短信验证码不安全,接下来多因素认证或将接班
如今随着互联网越来越深的扎根在我们的日常生活之中,甚至现在仅仅依靠网络,我们已经能够实现“宅生活”,并且相信为数不少的人已经很难想象没有网络的日子。而为了能够使用各式各样的网络服务,我们也需要进行各种APP上注册账号,并成为它们的用户。
身份认证是打开数字世界的钥匙
在互联网时代,用户身份认证无疑是安全的第一道大门,也是用户在访问各类应用的必经过程,因此确保用户的身份安全则是互联网业务开展的安全基石,也决定着各项资源访问权限的合理分配,而身份认证的正确性,也直接影响各项权限分配的合法性或合理性。
众所周知,互联网是一个由二进制构建的世界,不论是手机还是PC与用户的交流都需要通过数字身份,也就是我们常说的“账号+密码”。当然了,最常规的“账号+密码”仅仅是基础的静态口令认证,密码一旦被设定之后,除非用户主动更改,否则将保持不变,这也就就自然带来了显而易见的问题——密码被黑客通过木马、撞库等方式盗取了怎么办?
由此,也引申出更为先进的动态验证模式。而短信验证码就是其中的代表,但可惜的是国内警方曾经爆料了“GSM劫持+短信嗅探技术”的犯罪方法,也已经说明基于GMS技术的短信验证码已不再牢不可破。
除了应用广泛的短信验证码之外,就要数动态口令最常见了。相信许多游戏玩家们都对各种“将军令”、“玲珑密保锁”很熟悉,这一类“One-time Password”是根据专门算法给出的数字序列,也仅仅与使用的时间有关,但是这类动态验证软件需要解决的麻烦,就是要保持客户端与服务器端的时间处于良好的同步状态之下,隐含的意思就是需要比较良好的网络环境。
更加安全的多因素认证来了
身份认证技术的发展,在经历了从软件认证到硬件认证,从静态认证到动态认证的过程之后,已经明确这些认证模式都有着各自的缺陷。
因此,如何防范身份冒用也成为了消费者所关心的问题。日前据外媒报道,美国四大通信运营商Verizon、、Sprint、Mobile以及AT&T联合成立了一家名为Mobile Authentication Taskforce的公司,其目的是打造一个通用的单点登录平台——Project Verify。
所谓单点登录,指的是在多个不同的应用系统中,用户只需要登录一次之后,就可以访问所有相互信任的应用系统。通过Project Verify,不论是Verizon还是AT&T的用户都能够掌握通过他们的设备共享了哪些信息,以及允许哪些应用程序将会访问这些信息。而且一旦用户在手机和应用服务之间建立起最初的握手机制之后,整个平台之上的所以应用程序之间的自动登录就成为现实。
在之前短信验证码风波之中,我们曾经讨论过双因子认证(2FA)技术,而这一次Project Verify则是在此基础上使用了多因素身份验证,用户的电话号码、SIM卡信息、IP地址都是构成这一全新认证系统的基石。用户需要有一个登陆系统的ID,但是在初次验证之时还要依次比对电话、SIM卡、安全问题等相关信息。
Project Verify很可能只会是一个孤例
不过对于手机用户而言,这里其实有一个很重要的问题,作为一项验证服务,Project Verify必须获得APP自身支持并拥有使用其明确的许可才行。而APP之间的互信问题,事实上谷歌也已经有了解决思路,其首次在Android P中引入对网络连接状态的限制,会禁止APP抓取与自己无关的通信数据包,也就是说某一个APP只能看到与自己有关的信息。这个全新的设置就相当于为用户搭建了一个较为纯净的隔离器,即使你下载了某个带有恶意程序的APP,其也很难威胁到Project Verify项目的成员。
单点登录和多因素认证,在美国四大运营商主导之下的新平台为我们揭示了一个全新的未来。不过可以预见的是,这一项目尽管拥有完美的愿景,但是其在实施过程之中也同样困难重重,因为其不仅需要运营商的支持,APP开发者们的利益也暂时还难以调和。
毕竟这类打通不同系统壁垒的做法,暂时来看并非易事。就以最新的iPhone Xs\XR为例,连苹果都只能专为中国提供双实体SIM卡的特供版,而不是在海外提供的实体卡+eSIM卡的组合,究其原因,就是中国的移动运营商对于自家用户群体显得有点“敝帚自珍”,类似Project Verify这样的“单点登录”平台其实是很不受运营商待见的,毕竟活跃在这一平台上的用户,到底应该归属于谁,也是个很难回答的问题。
【本文图片来自网络】
推荐阅读:
六年过去,小米拿第二款“青春版”证明了不忘初心
时隔六年出品新机,这台小米依然令人感动。
一场发布会四款新手机,重要的是它们都叫“魅族”
一口气发布了四款新品的魅族,今天也在向业界宣告,我回来了。