隨著移動互聯網的蓬勃發展,衍生出來眾多行業,也讓原本功能單一的手機號做出極大的改變。
目前,每個人的手機號都綁定了或多或少的各種賬號,手機綁定的東西越來越多,涉及到的重要的東西也越來越多,例如像銀行卡綁定手機號、註冊使用支付寶、購買金融理財產品等等涉及到資金安全的行為。
目前的手機綁定最主要還是通過短信驗證碼來證明自己的身份,驗證方式簡單便捷。然而,人們在享受這份簡單便捷的驗證方式時,不由也為短信驗證碼來驗證身份信息的方式產生了不信任感。
那麼手機短信驗證碼真的安全嗎?
利用短信驗證身份之所以瘋長,無外乎通過短信進行二次驗證是成本最低,最簡單便捷的驗證方式。然而,由於智能機普及,手機系統的漏洞也在增長,各類木馬的存在,也導致短信驗證身份的安全性出現問題。
當前,短信驗證用戶受到最大的威脅就是來自於智能平臺上的短信木馬。這類短信木馬通過發送短連接短信,讓用戶在不知情的情況下下載安裝木馬,當木馬安裝在手機之內就會將用戶的涉及財產的應用賬號密碼重置,並攔截短信驗證碼,實現重置用戶的賬號。這是用戶方面在短信驗證安全受到的威脅,只而像這類的木馬由於編寫簡單,也早已形成一個非常完整的產業鏈:
製作木馬 → 出售木馬 → 租用木馬 → 進行釣魚詐騙 → 成功後進行洗號 → 轉移財產
這是一個位於地下的龐大產業鏈,又因其又衍生一系列的盜刷等等行業。
此外,短信驗證碼也能通過無線電被監聽,簡單來說就是通過偽基站對用戶手機進行監聽,但是受範圍的限制。
這樣的方式通過監聽空中短信,也包括GSM監聽,獲得短信內容然後進行盜竊活動,雖然有一定的距離限制,但是可以與短信木馬相輔相成,又能單獨作案,這樣的方法沒有太好的解決方案,只能等GSM退出歷史舞臺。
難道真的就沒有其他方式來解決、甚至提單短信驗證碼的不安全問題嗎?
中國電信已經開始推出了“免密認證”的業務——即依託電信運營商的移動數據網絡,採用“通信網關取號”及 SIM 卡識別等技術。用戶僅需要允許服務商應用獲取本機手機號碼,並通過運營商網絡上傳,即可完成用戶身份校驗。
這種只有運營商才能提供的差異化認證服務,只能是運營商獨有的,原理是他們掌握著全部手機號用戶的實名身份信息。互聯網服務提供商只需要把他們請求校驗的需求反饋給運營商,運營商將判斷結果反饋回服務提供商,即可完成校驗。
這個過程中不僅省去用戶獲取驗證碼,輸入驗證碼的過程,甚至能讓用戶直接拋棄密碼。而對於服務提供商而言,他們節省的不僅僅是發送短信費用,提升了用戶體驗,保障用戶賬戶安全,由於登錄過程的簡化,還能提升訪客註冊/登錄轉化率。
而且現在很多用戶在更換手機號碼的時候,都會有類似很多顧慮,比如,告知他人自己更換手機號碼並不是一件難事,真正的困難在於舊手機號碼背後綁定的一系列服務——這些都需要解綁,更換,再次綁定,尤其是對於那些註冊了上百種服務的重度互聯網用戶而言。
而電信推出的免密認證則讓這一切麻煩都能迎刃而解。試想一下這樣一個場景:你將自己過去的手機號註銷了,在那之前卻沒解綁這個手機號對應的應用賬號。在這種情況下,你需要通過填寫和上傳各種材料和申訴完成賬號的找回和解綁。
有了免密認證之後,應用在經用戶授權獲取手機號碼之後,經過移動數據上傳手機號碼給運營商,運營商只需要反饋當前設備中手機號碼與綁定應用賬號的號碼是否一致、當前設備中手機號入網時間是否晚於應用綁定手機號的時間、當前應用賬號綁定的手機號是否有過註銷的記錄等......這樣一來,你就無需再次通過繁雜的步驟,即可將應用與已註銷的手機號解綁,填寫綁定的新號碼。
同時,免密認證還能為服務提供商做風險控制之用。對於服務提供商而言,用戶的每一次異地登錄都意味著有潛在的風險,尤其是像銀行這類的金融服務。當用戶將銀行卡插入 ATM 機的那一刻,銀行方面會向電信運營商詢問:用戶當前是否不在北京(常駐城市),而在廣州(異地)?電信運營商會通過用戶的漫遊情況將這個判斷反饋給銀行,從而使銀行能解除這次異地取款的“警報”。這一過程,無需用戶任何操作,銀行即可完成用戶身份的校驗,用戶甚至都不會收到異地登錄取款的提醒。
總而言之,免密認證的方式能減少許多身份校驗帶來的麻煩,提升用戶賬戶的安全性,能夠為開發者在身份認證上提供更多樣的選擇,同時又能帶來更高的便捷性、安全性。
“免密認證”很有可能在身份認證領域發揮重要的作用,成為後移動互聯網時代在用戶身份認證上的一個
“殺手鐗”!(本文首發鈦媒體)
相關推薦
