不知從何時(shí)開始,手機(jī)號成了注冊各種賬號的必要信息�����,短信驗(yàn)證碼也成了各種敏感操作的驗(yàn)證方式���。
大家都知道只要不把驗(yàn)證碼告訴別人��,自己的賬號安全就能得到保障����。畢竟手機(jī)在自己手里,賊總不能來搶我的手機(jī)吧?但事實(shí)并非如此�����,短信驗(yàn)證碼的安全隱患比想象中大的多�,所以拋棄短信驗(yàn)證碼勢在必行。
短信驗(yàn)證碼權(quán)限極大
目前�,短信驗(yàn)證碼已被廣泛應(yīng)用于社交媒體、網(wǎng)站���、論壇�、游戲��、銀行金融和醫(yī)療等平臺上���。短信驗(yàn)證碼可以幫助用戶進(jìn)行修改密碼���、修改綁定郵箱等敏感操作。短信驗(yàn)證碼也能讓用戶不輸賬號密碼直接登陸�����。所以短信驗(yàn)證碼的權(quán)限很大,一旦被不法分子利用后果不堪設(shè)想����。
SIM卡劫持可以通過多種方式實(shí)現(xiàn)(比如SIM卡克隆),是一種可以完全控制一個(gè)手機(jī)號的技能�����?����?膳碌氖沁@種技能的學(xué)習(xí)門檻和實(shí)現(xiàn)難度都不高�����。比較低級的SIM卡劫持方法甚至可以在網(wǎng)上隨便搜到教程���。
越高級的方法需要的“原料”越少。2017年黑帽大會上曾演示了只需一個(gè)手機(jī)號碼就在一分鐘之內(nèi)劫持SIM卡的方法�����。
一旦SIM卡被劫持,你的手機(jī)就會立刻沒網(wǎng)����。這時(shí)不法分子可以隨心所欲使用你的手機(jī)號。比如竊取你的隱私���,詐騙親戚朋友����,或者通過手機(jī)短信驗(yàn)證碼來盜取你的社交媒體賬號和資金財(cái)產(chǎn)�。
從本人搜集的國內(nèi)外十幾個(gè)案例來看。從不法分子獲得SIM卡控制權(quán)�,到從銀行偷錢平均也就15分鐘左右。也就是說����,一旦被劫持,等你打通銀行客服��,錢很可能已經(jīng)被偷了��。
更安全的驗(yàn)證方式:基于APP的兩步驗(yàn)證
短信驗(yàn)證碼一直是使用最廣泛的兩步驗(yàn)證方法�����。但正如上文所述,短信驗(yàn)證碼的安全隱患很多����。
所以銀行業(yè)很早就開始使用動態(tài)口令卡(比如網(wǎng)銀U盾)——一種類似于U盤的專門顯示動態(tài)驗(yàn)證碼的設(shè)備。但想使用動態(tài)口令卡必須將其隨誰攜帶����,便利性不佳。所以現(xiàn)在不少平臺都啟用了依賴于手機(jī)APP的兩步驗(yàn)證�����,相當(dāng)于把動態(tài)口令卡集成在了手機(jī)中�����。
使用手機(jī)兩步驗(yàn)證APP時(shí)�����,用戶需要首先安裝并設(shè)置好APP�����,包括對需要驗(yàn)證的賬戶的綁定�����。
綁定完成后再登陸這些賬號時(shí),兩步驗(yàn)證APP就會推送動態(tài)驗(yàn)證碼。用戶必須在登陸界面輸入該驗(yàn)證碼才能完成登陸�����。當(dāng)然���,兩步驗(yàn)證APP不僅可以用來登陸,也可用來驗(yàn)證其它敏感操作���。
大部分兩步驗(yàn)證APP基于TOTP機(jī)制���,不需要任何網(wǎng)絡(luò)連接(包括Wi-Fi),也不需要短信和SIM卡��,驗(yàn)證碼完全在手機(jī)本地生成���。所以APP兩步驗(yàn)證幾乎免疫了SIM卡劫持����。
為什么說幾乎呢?那是因?yàn)樵谑状伟惭b兩步驗(yàn)證APP時(shí)���,用戶需要通過短信進(jìn)行一些初始設(shè)置的驗(yàn)證�。但只要確保這時(shí)SIM卡不被劫持就安全了。
另外必須要說的是兩步驗(yàn)證APP只是繞開了短信驗(yàn)證碼���,并沒有解決SIM卡劫持的根本問題��。也就是說你的SIM卡還可以被劫持�。只不過不法分子不能在通過你的SIM卡威脅你的網(wǎng)絡(luò)和財(cái)產(chǎn)安全了�。
兩步驗(yàn)證APP的現(xiàn)狀
兩步驗(yàn)證APP主要分兩類:“獨(dú)占類”和“開放類”。獨(dú)占類指只支持自家賬戶登錄的兩步驗(yàn)證����,比如新浪微盾。開放類則是一個(gè)純粹的兩步驗(yàn)證APP�����,支持綁定第三方應(yīng)用��。這樣一個(gè)APP就能變成很多賬戶的驗(yàn)證器��,比如Authy
2-Factor Authentication���。
國外的優(yōu)質(zhì)開放類兩步驗(yàn)證APP很多�,都在這兩年流行了起來�。主要是因?yàn)樗鼈冎С趾芏喑S觅~號,包括主流社交媒體����、游戲、銀行����、教育和醫(yī)療等平臺。
國內(nèi)的兩步驗(yàn)證APP基本都是獨(dú)占類�。這樣一來每個(gè)賬戶都需要單獨(dú)裝一個(gè)APP,所以用的人很少����。
結(jié)語
基于TOTP機(jī)制的兩步驗(yàn)證APP有著比短信驗(yàn)證碼高得多的安全性和相媲美的便利性,是一種能保障用戶財(cái)產(chǎn)安全的工具����,非常值得推廣。
希望國內(nèi)會有信譽(yù)可靠的大公司推出開放類的兩步驗(yàn)證APP���,允許用戶綁定各種第三方賬戶�,拋棄短信驗(yàn)證碼��。這樣才能把SIM卡劫持的危害降到最低。
中研網(wǎng) 發(fā)現(xiàn)資訊的價(jià)值 
研究院 掌握產(chǎn)業(yè)最新情報(bào) 
泰國提議成立國家安全旅游保障中心 來挽回中國游客 
