短信验证码登录已经成为保护我们交易和财产安全最常见的方式,但是有人还是会问它安全吗?到此,我们要先明确一点,短信验证码的安全性是相对而言,不是绝对的,但是短信有一个好处就是可以对注册用户的手机号码信息进行收集。
首先,我们来谈谈短信验证码的安全性。身份认证有三个要素,分别是:所知:whatyouknow,你知道的,比如密码,安保问题;所有:whatyouhave,你持有的,比如手机校验码,U盾;所是:whoyouare,你固有的,比如指纹,瞳孔。
因为获取/伪造的难度不同,安全排序一般由低到高依次为第一类<第二类<第三类。不过,天一泓国际短信平台提醒,这三种类型的单独出现都算弱认证,只有同时使用两种甚至三种类型才算强认证。由于他们各有各的问题,如所知,容易被遗忘、猜测和信息泄露所造成的碰撞;所有,容易被钓鱼、丢失;而所是,认证成本太高,本体也容易受到攻击。
另外,短信验证码登录的主要威胁主要有三个方面:
短信木马:木马可以在后台轻松窃取验证码并转发给犯罪分子,从而重置受害者的账户。这种木马简单,形成了非常完整的产业链:从制马人到卖马、租马,再到钓鱼、欺骗、洗号、转钱。
无线监控:主要包括GSM和wifi,包括监控空中短信,直接获取短信内容。攻击者可以根据钓鱼wifi完成登录密码、支付密码和短信验证。但是这个玩法的成本和范围有限,范围很小。
补卡攻击和克隆攻击:如果能做一个和受害者一样的手机号(卡),狸猫自然可以换太子,接受受害者的验证码,重置各种账号。这里的弱点在于运营商,部分地区运营商对补卡人员身份验证不严格,导致补卡攻击。
以上三种威胁,3已经随着运营商的规范管理,卡技术的进步,逐渐得到解决,但1、2反而出现了越来越激烈的趋势。
虽然短信验证码登录有很多问题,但现在似乎是最好的选择。优点是不需要额外的设备,用户广泛拥有,验证成本极低,最容易实现,基本可靠(属于所有类别)。
所以,有没有比短信验证码登录更好的方法?回答是肯定的。大家都知道,电信运营商作为手机号码的运营商,依靠其数据网络和手机卡,可以准确地识别用户的手机号码。现在,有运营商已经利用这一能力进行了免密认证。利用运营商的数据网络获取用户的手机号码,不需要再次确认短信验证码,页面交互减少,也减少了用户的输入环节,非常快捷。
免密认证的安全性如何?
事实上,免密认证和之前提到的短信验证码登录实际上都是基于手机号码(SIM卡/运营商服务),确认此时手机号码在用户手中,两者实际上都是基于以下几点预设:
认为用户的手机卡不容易丢失或被盗,与用户的联系更加紧密(与各种脱库事件相比,密码泄露的概率比丢失手机的概率高得多,丢失手机后可以立即向运营商丢失卡,密码泄露是泄露)。
认为有手机号码可以进行二次验证的用户是真正的用户(因此,手机验证码通常在要求较高的情况下用于反垃圾注册)。
认为运营商维护的通信渠道比其他渠道更安全。
上述几点预设,基本上了上面提到的短信木马和无线监控。运营商的手机号码快速认证解决了这两个问题:
短信木马:没有验证码,就没有被木马泄露的风险。
无线监控,网络侧通过数据计费网络获得的手机号码,电信内网的安全性还是比较可靠的。
电信运营商推出的无密认证解决了短信验证码的安全问题,优于短信验证码登录。近年来,随着移动产品设计的发展,无障碍的用户体验已成为每个产品经理必须关注的问题。与手机号码+验证码相比,运营商的快速认证更加方便和无障碍。
近年来,随着移动产品设计的发展,无障碍的用户体验已成为每个产品经理必须关注的问题。与手机号码+验证码相比,运营商的快速认证更加方便和无障碍。
