隨著移動互聯(lián)網的蓬勃發(fā)展,衍生出來眾多行業(yè),也讓原本功能單一的手機號做出極大的改變。
目前,每個人的手機號都綁定了或多或少的各種賬號,手機綁定的東西越來越多,涉及到的重要的東西也越來越多,例如像銀行卡綁定手機號、注冊使用支付寶、購買金融理財產品等等涉及到資金安全的行為。
目前的手機綁定最主要還是通過短信驗證碼來證明自己的身份,驗證方式簡單便捷。然而,人們在享受這份簡單便捷的驗證方式時,不由也為短信驗證碼來驗證身份信息的方式產生了不信任感。
那么手機短信驗證碼真的安全嗎?
利用短信驗證身份之所以瘋長,無外乎通過短信進行二次驗證是成本最低,最簡單便捷的驗證方式。然而,由于智能機普及,手機系統(tǒng)的漏洞也在增長,各類木馬的存在,也導致短信驗證身份的安全性出現(xiàn)問題。
當前,短信驗證用戶受到最大的威脅就是來自于智能平臺上的短信木馬。這類短信木馬通過發(fā)送短連接短信,讓用戶在不知情的情況下下載安裝木馬,當木馬安裝在手機之內就會將用戶的涉及財產的應用賬號密碼重置,并攔截短信驗證碼,實現(xiàn)重置用戶的賬號。這是用戶方面在短信驗證安全受到的威脅,只而像這類的木馬由于編寫簡單,也早已形成一個非常完整的產業(yè)鏈:
制作木馬 → 出售木馬 → 租用木馬 → 進行釣魚詐騙 → 成功后進行洗號 → 轉移財產
這是一個位于地下的龐大產業(yè)鏈,又因其又衍生一系列的盜刷等等行業(yè)。
此外,短信驗證碼也能通過無線電被監(jiān)聽,簡單來說就是通過偽基站對用戶手機進行監(jiān)聽,但是受范圍的限制。
這樣的方式通過監(jiān)聽空中短信,也包括GSM監(jiān)聽,獲得短信內容然后進行盜竊活動,雖然有一定的距離限制,但是可以與短信木馬相輔相成,又能單獨作案,這樣的方法沒有太好的解決方案,只能等GSM退出歷史舞臺。
難道真的就沒有其他方式來解決、甚至提單短信驗證碼的不安全問題嗎?
中國電信已經開始推出了“免密認證”的業(yè)務——即依托電信運營商的移動數(shù)據(jù)網絡,采用“通信網關取號”及 SIM 卡識別等技術。用戶僅需要允許服務商應用獲取本機手機號碼,并通過運營商網絡上傳,即可完成用戶身份校驗。
這種只有運營商才能提供的差異化認證服務,只能是運營商獨有的,原理是他們掌握著全部手機號用戶的實名身份信息?;ヂ?lián)網服務提供商只需要把他們請求校驗的需求反饋給運營商,運營商將判斷結果反饋回服務提供商,即可完成校驗。
這個過程中不僅省去用戶獲取驗證碼,輸入驗證碼的過程,甚至能讓用戶直接拋棄密碼。而對于服務提供商而言,他們節(jié)省的不僅僅是發(fā)送短信費用,提升了用戶體驗,保障用戶賬戶安全,由于登錄過程的簡化,還能提升訪客注冊/登錄轉化率。
而且現(xiàn)在很多用戶在更換手機號碼的時候,都會有類似很多顧慮,比如,告知他人自己更換手機號碼并不是一件難事,真正的困難在于舊手機號碼背后綁定的一系列服務——這些都需要解綁,更換,再次綁定,尤其是對于那些注冊了上百種服務的重度互聯(lián)網用戶而言。
而電信推出的免密認證則讓這一切麻煩都能迎刃而解。試想一下這樣一個場景:你將自己過去的手機號注銷了,在那之前卻沒解綁這個手機號對應的應用賬號。在這種情況下,你需要通過填寫和上傳各種材料和申訴完成賬號的找回和解綁。
有了免密認證之后,應用在經用戶授權獲取手機號碼之后,經過移動數(shù)據(jù)上傳手機號碼給運營商,運營商只需要反饋當前設備中手機號碼與綁定應用賬號的號碼是否一致、當前設備中手機號入網時間是否晚于應用綁定手機號的時間、當前應用賬號綁定的手機號是否有過注銷的記錄等......這樣一來,你就無需再次通過繁雜的步驟,即可將應用與已注銷的手機號解綁,填寫綁定的新號碼。
同時,免密認證還能為服務提供商做風險控制之用。對于服務提供商而言,用戶的每一次異地登錄都意味著有潛在的風險,尤其是像銀行這類的金融服務。當用戶將銀行卡插入 ATM 機的那一刻,銀行方面會向電信運營商詢問:用戶當前是否不在北京(常駐城市),而在廣州(異地)?電信運營商會通過用戶的漫游情況將這個判斷反饋給銀行,從而使銀行能解除這次異地取款的“警報”。這一過程,無需用戶任何操作,銀行即可完成用戶身份的校驗,用戶甚至都不會收到異地登錄取款的提醒。
總而言之,免密認證的方式能減少許多身份校驗帶來的麻煩,提升用戶賬戶的安全性,能夠為開發(fā)者在身份認證上提供更多樣的選擇,同時又能帶來更高的便捷性、安全性。
“免密認證”很有可能在身份認證領域發(fā)揮重要的作用,成為后移動互聯(lián)網時代在用戶身份認證上的一個
“殺手锏”!