短信验证码成隐私安全“不定时炸弹”,是时候退出江湖了?

现在用户登录帐号,输入手机号码获取短信验证码已经成为了标准流程,但殊不知,这样我们已经习以为常的操作,背后竟也暗藏着信息泄露的风险。 一夜间,一无...

现在用户登录帐号,输入手机号码获取短信验证码已经成为了标准流程,但殊不知,这样我们已经习以为常的操作,背后竟也暗藏着信息泄露的风险。

短信验证码成隐私安全“不定时炸弹”,是时候退出江湖了?

一夜间,一无所有

前几个月豆瓣上一篇帖子很火。一位名叫“独钓寒江雪”的用户在小站里发帖称自己半夜发现手机一下接收了一百多条验证码,支付宝、京东、银行什么都有,之后检查相关余额宝与卡里余额发现钱都被转走了,相关平台还开了白条、借款功能,共被借走了一万多。

短信验证码成隐私安全“不定时炸弹”,是时候退出江湖了?

这位被坑害的网友表示自己“这下一无所有了”,从他的描述上看,有用户猜测这是通过无线监听窃取了验证码短信。

短信验证码不安全因素一下就浮上了水面。并且这早已不是孤例,科技君搜集新闻了解到,像这种类似的“半夜收验证码把钱盗走”的事件已经频频出现。

按道理说,手机就在自己身边,号码只有一个,是谁偷看了自己的短信验证码,还顺利完成了转移资金等一系列操作?

短信验证存漏洞

据了解,这是不法分子通过“GSM劫持+短信嗅探”技术,实时获取用户手机短信内容,窃取用户信息,盗刷用户账户。

短信验证码成隐私安全“不定时炸弹”,是时候退出江湖了?

不法分子先使用伪基站自动搜索附近的手机号,再通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,反查到用户的姓名、身份证号、银行账号等信息,然后在某些网站启动注册或交易,并利用和用户位置相近的特点窃取用户短信验证码。

短信验证码成隐私安全“不定时炸弹”,是时候退出江湖了?

最后,不法分子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。

就这样,许多人手机上莫名其妙接到一堆验证码的时候,钱就已经都“飞走了”。

如何升级验证安全?

接受验证码作为目前短信仅剩的有效功能,职责无非是“验明正身”——几乎所有和安全有关的操作,都要这个步骤来证明此操作是由本人亲自进行。

不过为什么非得是用短信来验证身份呢?

现在对于身份的认证,多是采用“多因子认证”的逻辑,就像出境过海关时,我们需要护照、指纹、面部识别这多重检验来证明“我就是我”,而现在手机号码已经采用了实名制,加上智能手机的普及,在互联网中验证身份,短信验证以此得到了推行。

但是随着安全漏洞与隐私泄露问题接二连三地被爆出,短信验证逐渐让用户意识到其并不靠谱。一旦手机的信号遭到劫持,短信验证码反而成了一颗安全“不定时炸弹”,随时引爆自己的隐私与网上财产。

那么短信验证码是不是到了该退出江湖的时候?没有了短信验证,我们要验证身份又靠什么才能更安全呢?

现阶段,要淘汰掉短信验证码还并不现实,毕竟这是目前性价比最高的验证方式,在成本、安全与便捷三个方面均能满足。并且有一点比较值得人放心的是,现在拦截技术普遍只能拦截到2G网络,不过目前智能手机普遍都使用3G或者4G网络,网络的迭代升级,也提高了不法分子犯罪的风险与难度。作为2G网络手用户,也可以尝试开通VoLTE功能,避免短信被GSM拦截。

在今天,各公司在设计业务安全体系的时候,对短信验证的信任度需要也相应调低了一些,至少需要结合地理位置信息、设备信息、用户特征等等来综合判断,而不会仅凭一个短信验证码就确定用户身份。

同时,网络平台已经逐步在推广要求用户主动发送短信用以验证身份,使用语音通话传输验证码,将用户常用设备和账号绑定,采用指纹识别、人脸识别等生物特征识别技术,同时随机选择多种方式进行验证。