短信驗(yàn)證碼不安全 兩步驗(yàn)證APP急需普及

    不知從何時(shí)開(kāi)始，手機(jī)號(hào)成了注冊(cè)各種賬號(hào)的必要信息，短信驗(yàn)證碼也成了各種敏感操作的驗(yàn)證方式。大家都知道只要不把驗(yàn)證碼告訴別人，自己的賬號(hào)安全就能得到保障。畢竟手機(jī)在自己手里，賊總不能來(lái)?yè)屛业氖謾C(jī)吧？但事實(shí)并非如此，短信驗(yàn)證碼的安全隱患比想象中大的多，所以拋棄短信驗(yàn)證碼勢(shì)在必行。

▼短信驗(yàn)證碼權(quán)限極大

    目前，短信驗(yàn)證碼已被廣泛應(yīng)用于社交媒體、網(wǎng)站、論壇、游戲、銀行金融和醫(yī)療等平臺(tái)上。短信驗(yàn)證碼可以幫助用戶進(jìn)行修改密碼、修改綁定郵箱等敏感操作。短信驗(yàn)證碼也能讓用戶不輸賬號(hào)密碼直接登陸。所以短信驗(yàn)證碼的權(quán)限很大，一旦被不法分子利用后果不堪設(shè)想。

不知道用戶名和密碼照樣可以用短信驗(yàn)證碼登陸

▼短信驗(yàn)證碼的頭號(hào)天敵：SIM卡劫持

    SIM卡劫持可以通過(guò)多種方式實(shí)現(xiàn)（比如SIM卡克隆），是一種可以完全控制一個(gè)手機(jī)號(hào)的技能。可怕的是這種技能的學(xué)習(xí)門檻和實(shí)現(xiàn)難度都不高。比較低級(jí)的SIM卡劫持方法甚至可以在網(wǎng)上隨便搜到教程。

    越高級(jí)的方法需要的“原料”越少。2017年黑帽大會(huì)上曾演示了只需一個(gè)手機(jī)號(hào)碼就在一分鐘之內(nèi)劫持SIM卡的方法。

網(wǎng)上的破解SIM卡視頻教程

    一旦SIM卡被劫持，你的手機(jī)就會(huì)立刻沒(méi)網(wǎng)。這時(shí)不法分子可以隨心所欲使用你的手機(jī)號(hào)。比如竊取你的隱私，詐騙親戚朋友，或者通過(guò)手機(jī)短信驗(yàn)證碼來(lái)盜取你的社交媒體賬號(hào)和資金財(cái)產(chǎn)。

手機(jī)硬件發(fā)展迅速，但SIM卡的科技等級(jí)非常“古老”

    從本人搜集的國(guó)內(nèi)外十幾個(gè)案例來(lái)看。從不法分子獲得SIM卡控制權(quán)，到從銀行偷錢平均也就15分鐘左右。也就是說(shuō)，一旦被劫持，等你打通銀行客服，錢很可能已經(jīng)被偷了。

▼更安全的驗(yàn)證方式：基于APP的兩步驗(yàn)證

    短信驗(yàn)證碼一直是使用最廣泛的兩步驗(yàn)證方法。但正如上文所述，短信驗(yàn)證碼的安全隱患很多。所以銀行業(yè)很早就開(kāi)始使用動(dòng)態(tài)口令卡（比如網(wǎng)銀U盾）——一種類似于U盤的專門顯示動(dòng)態(tài)驗(yàn)證碼的設(shè)備。但想使用動(dòng)態(tài)口令卡必須將其隨誰(shuí)攜帶，便利性不佳。所以現(xiàn)在不少平臺(tái)都啟用了依賴于手機(jī)APP的兩步驗(yàn)證，相當(dāng)于把動(dòng)態(tài)口令卡集成在了手機(jī)中。

動(dòng)態(tài)口令卡

    使用手機(jī)兩步驗(yàn)證APP時(shí)，用戶需要首先安裝并設(shè)置好APP，包括對(duì)需要驗(yàn)證的賬戶的綁定。綁定完成后再登陸這些賬號(hào)時(shí)，兩步驗(yàn)證APP就會(huì)推送動(dòng)態(tài)驗(yàn)證碼。用戶必須在登陸界面輸入該驗(yàn)證碼才能完成登陸。當(dāng)然，兩步驗(yàn)證APP不僅可以用來(lái)登陸，也可用來(lái)驗(yàn)證其它敏感操作。

    大部分兩步驗(yàn)證APP基于TOTP機(jī)制，不需要任何網(wǎng)絡(luò)連接（包括Wi-Fi），也不需要短信和SIM卡，驗(yàn)證碼完全在手機(jī)本地生成。所以APP兩步驗(yàn)證幾乎免疫了SIM卡劫持。

谷歌驗(yàn)證器還支持安卓手表

    為什么說(shuō)幾乎呢？那是因?yàn)樵谑状伟惭b兩步驗(yàn)證APP時(shí)，用戶需要通過(guò)短信進(jìn)行一些初始設(shè)置的驗(yàn)證。但只要確保這時(shí)SIM卡不被劫持就安全了。

兩步驗(yàn)證APP的驗(yàn)證碼

    另外必須要說(shuō)的是兩步驗(yàn)證APP只是繞開(kāi)了短信驗(yàn)證碼，并沒(méi)有解決SIM卡劫持的根本問(wèn)題。也就是說(shuō)你的SIM卡還可以被劫持。只不過(guò)不法分子不能在通過(guò)你的SIM卡威脅你的網(wǎng)絡(luò)和財(cái)產(chǎn)安全了。

▼兩步驗(yàn)證APP的現(xiàn)狀

    兩步驗(yàn)證APP主要分兩類：“獨(dú)占類”和“開(kāi)放類”。獨(dú)占類指只支持自家賬戶登錄的兩步驗(yàn)證，比如新浪微盾。開(kāi)放類則是一個(gè)純粹的兩步驗(yàn)證APP，支持綁定第三方應(yīng)用。這樣一個(gè)APP就能變成很多賬戶的驗(yàn)證器，比如Authy 2-Factor Authentication。

Authy 2-Factor Authentication支持很多賬號(hào)

    國(guó)外的優(yōu)質(zhì)開(kāi)放類兩步驗(yàn)證APP很多，都在這兩年流行了起來(lái)。主要是因?yàn)樗鼈冎С趾芏喑Ｓ觅~號(hào)，包括主流社交媒體、游戲、銀行、教育和醫(yī)療等平臺(tái)。

    國(guó)內(nèi)的兩步驗(yàn)證APP基本都是獨(dú)占類。這樣一來(lái)每個(gè)賬戶都需要單獨(dú)裝一個(gè)APP，所以用的人很少。

▼結(jié)語(yǔ)

    基于TOTP機(jī)制的兩步驗(yàn)證APP有著比短信驗(yàn)證碼高得多的安全性和相媲美的便利性，是一種能保障用戶財(cái)產(chǎn)安全的工具，非常值得推廣。希望國(guó)內(nèi)會(huì)有信譽(yù)可靠的大公司推出開(kāi)放類的兩步驗(yàn)證APP，允許用戶綁定各種第三方賬戶，拋棄短信驗(yàn)證碼。這樣才能把SIM卡劫持的危害降到最低。

本文編輯：張哲

關(guān)注泡泡網(wǎng)，暢享科技生活。