信息來(lái)源:新浪科技
不知從何時(shí)開(kāi)始�����,手機(jī)號(hào)成了注冊(cè)各種賬號(hào)的必要信息����,短信驗(yàn)證碼也成了各種敏感操作的驗(yàn)證方式�����。
大家都知道只要不把驗(yàn)證碼告訴別人��,自己的賬號(hào)安全就能得到保障�。畢竟手機(jī)在自己手里,賊總不能來(lái)?yè)屛业氖謾C(jī)吧�����?但事實(shí)并非如此��,短信驗(yàn)證碼的安全隱患比想象中大的多��,所以?huà)仐壎绦膨?yàn)證碼勢(shì)在必行。
短信驗(yàn)證碼權(quán)限極大
目前��,短信驗(yàn)證碼已被廣泛應(yīng)用于社交媒體���、網(wǎng)站、論壇���、游戲����、銀行金融和醫(yī)療等平臺(tái)上��。短信驗(yàn)證碼可以幫助用戶(hù)進(jìn)行修改密碼�����、修改綁定郵箱等敏感操作���。短信驗(yàn)證碼也能讓用戶(hù)不輸賬號(hào)密碼直接登陸�����。所以短信驗(yàn)證碼的權(quán)限很大����,一旦被不法分子利用后果不堪設(shè)想。
短信驗(yàn)證碼的頭號(hào)天敵:SIM卡劫持
SIM卡劫持可以通過(guò)多種方式實(shí)現(xiàn)(比如SIM卡克?�。?��,是一種可以完全控制一個(gè)手機(jī)號(hào)的技能��?���?膳碌氖沁@種技能的學(xué)習(xí)門(mén)檻和實(shí)現(xiàn)難度都不高����。比較低級(jí)的SIM卡劫持方法甚至可以在網(wǎng)上隨便搜到教程。
越高級(jí)的方法需要的“原料”越少��。2017年黑帽大會(huì)上曾演示了只需一個(gè)手機(jī)號(hào)碼就在一分鐘之內(nèi)劫持SIM卡的方法�。
一旦SIM卡被劫持,你的手機(jī)就會(huì)立刻沒(méi)網(wǎng)�����。這時(shí)不法分子可以隨心所欲使用你的手機(jī)號(hào)。比如竊取你的隱私�,詐騙親戚朋友,或者通過(guò)手機(jī)短信驗(yàn)證碼來(lái)盜取你的社交媒體賬號(hào)和資金財(cái)產(chǎn)��。
從本人搜集的國(guó)內(nèi)外十幾個(gè)案例來(lái)看��。從不法分子獲得SIM卡控制權(quán)�,到從銀行偷錢(qián)平均也就15分鐘左右。也就是說(shuō)�����,一旦被劫持��,等你打通銀行客服���,錢(qián)很可能已經(jīng)被偷了。
更安全的驗(yàn)證方式:基于APP的兩步驗(yàn)證
短信驗(yàn)證碼一直是使用最廣泛的兩步驗(yàn)證方法���。但正如上文所述��,短信驗(yàn)證碼的安全隱患很多�。
所以銀行業(yè)很早就開(kāi)始使用動(dòng)態(tài)口令卡(比如網(wǎng)銀U盾)——一種類(lèi)似于U盤(pán)的專(zhuān)門(mén)顯示動(dòng)態(tài)驗(yàn)證碼的設(shè)備����。但想使用動(dòng)態(tài)口令卡必須將其隨誰(shuí)攜帶����,便利性不佳�。所以現(xiàn)在不少平臺(tái)都啟用了依賴(lài)于手機(jī)APP的兩步驗(yàn)證,相當(dāng)于把動(dòng)態(tài)口令卡集成在了手機(jī)中�����。
使用手機(jī)兩步驗(yàn)證APP時(shí)�����,用戶(hù)需要首先安裝并設(shè)置好APP�����,包括對(duì)需要驗(yàn)證的賬戶(hù)的綁定���。
綁定完成后再登陸這些賬號(hào)時(shí)�,兩步驗(yàn)證APP就會(huì)推送動(dòng)態(tài)驗(yàn)證碼�����。用戶(hù)必須在登陸界面輸入該驗(yàn)證碼才能完成登陸。當(dāng)然�,兩步驗(yàn)證APP不僅可以用來(lái)登陸,也可用來(lái)驗(yàn)證其它敏感操作���。
大部分兩步驗(yàn)證APP基于TOTP機(jī)制��,不需要任何網(wǎng)絡(luò)連接(包括Wi-Fi)�,也不需要短信和SIM卡�����,驗(yàn)證碼完全在手機(jī)本地生成���。所以APP兩步驗(yàn)證幾乎免疫了SIM卡劫持。
為什么說(shuō)幾乎呢�?那是因?yàn)樵谑状伟惭b兩步驗(yàn)證APP時(shí),用戶(hù)需要通過(guò)短信進(jìn)行一些初始設(shè)置的驗(yàn)證����。但只要確保這時(shí)SIM卡不被劫持就安全了。
另外必須要說(shuō)的是兩步驗(yàn)證APP只是繞開(kāi)了短信驗(yàn)證碼�,并沒(méi)有解決SIM卡劫持的根本問(wèn)題。也就是說(shuō)你的SIM卡還可以被劫持��。只不過(guò)不法分子不能在通過(guò)你的SIM卡威脅你的網(wǎng)絡(luò)和財(cái)產(chǎn)安全了。
兩步驗(yàn)證APP的現(xiàn)狀
兩步驗(yàn)證APP主要分兩類(lèi):“獨(dú)占類(lèi)”和“開(kāi)放類(lèi)”�����。獨(dú)占類(lèi)指只支持自家賬戶(hù)登錄的兩步驗(yàn)證����,比如新浪微盾。開(kāi)放類(lèi)則是一個(gè)純粹的兩步驗(yàn)證APP�,支持綁定第三方應(yīng)用。這樣一個(gè)APP就能變成很多賬戶(hù)的驗(yàn)證器��,比如Authy 2-Factor Authentication����。
國(guó)外的優(yōu)質(zhì)開(kāi)放類(lèi)兩步驗(yàn)證APP很多,都在這兩年流行了起來(lái)��。主要是因?yàn)樗鼈冎С趾芏喑S觅~號(hào)��,包括主流社交媒體�、游戲、銀行��、教育和醫(yī)療等平臺(tái)����。
國(guó)內(nèi)的兩步驗(yàn)證APP基本都是獨(dú)占類(lèi)��。這樣一來(lái)每個(gè)賬戶(hù)都需要單獨(dú)裝一個(gè)APP����,所以用的人很少�。
結(jié)語(yǔ)
基于TOTP機(jī)制的兩步驗(yàn)證APP有著比短信驗(yàn)證碼高得多的安全性和相媲美的便利性,是一種能保障用戶(hù)財(cái)產(chǎn)安全的工具���,非常值得推廣����。
希望國(guó)內(nèi)會(huì)有信譽(yù)可靠的大公司推出開(kāi)放類(lèi)的兩步驗(yàn)證APP����,允許用戶(hù)綁定各種第三方賬戶(hù)��,拋棄短信驗(yàn)證碼�����。這樣才能把SIM卡劫持的危害降到最低����。
