不知道从什么时候开始,手机号码已经成为注册各种账号的必要信息,短信验证码也成为了一种验证方式各种敏感操作。大家都知道,只要不把验证码告诉别人,就可以保证自己的账号安全。毕竟手机在我手里,小偷总不能过来抢手机吧?但这种情况并非如此。短信验证码的安全隐患远比想象的要大,弃用短信验证码势在必行。短信验证码权限大目前,短信验证码已广泛应用于社交、网站、论坛、游戏、银行、金融、医疗等平台。短信验证码可以帮助用户进行修改密码、绑定邮箱等敏感操作。短信验证码还可以让用户直接登录,无需输入账号密码。因此,短信验证码具有极大的权限,一旦被不法分子利用,后果不堪设想。短信验证码的头号天敌:SIM卡劫持SIM卡劫持可以通过多种方式实现(比如SIM卡克隆),是一种可以完全控制一个手机号码的技能。可怕的是,这个技能的学习门槛和实现难度都不高。比较低级的SIM卡劫持方法甚至可以在网上找到教程。更先进的方法需要更少的“成分”。在2017年的BlackHat大会上,演示了一种仅用手机号码就能在一分钟内劫持SIM卡的方法。一旦SIM卡被劫持,您的手机将立即失去互联网。这时,不法分子就可以为所欲为地使用您的手机号码。比如窃取你的隐私,诈骗亲友,或者通过短信验证码窃取你的社交媒体账号和资金。从我收集的十几个国内外案例来看。从犯罪分子获得SIM卡的控制权到从银行窃取资金平均需要15分钟左右。也就是说,一旦你被劫持,等你联系银行客服的时候,钱可能已经被盗了。更安全的验证方式:基于APP的两步验证短信验证码一直是应用最为广泛的两步验证方式。但是,如上所述,短信验证码存在很多安全隐患。因此,银行业早就开始使用动态密码卡(如网银U盾)这种类似于U盘的显示动态验证码的设备。但是如果要使用动态密码卡,就必须随身携带,不方便。所以现在很多平台都开启了依赖手机APP的两步验证,相当于把动态密码卡集成到手机里了。用户在手机端使用两步验证APP时,需要先安装设置APP,包括绑定需要验证的账号。绑定完成后登录这些账号时,两步验证APP会推送动态验证码。用户必须在登录界面输入验证码才能完成登录。当然,两步验证APP不仅可以用来登录,还可以验证其他敏感操作。大部分两步验证APP都是基于TOTP机制,不需要任何网络连接(包括Wi-Fi),也不需要短信和SIM卡,验证码完全在手机本地生成。所以APP两步验证几乎免疫SIM卡劫持。为什么差不多?这是因为用户在最初安装两步验证APP时,需要通过短信验证一些初始设置。但只要确保此时SIM卡没有被劫持,你就安全了。另外,不得不说的是,两步验证APP只是绕过了短信验证码,并没有从根本上解决SIM卡劫持问题。换句话说,您的SIM卡也可能被劫持。只是犯罪分子无法再通过您的SIM卡威胁您的网络和财产安全。两步验证APP现状两步验证APP主要分为“独享型”和“开放型”两大类。专属类是指只支持自己账号登录的两步验证,比如新浪微盾。开放类是一款纯两步验证APP,支持绑定第三方应用。这样的APP可以成为很多账户的验证者,比如Authy2-FactorAuthentication。国外有很多优质的开放式两步验证APP,都是近两年流行起来的。主要是因为它们支持许多流行的账户,包括主要的社交媒体、游戏、银行、教育和医疗平台。国内的两步验证APP基本都是排他性的。这样一来,每个账号都需要安装一个单独的APP,所以用的人很少。结论基于TOTP机制的两步验证APP相比短信验证码具有更高的安全性和相当的便利性。是一款能够保障用户财产安全,值得推广的工具。希望国内有大的靠谱的公司推出开放的两步验证APP,让用户绑定各种第三方账号,摒弃短信验证码。只有这样,才能将SIM卡劫持的危害降到最低。
