短信验证码不安全,接下来多因素认证或将接班

如今随着互联网越来越深的扎根在我们的日常生活之中,甚至现在仅仅依靠网络,我们已经能够实现“宅生活”,并且相信为数不少的人已经很难想象没有网络的日子。而为了能够使用各式各样的网络服务,我们也需要进行各种APP上注册账号,并成为它们的用户。

  • 身份认证是打开数字世界的钥匙

在互联网时代,用户身份认证无疑是安全的第一道大门,也是用户在访问各类应用的必经过程,因此确保用户的身份安全则是互联网业务开展的安全基石,也决定着各项资源访问权限的合理分配,而身份认证的正确性,也直接影响各项权限分配的合法性或合理性。

众所周知,互联网是一个由二进制构建的世界,不论是手机还是PC与用户的交流都需要通过数字身份,也就是我们常说的“账号+密码”。当然了,最常规的“账号+密码”仅仅是基础的静态口令认证,密码一旦被设定之后,除非用户主动更改,否则将保持不变,这也就就自然带来了显而易见的问题——密码被黑客通过木马、撞库等方式盗取了怎么办?

由此,也引申出更为先进的动态验证模式。而短信验证码就是其中的代表,但可惜的是国内警方曾经爆料了“GSM劫持+短信嗅探技术”的犯罪方法,也已经说明基于GMS技术的短信验证码已不再牢不可破。

除了应用广泛的短信验证码之外,就要数动态口令最常见了。相信许多游戏玩家们都对各种“将军令”、“玲珑密保锁”很熟悉,这一类“One-time Password”是根据专门算法给出的数字序列,也仅仅与使用的时间有关,但是这类动态验证软件需要解决的麻烦,就是要保持客户端与服务器端的时间处于良好的同步状态之下,隐含的意思就是需要比较良好的网络环境。

  • 更加安全的多因素认证来了

身份认证技术的发展,在经历了从软件认证到硬件认证,从静态认证到动态认证的过程之后,已经明确这些认证模式都有着各自的缺陷。

因此,如何防范身份冒用也成为了消费者所关心的问题。日前据外媒报道,美国四大通信运营商Verizon、、Sprint、Mobile以及AT&T联合成立了一家名为Mobile Authentication Taskforce的公司,其目的是打造一个通用的单点登录平台——Project Verify。

所谓单点登录,指的是在多个不同的应用系统中,用户只需要登录一次之后,就可以访问所有相互信任的应用系统。通过Project Verify,不论是Verizon还是AT&T的用户都能够掌握通过他们的设备共享了哪些信息,以及允许哪些应用程序将会访问这些信息。而且一旦用户在手机和应用服务之间建立起最初的握手机制之后,整个平台之上的所以应用程序之间的自动登录就成为现实。

在之前短信验证码风波之中,我们曾经讨论过双因子认证(2FA)技术,而这一次Project Verify则是在此基础上使用了多因素身份验证,用户的电话号码、SIM卡信息、IP地址都是构成这一全新认证系统的基石。用户需要有一个登陆系统的ID,但是在初次验证之时还要依次比对电话、SIM卡、安全问题等相关信息。

  • Project Verify很可能只会是一个孤例

不过对于手机用户而言,这里其实有一个很重要的问题,作为一项验证服务,Project Verify必须获得APP自身支持并拥有使用其明确的许可才行。而APP之间的互信问题,事实上谷歌也已经有了解决思路,其首次在Android P中引入对网络连接状态的限制,会禁止APP抓取与自己无关的通信数据包,也就是说某一个APP只能看到与自己有关的信息。这个全新的设置就相当于为用户搭建了一个较为纯净的隔离器,即使你下载了某个带有恶意程序的APP,其也很难威胁到Project Verify项目的成员。

单点登录和多因素认证,在美国四大运营商主导之下的新平台为我们揭示了一个全新的未来。不过可以预见的是,这一项目尽管拥有完美的愿景,但是其在实施过程之中也同样困难重重,因为其不仅需要运营商的支持,APP开发者们的利益也暂时还难以调和。

毕竟这类打通不同系统壁垒的做法,暂时来看并非易事。就以最新的iPhone Xs\XR为例,连苹果都只能专为中国提供双实体SIM卡的特供版,而不是在海外提供的实体卡+eSIM卡的组合,究其原因,就是中国的移动运营商对于自家用户群体显得有点“敝帚自珍”,类似Project Verify这样的“单点登录”平台其实是很不受运营商待见的,毕竟活跃在这一平台上的用户,到底应该归属于谁,也是个很难回答的问题。

【本文图片来自网络】

推荐阅读:

六年过去,小米拿第二款“青春版”证明了不忘初心

时隔六年出品新机,这台小米依然令人感动。

一场发布会四款新手机,重要的是它们都叫“魅族”

一口气发布了四款新品的魅族,今天也在向业界宣告,我回来了。

(0)

相关推荐

  • 手机丢了,赶紧这样做!

    前不久,一篇名为<一部手机失窃引发的惊心动魄的战争>的文章刷爆了朋友圈.社交媒体和各大网站,作者"信息安全老骆驼"详细记录了9月4日手机丢失后,夫妻二人与黑产对抗的每一 ...

  • 5G消息也不安全?短信业务再受暴击,会不会从此走向消亡?

    ▲ 回复「你好」,领高价值干货 这已经不是5G第一次爆出安全漏洞,去年年底,海外普渡大学和爱荷华大学的研究人员通过研究发现了存在于5G网络中的多个安全漏洞,这些漏洞会导致黑客能够轻松获取被攻击者的通话 ...

  • 短信验证码的背后

    引:短信(SMS)验证码已经被各种各样的应用作为双重认证的主要手段之一,为什么还要将生物特征识别作为作为双重认证的趋势之一呢?短信验证码是否是安全的呢?如果不安全的话,背后的机制又是什么呢?本文编译自 ...

  • 短信验证码须知

    短信验证码现在应用非常广泛,很多地方都需要用到,如网站注册,账号登录.找回密码.修改密码.网上支付等,但是有时候会出现获取短信验证码收不到的情况,非常令人头疼,那么导致短信验证码收不到的原因有哪些呢? ...

  • 如何解决企业短信验证码到达率问题

    如今处于互联网的高速发展阶段,越来越多的门户网站注册,APP注册,以及登陆网站,修改密码,登陆游戏等都要通过手机收取短信验证码的方式来提高用户和网站双方的安全度.但是随着越来越多的人开始使用这项技术, ...

  • 详解织梦dedecms短信验证码功能

    现在大部分网站都需要用短信验证码,因为织梦官方没有短信验证码插件,所以写了几个短信验证码插件,一个使用的是阿里云的短信验证码接口,一个使用的是阿里大于的短信验证码接口,一个使用的是阿里通信短信验证码接 ...

  • 短信验证码的基本常识

    在我们注册一些手机APP应用时,常常会让我们输入自己的短信验证码,来验证是否本人登录,但是在注册一些平台会员时,常常会有一些平台需要要求输入图片验证码或者是语音验证码,那么APP短信验证码和图片验证码 ...

  • 短信验证码和我们的关系

    不知道多久,短信验证码慢慢"入侵"我们生活,我们的生活也慢慢的离不开短信验证码,注册网站,银行支付,注册APP都需要短信验证码的程序,随着信息时代的来临,互联网高速发展,智能手机的 ...

  • 短信验证码常见的应用场景和作用

    在网站和移动应用中利用短信验证码进行信息确认是最常用的验证手段.随着短信验证码的技术更新,短信验证码的应用程序也非常多样,如交易确认.授权绑定.登录保护等. 短信验证码对注册用户的管理更加方便,用户通 ...

  • 谁在操纵我的手机?短信验证码,是时候说再见了

    每一个睿智的灵魂 1 最近,在全国两会上,有人大代表建议,提升移动支付的安全性,避免过度依赖短信验证码. 因为相比其他验证手段来说,短信验证码的安全级别可谓是相当低. 虽然这不算是什么大新闻,也仅仅是 ...

  • 手机短信验证码收不到怎么办?原因和解决方案全都在这里

    对于手机短信验证码我们并不陌生,注册软件.网站验证,APP登录等都有可能遇到,大部分的时候手机短信验证码接收是非常及时的,平台窗口输入手机号,点击发送验证码,几秒钟我们的手机上就会收到短信,但最近常常 ...

  • 中国联通回应收不到短信验证码

    [中国联通回应收不到短信验证码]中国联通短信大面积故障10日,不少网友反映中国联通短信功能出现大面积故障,收不到短信验证码.中国联通客服对此表示,目前已经在紧急处理中,请您稍后再试,给您带来不便深感抱 ...