免费看在线a黄视频|99爽99操日韩毛片儿|91停婷在线无码观看|日韩三级片小视频|一级黄片免费播放|欧美成人视频网站导航|亚洲日韩欧美七区|国产视频在线观看91|人成视频免费在线播放|国产精品成人在线免费观看

短信驗(yàn)證碼已成為驗(yàn)證身份，保護(hù)我們交易及財(cái)產(chǎn)安全的最常用的方法，它安全嗎？

首先談?wù)劧绦膨?yàn)證碼的安全性從何而來。

通常，身份認(rèn)證有三個(gè)要素：

所知：what you know，你知道的，比如密碼，安保問題

所有：what you have ，你持有的，比如手機(jī)校驗(yàn)碼，U盾

所是：who you are，你固有的，比如指紋，人臉

由于獲取、偽造的難度不同，一般認(rèn)為第一類的安全性比第二類差，第二類又比第三類差。短信驗(yàn)證碼就是屬于第二種，這個(gè)有點(diǎn)顛覆認(rèn)知吧，短信驗(yàn)證碼的安全級(jí)別竟然比密碼還要高？

然而，需要明確的是，如果只有其中一種都算是弱認(rèn)證，必須獨(dú)立使用兩種甚至三種才算是強(qiáng)認(rèn)證。

這三種認(rèn)證存在的問題：

所知：容易被遺忘，猜取以及普遍存在的信息泄露導(dǎo)致的碰撞

所有：容易被釣魚，木馬獲取，丟失

所是：認(rèn)證成本過高，本體可能受到攻擊或者偽造

對(duì)于短信驗(yàn)證碼而言，既然是屬于第二種所有范疇，那么面臨的威脅主要就是下面幾個(gè)了：

1）短信木馬：木馬在后臺(tái)可以輕易竊取驗(yàn)證碼并轉(zhuǎn)發(fā)給不法分子，實(shí)現(xiàn)對(duì)受害者的賬

號(hào)重置。這類木馬編寫簡(jiǎn)單，已經(jīng)形成了非常完整的產(chǎn)業(yè)鏈：從制馬人員到售馬、租馬，到實(shí)施釣魚、欺騙、洗號(hào)、轉(zhuǎn)移錢財(cái)。

對(duì)于一個(gè)安裝了支付類App的智能手機(jī)且綁定賬戶的SIM卡也安裝在同一個(gè)手機(jī)的情況（絕大部分情況下是這樣），短信驗(yàn)證事實(shí)上已經(jīng)退化成了單因子驗(yàn)證，只要智能手機(jī)被安裝了木馬那么這些驗(yàn)證體系就會(huì)全線崩潰。

2）釣魚監(jiān)聽：這里主要包括GSM、wifi，包括監(jiān)聽空中短信，直接獲取短信內(nèi)容，攻擊者可以根據(jù)釣魚wifi全部搞定登陸密碼、支付密碼和短信驗(yàn)證。 但這個(gè)玩法成本和范圍有限制。

3）補(bǔ)卡、克隆攻擊：那么如果能辦一張和受害者相同的手機(jī)號(hào)（卡），自然就能貍貓換太子，接受受害者的驗(yàn)證碼，重置各種賬號(hào)。這里的薄弱環(huán)節(jié)就在運(yùn)營(yíng)商，部分地區(qū)的運(yùn)營(yíng)商對(duì)補(bǔ)卡人員身份驗(yàn)證不嚴(yán)導(dǎo)致出現(xiàn)了補(bǔ)卡攻擊。

上述幾種威脅，第三種已經(jīng)隨著運(yùn)營(yíng)商的規(guī)范管理，卡技術(shù)進(jìn)步，逐步得到解決，然而1、2反而出現(xiàn)了越演越烈的趨勢(shì)。

雖然短信驗(yàn)證碼存在諸多問題，但是，當(dāng)下綜合看起來是最優(yōu)的選擇方法，優(yōu)勢(shì)在于不需要額外設(shè)備，用戶廣泛擁有，校驗(yàn)成本極低，最容易實(shí)現(xiàn)，也基本靠譜（屬于所有范疇）。

然而！有更好的方法嗎？

運(yùn)營(yíng)商提出的手機(jī)號(hào)快捷認(rèn)證是什么？

眾所周知，電信運(yùn)營(yíng)商作為手機(jī)號(hào)碼的運(yùn)營(yíng)方，依托其數(shù)據(jù)網(wǎng)絡(luò)和手機(jī)卡，是可以準(zhǔn)確識(shí)別用戶手機(jī)號(hào)碼的，目前三大運(yùn)營(yíng)商均開展了通過手機(jī)號(hào)快捷認(rèn)證的業(yè)務(wù)。

電信運(yùn)營(yíng)商提出的手機(jī)號(hào)快捷認(rèn)證的使用場(chǎng)景是什么呢，筆者在常用的今日頭條、航旅縱橫以及189郵箱上進(jìn)行了測(cè)試使用。

如上圖所示，應(yīng)用通過運(yùn)營(yíng)商的數(shù)據(jù)網(wǎng)絡(luò)取到了用戶手機(jī)號(hào)，無需再做一次短信驗(yàn)證碼的確認(rèn)，一鍵登錄，減少了頁面交互和用戶輸入環(huán)節(jié)，非常快捷。該能力支持電信、移動(dòng)、聯(lián)通三網(wǎng)手機(jī)，基本覆蓋所有手機(jī)用戶。

然而，安全性方面呢？

其實(shí)手機(jī)號(hào)快捷認(rèn)證和之前提到的短信驗(yàn)證碼事實(shí)上都是基于手機(jī)號(hào)（SIM卡/運(yùn)營(yíng)商服務(wù)），確認(rèn)此時(shí)此刻手機(jī)號(hào)碼是在用戶手中的，兩者其實(shí)都是基于以下幾點(diǎn)預(yù)設(shè)：

1）認(rèn)為用戶的手機(jī)卡是不會(huì)輕易丟失和被竊取的，和用戶綁定更緊密（相對(duì)于各種脫庫(kù)事件，密碼泄露的概率還是比丟手機(jī)的概率大多了，況且丟了手機(jī)可以立即去運(yùn)營(yíng)商掛失補(bǔ)卡，密碼泄露了就是泄露了）

2）認(rèn)為有手機(jī)號(hào)可以做二次驗(yàn)證的用戶是真實(shí)用戶（所以手機(jī)驗(yàn)證碼通常也會(huì)在要求比較高的場(chǎng)合被用來作反垃圾注冊(cè)）

3）認(rèn)為運(yùn)營(yíng)商維護(hù)的通訊信道比其他的都更安全

以上的幾點(diǎn)預(yù)設(shè)，基本是靠譜的，然而短信驗(yàn)證碼存在的短信木馬和釣魚監(jiān)聽等問題，在運(yùn)營(yíng)商的手機(jī)號(hào)快捷認(rèn)證這里得到了解決：

1、短信木馬：無驗(yàn)證碼，也就不存在被木馬獲取泄露風(fēng)險(xiǎn)

2、釣魚監(jiān)聽：網(wǎng)絡(luò)側(cè)通過數(shù)據(jù)計(jì)費(fèi)網(wǎng)絡(luò)獲取的手機(jī)號(hào)，電信內(nèi)網(wǎng)的安全性還是較為靠譜的。

因此，電信運(yùn)營(yíng)商推出的手機(jī)號(hào)快捷認(rèn)證解決了短信驗(yàn)證碼最頭疼的安全問題，優(yōu)于短信驗(yàn)證碼。

最重要的問題來了：手機(jī)丟了怎么辦？

相信諸多用戶和我的擔(dān)憂是一樣的，如果手機(jī)丟了怎么辦？這也是所有（你持有的what you have ）身份驗(yàn)證面臨的問題。

不幸的是，所謂的運(yùn)營(yíng)商的手機(jī)快捷認(rèn)證，和短信驗(yàn)證碼一樣，都無法解決這個(gè)問題。

兩者都是確認(rèn)手機(jī)號(hào)碼此時(shí)是登錄應(yīng)用的人手中，既然手機(jī)已經(jīng)易主了，新主人（姑且就善意的認(rèn)為是新主人吧）通過手機(jī)號(hào)快捷認(rèn)證和短信驗(yàn)證碼都可以輕松進(jìn)入舊主人的應(yīng)用中，兩種驗(yàn)證手段，都無法解決這個(gè)問題。

然而，從另外一個(gè)角度分析，其實(shí)...

丟手機(jī)和丟賬戶沒有必然聯(lián)系，丟手機(jī)沒有丟賬號(hào)那么可怕。

首先，大部分網(wǎng)站支持手機(jī)解綁，只要你在手機(jī)丟失的時(shí)候想起來注冊(cè)了哪些涉及資金的賬戶就可以（愿意及時(shí)補(bǔ)辦手機(jī)卡的話甚至不需要去解綁）。

其次，也是最重要的一點(diǎn)，竊取賬戶和竊取手機(jī)（有時(shí)候不一定是竊，可能只是不小心遺失了）的人未必重合，可能只是兩個(gè)完全獨(dú)立的事件而已。當(dāng)然，如果是偷手機(jī)的人通過翻查你的手機(jī)來獲取信息再進(jìn)行賬號(hào)竊取就另當(dāng)別論，但這種情況首先就要靠自己手機(jī)密碼，應(yīng)用軟件密碼，指紋人臉、異地登陸等確認(rèn)手段來保障安全性了。

另外筆者并不認(rèn)為手機(jī)（卡）被盜是對(duì)快捷認(rèn)證的主要威脅，現(xiàn)在人們對(duì)于手機(jī)的依賴性太強(qiáng)烈，片刻時(shí)間不看看手機(jī)都不踏實(shí)，對(duì)手機(jī)被盜是會(huì)有立即感知的，只是剛開始不肯接受這個(gè)現(xiàn)實(shí)，經(jīng)過一番尋找后才能確認(rèn)丟失，已經(jīng)過了一段時(shí)間了。最后，經(jīng)過了解，各運(yùn)營(yíng)商提供都提供24小時(shí)手機(jī)掛失服務(wù)，趕緊掛失吧。

反而各種短信木馬、GSM監(jiān)聽，小白用戶基本無識(shí)別和防御的能力，這些安全問題給用戶帶來的損失，遠(yuǎn)遠(yuǎn)超過手機(jī)丟失的帶來的損失。

運(yùn)營(yíng)商的快捷認(rèn)證還有那些優(yōu)勢(shì)

經(jīng)過最近幾年移動(dòng)產(chǎn)品設(shè)計(jì)的發(fā)展，無障礙的用戶體驗(yàn)已經(jīng)變?yōu)槊恳粋€(gè)產(chǎn)品經(jīng)理必須注重的問題。相對(duì)于手機(jī)號(hào)+驗(yàn)證碼，運(yùn)營(yíng)商的手機(jī)號(hào)快捷認(rèn)證更方便，更無障礙。

據(jù)了解，通過中國(guó)電信天翼賬號(hào)提供的的手機(jī)號(hào)快捷登錄應(yīng)用，天翼賬號(hào)還可以提供用戶的其他信息，如用戶的頭像、昵稱和其他信用信息，合作的互聯(lián)網(wǎng)公司更容易拿到真實(shí)的用戶數(shù)據(jù)。

總結(jié)來看，運(yùn)營(yíng)商的快捷認(rèn)證比短信驗(yàn)證碼更加安全，用戶體驗(yàn)更進(jìn)一步，數(shù)據(jù)更加真實(shí)。

手機(jī)號(hào)快捷認(rèn)證作為一種新興的認(rèn)證方式，已經(jīng)嶄露頭角，前景廣闊。然而目前使用的應(yīng)用均以運(yùn)營(yíng)商自己的應(yīng)用居多，大家見慣了各個(gè)運(yùn)營(yíng)商各自為政，互相拆臺(tái)，三方能否聯(lián)合一心，共同推進(jìn)快捷認(rèn)證的發(fā)展，還需要時(shí)間來驗(yàn)證。

最后說一句，無論哪一種驗(yàn)證方式，都沒有絕對(duì)的安全，只有可承受的風(fēng)險(xiǎn)。因此請(qǐng)大家不要糾結(jié)，只要細(xì)心管理自己的賬戶，被盜的概率是非常低的。（本文首發(fā)鈦媒體）