两步验证和短信验证码安全对比-月光博客
青青子衿, 悠悠我心, 但为君故, 沉吟至今
« Facebook入华被拒?脸书科技被注销Twitter清理假账户或致用户数继续下滑 »

两步验证和短信验证码安全对比

  不知从何时开始,手机号成了注册各种账号的必要信息,短信验证码也成了各种敏感操作的验证方式。大家都知道只要不把验证码告诉别人,自己的账号安全就能得到保障。毕竟手机在自己手里,贼总不能来抢我的手机吧?但事实并非如此,短信验证码的安全隐患比想象中大的多,所以抛弃短信验证码势在必行。

  短信验证码权限极大

  目前,短信验证码已被广泛应用于社交媒体、网站、论坛、游戏、银行金融和医疗等平台上。短信验证码可以帮助用户进行修改密码、修改绑定邮箱等敏感操作。短信验证码也能让用户不输账号密码直接登陆。所以短信验证码的权限很大,一旦被不法分子利用后果不堪设想。

  SIM卡劫持可以通过多种方式实现(比如SIM卡克隆),是一种可以完全控制一个手机号的技能。可怕的是这种技能的学习门槛和实现难度都不高。比较低级的SIM卡劫持方法甚至可以在网上随便搜到教程。

  越高级的方法需要的“原料”越少。2017年黑帽大会上曾演示了只需一个手机号码就在一分钟之内劫持SIM卡的方法。

  一旦SIM卡被劫持,你的手机就会立刻没网。这时不法分子可以随心所欲使用你的手机号。比如窃取你的隐私,诈骗亲戚朋友,或者通过手机短信验证码来盗取你的社交媒体账号和资金财产。

  从本人搜集的国内外十几个案例来看。从不法分子获得SIM卡控制权,到从银行偷钱平均也就15分钟左右。也就是说,一旦被劫持,等你打通银行客服,钱很可能已经被偷了。

  更安全的验证方式:基于APP的两步验证

  短信验证码一直是使用最广泛的两步验证方法。但正如上文所述,短信验证码的安全隐患很多。

  所以银行业很早就开始使用动态口令卡(比如网银U盾)——一种类似于U盘的专门显示动态验证码的设备。但想使用动态口令卡必须将其随谁携带,便利性不佳。所以现在不少平台都启用了依赖于手机APP的两步验证,相当于把动态口令卡集成在了手机中。

  使用手机两步验证APP时,用户需要首先安装并设置好APP,包括对需要验证的账户的绑定。

  绑定完成后再登陆这些账号时,两步验证APP就会推送动态验证码。用户必须在登陆界面输入该验证码才能完成登陆。当然,两步验证APP不仅可以用来登陆,也可用来验证其它敏感操作。

   大部分两步验证APP基于TOTP机制,不需要任何网络连接(包括Wi-Fi),也不需要短信和SIM卡,验证码完全在手机本地生成。所以APP两步验证几乎免疫了SIM卡劫持。

   为什么说几乎呢?那是因为在首次安装两步验证APP时,用户需要通过短信进行一些初始设置的验证。但只要确保这时SIM卡不被劫持就安全了。

  另外必须要说的是两步验证APP只是绕开了短信验证码,并没有解决SIM卡劫持的根本问题。也就是说你的SIM卡还可以被劫持。只不过不法分子不能在通过你的SIM卡威胁你的网络和财产安全了。

  两步验证APP的现状

  两步验证APP主要分两类:“独占类”和“开放类”。独占类指只支持自家账户登录的两步验证,比如新浪微盾。开放类则是一个纯粹的两步验证APP,支持绑定第三方应用。这样一个APP就能变成很多账户的验证器,比如Authy 2-Factor Authentication。

  国外的优质开放类两步验证APP很多,都在这两年流行了起来。主要是因为它们支持很多常用账号,包括主流社交媒体、游戏、银行、教育和医疗等平台。

  国内的两步验证APP基本都是独占类。这样一来每个账户都需要单独装一个APP,所以用的人很少。

  结语

  基于TOTP机制的两步验证APP有着比短信验证码高得多的安全性和相媲美的便利性,是一种能保障用户财产安全的工具,非常值得推广。

  希望国内会有信誉可靠的大公司推出开放类的两步验证APP,允许用户绑定各种第三方账户,抛弃短信验证码。这样才能把SIM卡劫持的危害降到最低。

  稿源:新浪科技



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/5413.html
  • 1.maqingxi
  • 贵站也启用手机短信两步验证了吗?评论还必须输入手机号码。哈哈。
  • 2018/7/30 13:24:15   支持(4)反对(2) 回复
  • 2.cpdyj
  • 我记得之前是工信部还是哪里有关于实名制的要求啊。手机验证码不是最简单的办法吗?(虽然这不是最好的。)
  • 2018/7/30 19:40:44   支持(2)反对(1) 回复
  • 3.扬帆大海
  • 目前因为APP克隆存在,直接复制两步验证APP的data文件,到任何一台新设备上,都可以无缝克隆一个两步验证APP。只要安卓有类似任意路径文件访问,上传等漏洞存在(实际是这种漏洞并不少见,出现过多次)那可以做到只要对方访问了某个网站,运行了某个APP,就可以克隆基于TOTP机制的两步验证APP。
  • 2018/8/2 15:10:08   支持(1)反对(0) 回复
  • 4.ughytuhh
  • 现在基本上所有的两步验证都有一个手机号短信验证码的备用选项,不管你是不是启用了手机软件的两步验证,反正还是可以通过手机验证登录账户。所以说,一点卵用都没有
  • 2018/7/30 19:04:13   支持(0)反对(0) 回复
  • 5.m999点org
  • 智能手机都不想用,哪还要用app。。。。 哈哈哈哈哈。


    u盾到底安全不?
  • 2018/7/31 18:17:03   支持(0)反对(0) 回复
  • 7.申博官网15113188838
  • 申博官网下载:15113188838
  • 2018/8/14 11:48:58   支持(0)反对(0) 回复

发表评论:

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注我的推特:关注我的推特
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

相关文章

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.