支付宝付款的时候是要验证数字证书的，在没有装数字证书的电脑上付款时要验证手机短信的动态验证码。那么，支付宝被盗并发生非本人操作的支付交易，必须：
1、数字证书被破解，或者
2、拦截手机短信，获取支付验证码，或者
3、拦截手机短信，获取安装数字证书的动态验证码，在非本人操作的电脑上安装数字证书

以上三种可行性有多高？
另外手机支付宝没用过，这玩意儿的安全机制如何？

别的不清楚也不敢说，淘宝的登录接口是已经破了的。支付宝这个东西破了没啥意义，为了一点油钱不划算。

曾经问过搞银行系统开发的朋友
他说登录控件+数字证书算是比较安全的方案了
手机端其实很危险，基本就靠短信验证

现在被盗主要还是手机拦截

拦截也不是靠gsm的漏洞，靠的是智能机用户乱装软件乱点链接。