邪恶啊。。。

我已经烦了很久了.

我也想知道，忘知情人仕透露一二。

听说是历史遗留问题..

第一次是用支付宝余额直接付款，省去一堆登录、选择支付方式的繁琐过程;当余额不足就会自动进入第二次可以选择支付方式的付款

我记得是这样的

@Xi 并非如此。我的可支付余额足够的情况下第三方支付仍然是会要求第一步使用支付密码进行验证。

我也想知道，很奇怪

这个没有什么其它特别的含义，就是一个流程设计上的遗漏，两个系统，两个产品。目前正在优化，新版本发布后，就不用输两次了。

我也不明白，用的时候也觉得奇怪来着~

可以想象一下嘛
原来有一套支付体系
后来扩展三方接入的业务 做了个外壳 （当然 实现起来肯定很复杂 不仅仅是外壳了）
接入原来的体系的时候 校验方式不一样
于是 出现了。。。LZ看到的结果

@cdredfox 内部人士？求详细

百思不得妻姐.......

我的支付宝登录密码自己都不记得, 从来没输入过. 偶尔需要登录支付宝都是通过淘宝账户. 感觉弄两个密码纯属蛋疼.

PS. 最烦的是那个该死的支付宝安全控件, 无法用lastpass自动填写密码.

@paloalto 有个应用名字叫“百撕不得骑姐”

我一直无法理解国内那些网银动不动就弄个activex控件有啥意义，支付宝还算好点的，至少非IE浏览器下也能用
如果是为了防keylogger，攻击者直接加载个驱动ring0下记录，你ring3下加啥控件也没用啊，只会给用户添麻烦
用过的国外网银，都是https+TAN list，从来没见过这些乱七八糟的东西

@Xi 详细就是我说的情况，呵呵

@treo

话说国内那些网银的甲方之前大多认为只有自己搞的一套跟谁都不一样系统才能让人放心用，比如某行的 1024 位 RSA 加密神马的（年代久远，记不清鸟）。于是，各个乙方就各出奇招，把各种标准拿来改造一点儿代码再做实现，再号称是自主知识产权拿去竞标。。。

再有就是，之前有一阵子做 web 只需要支持 ie 就可以了，因为 netscape 没落了的说，所以 activex 神马的随便用，不想到了现在，弄个 win7 来跑那堆玩意都很让人崩溃。。。某些银行的网银，只有在筛子一样的 xp 下才能跑得比较顺畅。

一来二去的，就变成了现在这个样子。用网银有时真的是个高风险的事。

话说，那堆杂七杂八的过时技术，是该到了升级的时候。

@jackyz 我觉得安全性倒不是问题，现在解放区大部分银行的网银不都强制使用U盾了吗(用密码卡的话有额度限制)，已经足够安全了。问题是用https+TAN list就可以达到的安全性，非得往用户PC上弄一堆activex控件+驱动+后台进程，而且还只能在win+IE下使用，实在太恶心了。

@treo 感觉U盾也是银行用来骗钱的。。

表示只要知道支付密码就可以用支付宝的钱。貌似记得是这个意思。

我理解@feiandxs 说的情况是这样的吗？从第三方订单管理中心点支付跳到支付宝，在支付宝域名下重复输入2次密码。

理论上到支付宝后得输入两次，登录密码+支付密码。用户面临记住2个不同的强密码，忘记其中任何一个交易终止，需sos支付宝客服，偏偏用户又是相对没耐性的，之后的投诉和抱怨维护成本会更大，拖到后面越麻烦。 ---- 个人看法