电信
您的位置:华北新闻网 » 科技 » 电信 » 正文

运营商的手机号快捷认证能取代传统短信验证码吗?

核心提示: 【短信验证码已成为验证身份,保护我们交易及财产安全的最常用的方法,它安全吗?】首先,谈谈短信验证码的安全性从何而来。通常...

短信验证码已成为验证身份,保护我们交易及财产安全的最常用的方法,它安全

首先,谈谈短信验证码安全性从何而来。

通常,身份认证有三个要素

所知:what you know,你知道的比如密码,安保问题

所有:what you have ,你持有的比如手机校验码,U盾

所是:who you are,你固有的比如指纹,人脸

由于获取/伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差短信验证码就是属于第二种,这个有点颠覆认知吧,短信验证码安全级别竟然比密码还要

然而,需要明确的是,如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证

这三种认证存在的问题

所知:容易被遗忘,猜取以及普遍存在的信息泄露导致的碰撞

所有:容易被钓鱼木马获取,丢失

所是:认证成本过高,本体可能受到攻击或者伪造

对于短信验证码而言既然属于第二种所有范畴,那么面临的威胁主要就是下面几

个了

1)短信木马木马在后台可以轻易窃取验证码并转发给不法分子,实现对受害者的账

号重置。这类木马编写简单,已经形成了非常完整的产业链:从制马人员到售马、租马,到实施钓鱼、欺骗、洗号、转移钱财。

对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样),短信验证事实上已经退化成了单因子验证,只要智能手机被安装了木马那么这些验证体系就会全线崩溃 

2)钓鱼监听这里主要包括GSMwifi,包括监听空中短信,直接获取短信内容,攻击者可以根据钓鱼wifi全部搞定登陆密码、支付密码和短信验证 但这个玩法成本和范围有限制

3)补卡克隆攻击那么如果能办一张和受害者相同的手机号(卡),自然就能狸猫换太子,接受受害者的验证码,重置各种账号。这里的薄弱环节就在运营商,部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。

    上述几种威胁,第三种已经随着运营商的规范管理,技术进步,逐步得到解决,然而1、2反而出现了越演越烈的趋势。

虽然短信验证码存在诸多问题,但是,当下综合看起来是最优的选择方法,优势在于不需要额外设备,用户广泛拥有,校验成本极低最容易实现也基本靠谱(属于所有范畴)。

然而!有更好的方法吗?

   

运营商提出的手机号快捷认证是什么能解决短信验证码的问题吗

众所周知,电信运营商作为手机码的运营方,依托数据网络手机卡是可以准确识别用户手机号码的,目前三大运营商均开展了通过手机号快捷认证的业务

    电信运营商提出的手机号快捷认证的使用场景是什么呢,笔者在常用的今日头条航旅纵横以及189邮箱上进行了测试使用。

  blob.pngblob.pngblob.png

上图所示应用通过运营商的数据网络取到了用户手机号,无需再做一次短信验证码的确认一键登录减少了页面交互用户输入环节,非常快捷。能力支持电信、移动联通三网手机,基本覆盖所有手机用户

然而,安全性方面

其实手机号快捷认证和之前提到短信验证码事实上是基于手机号(SIM卡/运营商服务),确认此时此刻手机号码是在用户手中的,两者其实都是基于以下几点预设

1)认为用户的手机卡是不会轻易丢失和被窃取的,和用户绑定更紧密(相对于各种脱库事件,密码泄露的概率还是比丢手机的概率大多了,况且丢了手机可以立即去运营商挂失补卡,密码泄露了就是泄露了)
     2)认为有手机号可以做二次验证的用户是真实用户(所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册)
     3)认为运营商维护的通讯信道比其他的都更安全

以上几点预设,基本靠谱的,然而短信验证码存在的短信木马钓鱼监听等问题

在运营商手机号快捷认证这里得到了解决:

1、短信木马:无验证码,也就不存在被木马获取泄露风险

2、钓鱼监听网络通过数据计费网络获取的手机号,电信内网的安全性还是较为靠谱的。

因此,电信运营商推出手机号快捷认证解决了短信验证码头疼的安全问题,优于短信验证码。

 

【然而,最重要的问题来了,手机丢了怎么办?

相信诸多用户和我的担忧是一样的,如果手机丢了怎么办?这也是所有你持有的what you have )身份验证面临的问题。

不幸的是,所谓的运营商手机快捷认证,和短信验证码一样,都无法解决这个问题。

两者都是确认手机号码此时登录应用的人手中,既然手机已经易主了,新主人(姑且善意的认为是新主人吧)通过手机号快捷认证和短信验证码都可以轻松进入旧主人的应用中,两种验证手段,都无法解决这个问题。

然而另外一个角度分析,其实...


丢手机和丢账户没有必然联系,丢手机没有丢账号那么可怕
     首先,大部分网站支持手机解绑,只要你在手机丢失的时候想起来注册了哪些涉及资金的账户就可以(愿意及时补办手机卡的话甚至不需要去解绑)
     其次,也是最重要的一点,窃取账户和窃取手机(有时候不一定是窃,可能只是不小心遗失了)的人未必重合,可能只是两个完全独立的事件而已。当然,如果是偷手机的人通过翻查你的手机来获取信息再进行账号窃取就另当别论但这种情况首先就要靠自己手机密码,应用软件密码,指纹人脸、异地登陆确认手段来保障安全性

另外笔者并不认为手机(卡)被盗是对快捷认证的主要威胁,现在人们对于手机的依赖性太强烈,片刻时间不看看手机都不踏实,对手机被盗是会有立即感知的,只是刚开始不肯接受这个现实,经过一番寻找后才能确认丢失已经过了一段时间最后经过了解,各运营商提供提供24小时手机挂失服务赶紧挂失吧。

反而各种短信木马、GSM监听,小白用户基本无识别和防御的能力,这些安全问题给用户带来的损失,远远超过手机丢失的带来的损失。

 

【运营商快捷认证还有那些优势
    经过最近几年移动产品设计的发展,无障碍的用户体验已经变为每一个产品经理必须注

重的问题。相对于手机号+验证码,运营商的手机号快捷认证更方便,更无障碍。

据了解通过中国电信天翼号提供的的手机号快捷登录应用天翼账号还可以提供

用户的其他信息,如用户的头像、昵称其他信用信息,合作的互联网公司容易拿到真实的用户数据

 

结论:运营商快捷认证比短信验证码更加安全,用户体验更进一步数据更加真实

手机号快捷认证作为一种新的认证方式,已经崭露头角,前景广阔。然而目前使用

应用均以运营商自己的应用居多,大家见惯了各个运营商各自为政,互相拆台,三方能否联合一心共同推进快捷认证发展,还需要时间来验证。 

 

最后说一句,无论哪一种验证方式,没有绝对的安全,只有可承受的风险。因此请

不要纠结,只要细心管理自己的账户,被盗的概率是非常低的。(署名:李呆瓜


编辑:硕石




Tags:运营商 手机号 快捷 认证 能取 传统 短信 验证