當前位置：首頁 >互聯(lián)網(wǎng)?IT > 互聯(lián)網(wǎng)+ > 互聯(lián)網(wǎng)化 > 正文

“驗證碼”時代，所謂的安全認證卻暗藏風險？

來源：搜狐科技：鈦媒體 2017-04-27 14:49:08

移動互聯(lián)網(wǎng)時代，我們幾乎是“生活在手機上”，每一天，登陸各種APP、使用任何互聯(lián)網(wǎng)服務的時間，幾乎占用了我們生活的大量時間。而驗證碼，則是和我們“天天見”。

如今正悄然流行的“免密認證”技術，其最大的作用正是在于取代“手機驗證碼”。

當然，有很多對于使用體驗不那么敏感的用戶反而覺得，收發(fā)驗證碼的時間對于他們而言，無足輕重。同時，驗證碼于他們而言，更多意義上而言是一種提醒——提醒自己賬戶情況有變動。

實際上，驗證碼也就僅剩下提醒這一個比較實用的功能，更多情況下，驗證碼帶來的不是安全，而是風險。

發(fā)生在身邊的案例

媒體的報道中，關于手機安全的案例比比皆是：又是誰的信用卡被盜刷了，誰的支付寶賬戶被黑了……

那么到底是怎么一回事?我們不妨看看兩個身邊的例子：

在網(wǎng)上盜刷案件中，詐騙分子冒充電商平臺客服人員，以“訂單出現(xiàn)異常需退款”發(fā)短信，或是虛擬銀行客服號碼發(fā)送“積分兌換”“網(wǎng)上銀行升級”等短信，誘騙受害者點擊木馬鏈接或登錄釣魚網(wǎng)站，獲取受害者身份證號、銀行賬號、密碼、驗證碼等信息，竊取其賬戶存款。

2015 年 7 月，犯罪分子利用重慶三峽銀行研發(fā)的在線支付平臺“三峽付”，3 天之內竊取 43 名客戶逾百萬元銀行卡資金。犯罪分子先向受害者手機發(fā)送含有木馬病毒的短信，受害者點擊短信后，犯罪分子就能獲取手機內的全部信息并攔截其后該手機收到的任何短信。犯罪分子從這些信息中篩選出開戶人姓名、身份證號碼、銀行卡號、開戶銀行預留手機號等信息，并利用這些信息注冊“三峽付”電子賬戶，將受害者銀行卡與“三峽付”賬戶綁定。

這些詐騙作案的共同特點就是“竊取用戶驗證碼”。一種是通過花言巧語的方式騙取用戶驗證碼，經(jīng)過公安同志和各大電商平臺的不斷提醒，大家對于這種方式的戒備心還是比較高的;另外一種方式，是通過所謂的“木馬”，截取用戶短信記錄的方式獲取用戶信息，警惕性不高的用戶容易上當。

另外還有一種比較不容易防范的方式，尤其是在 Android 手機上，一些的應用會“嘗試獲得讀取短信”的權限，很多時候，用戶為了貪圖一時輸入驗證碼的方便，也不管是什么應用都會“放權”。有時候，甚至是一些不安全開放式 Wi-Fi 也暗含著竊取用戶賬戶的短信驗證碼的風險。

實際上，對于那些足夠謹慎的用戶而言，驗證碼的安全性確實很高，但人總會有“百密一疏”的時候。尤其是對于老人和小孩兒而言，他們對于一些手機權限并不了解，更容易成為詐騙分子的“刀俎”。

沒有驗證碼，賬戶就安全了?

據(jù)公安部經(jīng)偵局相關負責人介紹，2016 年上半年，全國立案查處竊取、收買、非法提供銀行卡信息犯罪案件 177 起，同比上升 4.5 倍。銀行卡信息泄露方式從以往的改裝POS機、ATM機竊取數(shù)據(jù)和密碼等，發(fā)展為利用黑客技術或偽基站等批量盜取方式。同時，有些用戶習慣使用同樣的密碼，往往不法分子還能通過撞庫的方式竊取到此用戶的其他賬戶資料。

顯然傳統(tǒng)密碼這種方式應對這一方面的攻擊顯得尤為脆弱——因為任何一種認證方式都算是弱認證，必須獨立使用兩種甚至三種才算是強認證，然而，開啟二次驗證的用戶更是少之又少。二次驗證的最主要問題在于其繁瑣性，而這正是免密認證的優(yōu)勢所在。電信的免密認證可以精確識別當前用戶的手機號碼，一鍵驗證通過，省去了短信驗證碼的繁瑣流程，避免了被劫取的風險，毫無疑問，我們登陸各種應用的方式會變得簡單而安全——我們僅需點擊“允許應用獲取手機號碼”，一鍵認證即可。

比如，在異地取款和消費的時候，銀行不僅需要向中國電信核實用戶的所在地，還需要用戶登錄認證應用進行手動的“一鍵認證”。這樣就極大地降低信用卡或借記卡被盜刷的風險。

同時，接入了“天翼免密認證”服務的服務提供商必然會經(jīng)過中國電信方面的審核，意味著其在安全性上面有認證。

如果我要銷號……

現(xiàn)在對于大多數(shù)人而言，一臺手機的價值或許還比不上手機里的手機號。手機號碼上面綁定了大量的用戶賬號，在移動互聯(lián)網(wǎng)時代，手機號就相當于我們的另一個身份證號。

如果要更換手機號，就需要大量的時間去解綁手機號碼，這對用戶，服務提供商和電信運營商而言，都是個大問題——用戶不記得自己手機號關聯(lián)了多少賬戶，服務提供商不知道用戶是否銷號，而運營商也不知道是否能“二次放號”。

在傳統(tǒng)驗證碼的時代，用戶更換手機號，忘記解綁，需要提供大量的資料去證明“我是我”，細致到“什么時候”注冊賬號這樣的問題根本答不上來;服務提供商則需要花費大量的人力和時間去驗證用戶資料的真?zhèn)危约昂陀脩魷贤ǚ答?至于運營商“二次放號”后，第二名用戶則可能會接收到一些與自己無關的驗證碼。如果能有一個機制能打破這之間的信息不對稱，那么問題就迎刃而解了。

“天翼免密認證”，就是一個平衡雙方信息的橋梁。在免密認證機制中，中國電信扮演的是“信息庫”的角色，服務提供商有權限要求它核實一些信息：比如用戶入網(wǎng)時間是否早于某一具體的時間，當前用戶是否在網(wǎng)等等。在這個過程中，服務提供商能確定當前手機號是否已經(jīng)注銷。

如果今后中國電信方面能進一步開放可供比對的權限，比如提供實名認證的比對。只要用戶提供賬戶實名信息，那么解綁注銷號碼的步驟將會極大地簡化——用戶向電信提供自身實名信息，中國電信做為信息庫和平臺，負責核實信息的正確與否;服務提供商全程不獲取任何用戶實名信息，從電信給出的回答中，確認申請解綁用戶和手機號主人是否為同一人。

就目前而言，中國電信的“天翼免密認證”服務還處于推廣階段，其應用場景將來不僅僅局限于“替代驗證碼”這么簡單。作為未來密碼的潛在替代品，這項服務能夠在很多領域發(fā)揮作用。

編輯：祁陽陽

關鍵字：互聯(lián)網(wǎng) 身份認證信息安全