• <menu id="kwuci"><label id="kwuci"></label></menu>
  • <sup id="kwuci"><bdo id="kwuci"></bdo></sup>
  • <li id="kwuci"></li>

    短信驗證碼不安全 兩步驗證APP急需普及

    2018年07月28日 07:00     出處: 泡泡網原創    作者:張哲   分享

        不知從何時開始,手機號成了注冊各種賬號的必要信息,短信驗證碼也成了各種敏感操作的驗證方式。大家都知道只要不把驗證碼告訴別人,自己的賬號安全就能得到保障。畢竟手機在自己手里,賊總不能來搶我的手機吧?但事實并非如此,短信驗證碼的安全隱患比想象中大的多,所以拋棄短信驗證碼勢在必行。

    ▼短信驗證碼權限極大

        目前,短信驗證碼已被廣泛應用于社交媒體、網站、論壇、游戲、銀行金融和醫療等平臺上。短信驗證碼可以幫助用戶進行修改密碼、修改綁定郵箱等敏感操作。短信驗證碼也能讓用戶不輸賬號密碼直接登陸。所以短信驗證碼的權限很大,一旦被不法分子利用后果不堪設想。


    不知道用戶名和密碼照樣可以用短信驗證碼登陸

    ▼短信驗證碼的頭號天敵:SIM卡劫持

        SIM卡劫持可以通過多種方式實現(比如SIM卡克隆),是一種可以完全控制一個手機號的技能。可怕的是這種技能的學習門檻和實現難度都不高。比較低級的SIM卡劫持方法甚至可以在網上隨便搜到教程。

        越高級的方法需要的“原料”越少。2017年黑帽大會上曾演示了只需一個手機號碼就在一分鐘之內劫持SIM卡的方法。


    網上的破解SIM卡視頻教程

        一旦SIM卡被劫持,你的手機就會立刻沒網。這時不法分子可以隨心所欲使用你的手機號。比如竊取你的隱私,詐騙親戚朋友,或者通過手機短信驗證碼來盜取你的社交媒體賬號和資金財產。


    手機硬件發展迅速,但SIM卡的科技等級非常“古老”

        從本人搜集的國內外十幾個案例來看。從不法分子獲得SIM卡控制權,到從銀行偷錢平均也就15分鐘左右。也就是說,一旦被劫持,等你打通銀行客服,錢很可能已經被偷了。

    ▼更安全的驗證方式:基于APP的兩步驗證

        短信驗證碼一直是使用最廣泛的兩步驗證方法。但正如上文所述,短信驗證碼的安全隱患很多。所以銀行業很早就開始使用動態口令卡(比如網銀U盾)——一種類似于U盤的專門顯示動態驗證碼的設備。但想使用動態口令卡必須將其隨誰攜帶,便利性不佳。所以現在不少平臺都啟用了依賴于手機APP的兩步驗證,相當于把動態口令卡集成在了手機中。


    動態口令卡

        使用手機兩步驗證APP時,用戶需要首先安裝并設置好APP,包括對需要驗證的賬戶的綁定。綁定完成后再登陸這些賬號時,兩步驗證APP就會推送動態驗證碼。用戶必須在登陸界面輸入該驗證碼才能完成登陸。當然,兩步驗證APP不僅可以用來登陸,也可用來驗證其它敏感操作。

        大部分兩步驗證APP基于TOTP機制,不需要任何網絡連接(包括Wi-Fi),也不需要短信和SIM卡,驗證碼完全在手機本地生成。所以APP兩步驗證幾乎免疫了SIM卡劫持。


    谷歌驗證器還支持安卓手表

        為什么說幾乎呢?那是因為在首次安裝兩步驗證APP時,用戶需要通過短信進行一些初始設置的驗證。但只要確保這時SIM卡不被劫持就安全了。


    兩步驗證APP的驗證碼

        另外必須要說的是兩步驗證APP只是繞開了短信驗證碼,并沒有解決SIM卡劫持的根本問題。也就是說你的SIM卡還可以被劫持。只不過不法分子不能在通過你的SIM卡威脅你的網絡和財產安全了。

    ▼兩步驗證APP的現狀

        兩步驗證APP主要分兩類:“獨占類”和“開放類”。獨占類指只支持自家賬戶登錄的兩步驗證,比如新浪微盾。開放類則是一個純粹的兩步驗證APP,支持綁定第三方應用。這樣一個APP就能變成很多賬戶的驗證器,比如Authy 2-Factor Authentication。


    Authy 2-Factor Authentication支持很多賬號

        國外的優質開放類兩步驗證APP很多,都在這兩年流行了起來。主要是因為它們支持很多常用賬號,包括主流社交媒體、游戲、銀行、教育和醫療等平臺。

        國內的兩步驗證APP基本都是獨占類。這樣一來每個賬戶都需要單獨裝一個APP,所以用的人很少。

    ▼結語

        基于TOTP機制的兩步驗證APP有著比短信驗證碼高得多的安全性和相媲美的便利性,是一種能保障用戶財產安全的工具,非常值得推廣。希望國內會有信譽可靠的大公司推出開放類的兩步驗證APP,允許用戶綁定各種第三方賬戶,拋棄短信驗證碼。這樣才能把SIM卡劫持的危害降到最低。


    本文編輯:張哲

    關注泡泡網,暢享科技生活。

    推薦文章
    行車視線精品文章推薦
    黑龙江p62开奖号
  • <menu id="kwuci"><label id="kwuci"></label></menu>
  • <sup id="kwuci"><bdo id="kwuci"></bdo></sup>
  • <li id="kwuci"></li>
  • <menu id="kwuci"><label id="kwuci"></label></menu>
  • <sup id="kwuci"><bdo id="kwuci"></bdo></sup>
  • <li id="kwuci"></li>