|
短信验证码已成为验证身份,保护我们交易及财产安全的最常用的方法,它安全吗? 通常,身份认证有三个要素: 所知:what you know,你知道的,比如密码,安保问题 所有:what you have ,你持有的,比如手机校验码,U盾 所是:who you are,你固有的,比如指纹,人脸 由于获取、伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差。短信验证码就是属于第二种,这个有点颠覆认知吧,短信验证码的安全级别竟然比密码还要高? 然而,需要明确的是,如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证。 这三种认证存在的问题: 所知:容易被遗忘,猜取以及普遍存在的信息泄露导致的碰撞 所有:容易被钓鱼,木马获取,丢失 所是:认证成本过高,本体可能受到攻击或者伪造 对于短信验证码而言,既然是属于第二种所有范畴,那么面临的威胁主要就是下面几个了: 1)短信木马:木马在后台可以轻易窃取验证码并转发给不法分子,实现对受害者的账 号重置。这类木马编写简单,已经形成了非常完整的产业链:从制马人员到售马、租马,到实施钓鱼、欺骗、洗号、转移钱财。 对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样),短信验证事实上已经退化成了单因子验证,只要智能手机被安装了木马那么这些验证体系就会全线崩溃。 2)钓鱼监听:这里主要包括GSM、wifi,包括监听空中短信,直接获取短信内容,攻击者可以根据钓鱼wifi全部搞定登陆密码、支付密码和短信验证。 但这个玩法成本和范围有限制。 3)补卡、克隆攻击:那么如果能办一张和受害者相同的手机号(卡),自然就能狸猫换太子,接受受害者的验证码,重置各种账号。这里的薄弱环节就在运营商,部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。 上述几种威胁,第三种已经随着运营商的规范管理,卡技术进步,逐步得到解决,然而1、2反而出现了越演越烈的趋势。 虽然短信验证码存在诸多问题,但是,当下综合看起来是最优的选择方法,优势在于不需要额外设备,用户广泛拥有,校验成本极低,最容易实现,也基本靠谱(属于所有范畴)。 然而!有更好的方法吗? 众所周知,电信运营商作为手机号码的运营方,依托其数据网络和手机卡,是可以准确识别用户手机号码的,目前三大运营商均开展了通过手机号快捷认证的业务。 电信运营商提出的手机号快捷认证的使用场景是什么呢,笔者在常用的今日头条、航旅纵横以及189邮箱上进行了测试使用。
如上图所示,应用通过运营商的数据网络取到了用户手机号,无需再做一次短信验证码的确认,一键登录,减少了页面交互和用户输入环节,非常快捷。该能力支持电信、移动、联通三网手机,基本覆盖所有手机用户。 然而,安全性方面呢? 其实手机号快捷认证和之前提到的短信验证码事实上都是基于手机号(SIM卡/运营商服务),确认此时此刻手机号码是在用户手中的,两者其实都是基于以下几点预设: 1)认为用户的手机卡是不会轻易丢失和被窃取的,和用户绑定更紧密(相对于各种脱库事件,密码泄露的概率还是比丢手机的概率大多了,况且丢了手机可以立即去运营商挂失补卡,密码泄露了就是泄露了) 2)认为有手机号可以做二次验证的用户是真实用户(所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册) 3)认为运营商维护的通讯信道比其他的都更安全 以上的几点预设,基本是靠谱的,然而短信验证码存在的短信木马和钓鱼监听等问题,在运营商的手机号快捷认证这里得到了解决: 1、短信木马:无验证码,也就不存在被木马获取泄露风险 2、钓鱼监听:网络侧通过数据计费网络获取的手机号,开奖,电信内网的安全性还是较为靠谱的。 因此,电信运营商推出的手机号快捷认证解决了短信验证码最头疼的安全问题,优于短信验证码。 最重要的问题来了:手机丢了怎么办? 相信诸多用户和我的担忧是一样的,如果手机丢了怎么办?这也是所有(你持有的what you have )身份验证面临的问题。 不幸的是,所谓的运营商的手机快捷认证,和短信验证码一样,都无法解决这个问题。 (责任编辑:本港台直播) |
