短信验证码已成为验证身份,保护我们交易及财产安全的最常用的方法,它安全吗?

首先谈谈短信验证码的安全性从何而来。

通常,身份认证有三个要素:

所知:what you know,你知道的,比如密码,安保问题

所有:what you have ,你持有的,比如手机校验码,U盾

所是:who you are,你固有的,比如指纹,人脸

由于获取、伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差。短信验证码就是属于第二种,这个有点颠覆认知吧,短信验证码的安全级别竟然比密码还要高?

然而,需要明确的是,如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证。

这三种认证存在的问题:

所知:容易被遗忘,猜取以及普遍存在的信息泄露导致的碰撞

所有:容易被钓鱼,木马获取,丢失

所是:认证成本过高,本体可能受到攻击或者伪造

对于短信验证码而言,既然是属于第二种所有范畴,那么面临的威胁主要就是下面几个了:

1)短信木马:木马在后台可以轻易窃取验证码并转发给不法分子,实现对受害者的账

号重置。这类木马编写简单,已经形成了非常完整的产业链:从制马人员到售马、租马,到实施钓鱼、欺骗、洗号、转移钱财。

对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样),短信验证事实上已经退化成了单因子验证,只要智能手机被安装了木马那么这些验证体系就会全线崩溃。

2)钓鱼监听:这里主要包括GSM、wifi,包括监听空中短信,直接获取短信内容,攻击者可以根据钓鱼wifi全部搞定登陆密码、支付密码和短信验证。 但这个玩法成本和范围有限制。

3)补卡、克隆攻击:那么如果能办一张和受害者相同的手机号(卡),自然就能狸猫换太子,接受受害者的验证码,重置各种账号。这里的薄弱环节就在运营商,部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。

上述几种威胁,第三种已经随着运营商的规范管理,卡技术进步,逐步得到解决,然而1、2反而出现了越演越烈的趋势。

虽然短信验证码存在诸多问题,但是,当下综合看起来是最优的选择方法,优势在于不需要额外设备,用户广泛拥有,校验成本极低,最容易实现,也基本靠谱(属于所有范畴)。

然而!有更好的方法吗?

运营商提出的手机号快捷认证是什么?

众所周知,电信运营商作为手机号码的运营方,依托其数据网络和手机卡,是可以准确识别用户手机号码的,目前三大运营商均开展了通过手机号快捷认证的业务。

电信运营商提出的手机号快捷认证的使用场景是什么呢,笔者在常用的今日头条、航旅纵横以及189邮箱上进行了测试使用。

如上图所示,应用通过运营商的数据网络取到了用户手机号,无需再做一次短信验证码的确认,一键登录,减少了页面交互和用户输入环节,非常快捷。该能力支持电信、移动、联通三网手机,基本覆盖所有手机用户。

然而,安全性方面呢?

其实手机号快捷认证和之前提到的短信验证码事实上都是基于手机号(SIM卡/运营商服务),确认此时此刻手机号码是在用户手中的,两者其实都是基于以下几点预设:

1)认为用户的手机卡是不会轻易丢失和被窃取的,和用户绑定更紧密(相对于各种脱库事件,密码泄露的概率还是比丢手机的概率大多了,况且丢了手机可以立即去运营商挂失补卡,密码泄露了就是泄露了)

2)认为有手机号可以做二次验证的用户是真实用户(所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册)

3)认为运营商维护的通讯信道比其他的都更安全

以上的几点预设,基本是靠谱的,然而短信验证码存在的短信木马和钓鱼监听等问题,在运营商的手机号快捷认证这里得到了解决:

1、短信木马:无验证码,也就不存在被木马获取泄露风险

2、钓鱼监听:网络侧通过数据计费网络获取的手机号,电信内网的安全性还是较为靠谱的。

因此,电信运营商推出的手机号快捷认证解决了短信验证码最头疼的安全问题,优于短信验证码。

最重要的问题来了:手机丢了怎么办?

相信诸多用户和我的担忧是一样的,如果手机丢了怎么办?这也是所有(你持有的what you have )身份验证面临的问题。

不幸的是,所谓的运营商的手机快捷认证,和短信验证码一样,都无法解决这个问题。

两者都是确认手机号码此时是登录应用的人手中,既然手机已经易主了,新主人(姑且就善意的认为是新主人吧)通过手机号快捷认证和短信验证码都可以轻松进入旧主人的应用中,两种验证手段,都无法解决这个问题。

然而,从另外一个角度分析,其实…

丢手机和丢账户没有必然联系,丢手机没有丢账号那么可怕。

首先,大部分网站支持手机解绑,只要你在手机丢失的时候想起来注册了哪些涉及资金的账户就可以(愿意及时补办手机卡的话甚至不需要去解绑)。

其次,也是最重要的一点,窃取账户和窃取手机(有时候不一定是窃,可能只是不小心遗失了)的人未必重合,可能只是两个完全独立的事件而已。当然,如果是偷手机的人通过翻查你的手机来获取信息再进行账号窃取就另当别论,但这种情况首先就要靠自己手机密码,应用软件密码,指纹人脸、异地登陆等确认手段来保障安全性了。

另外笔者并不认为手机(卡)被盗是对快捷认证的主要威胁,现在人们对于手机的依赖性太强烈,片刻时间不看看手机都不踏实,对手机被盗是会有立即感知的,只是刚开始不肯接受这个现实,经过一番寻找后才能确认丢失,已经过了一段时间了。最后,经过了解,各运营商提供都提供24小时手机挂失服务,赶紧挂失吧。

反而各种短信木马、GSM监听,小白用户基本无识别和防御的能力,这些安全问题给用户带来的损失,远远超过手机丢失的带来的损失。

运营商的快捷认证还有那些优势

经过最近几年移动产品设计的发展,无障碍的用户体验已经变为每一个产品经理必须注重的问题。相对于手机号+验证码,运营商的手机号快捷认证更方便,更无障碍。

据了解,通过中国电信天翼账号提供的的手机号快捷登录应用,天翼账号还可以提供用户的其他信息,如用户的头像、昵称和其他信用信息,合作的互联网公司更容易拿到真实的用户数据。

总结来看,运营商的快捷认证比短信验证码更加安全,用户体验更进一步,数据更加真实。

手机号快捷认证作为一种新兴的认证方式,已经崭露头角,前景广阔。然而目前使用的应用均以运营商自己的应用居多,大家见惯了各个运营商各自为政,互相拆台,三方能否联合一心,共同推进快捷认证的发展,还需要时间来验证。

最后说一句,无论哪一种验证方式,都没有绝对的安全,只有可承受的风险。因此请大家不要纠结,只要细心管理自己的账户,被盗的概率是非常低的。(本文首发钛媒体)

更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App

相关推荐