丁家文(Gavin Ding)
Gavin Ding's personal site.

By: Gavin Ding | January 10, 2018

  互联网起源于美国,双因素验证(又称两步验证)也是源自于美国的科技公司,后逐渐被互联网站、金融机构等领域采用。国内的相关互联网站、金融机构等也纷纷跟进。


  双因素验证的通俗理解就是在原单要素验证(密码)的基础上增加一项验证要素,譬如USB 模块、短信等媒介,目的旨在提供额外的安全性。但是,任何要素的安全性都是相对的,甚至有的要素已经存在不安全性——短信验证。


  一、短信验证不安全性


  (一)国内方面。2016年4月13日,上海市信息安全行业协会会长谈剑峰在召开的“银行卡信息安全闭门会议”上表示,短信作为一种通信方式的固有属性,决定了其安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。在2016年4月26日央视《东方时空》就报道了一起利用短信验证码攻破受害人财产的新闻。该新闻事件中,存在两个安全的问题,一是攻击者利用了电信企业的网厅短信验证漏洞发起攻击,从而骗取受害人的信任;二是攻击者利用支付机构平台的短信验证漏洞窃取受害人的资金。媒体报道后,工业和信息化部叫停了电信企业网厅自助换卡业务。此外,攻击者为何这么容易取得受害人的信任?试想一下,如果普通消费者分别被索要自己记忆的密码和明文字符的短信验证码,对索要的哪个因素更具有防范意识?很显然,普通消费者不会轻易透露只有自己记忆的密码。


  在2017年8月的 KCon 黑客大会上,网络安全专家、“黑客”Seeker曾做过演讲《伪基站高级利用技术——彻底攻破短信验证码》,他指出“短信验证码已完全不可信任”。


  (二)国际方面。曾在2012年,澳大利亚电信公司就宣称短信验证用于银行交易不安全。2017年6月,美国权威机构国家标准和技术研究院(NIST)在发布的“Special Publication 800-63: Digital Identity Guidelines”(特别出版物800-63:数字身份指南)中指出,利用公共交换电话网(包括基于电话和短信)的双因素验证受到限制,其存在安全威胁,包括设备交换、SIM 卡更换或其他异常行为等风险。专家表示,虽然 NIST 指导方针可能主要针对美国联邦政府内使用,但往往会有更广阔的覆盖范围。“美国政府的加密模块安全标准可能是最好的例子,相应ISO标准以及其他国家相应标准基本上都只是 NIST 标准的复制或者翻译,”专家称,NIST 标准通常是“整个世界的事实标准”。


  NIST 的成功经验集中体现在整合资源等方面,也为我国标准化事业和标准化科研的改革、发展提供了参考。根据国家标准委提出的全面跟踪、重点突破的指导思想,我国应加大力度学习和借鉴 NIST 的经验。


  二、安全措施的建议


  通过 TLS 认证实现 HTTPS 加密是目前国际公认最基础、最可靠的数据传输安全解决方案。国际上的电信公司网上服务平台普遍都采取了数据加密通道保护措施。此外,密码策略等措施也能提高网络安全防护能力。


  【延伸】包括苹果(Apple)、谷歌(Google)、微软(Microsoft)等在内的互联网公司,无一强制用户使用双因素验证的做法,都遵循用户自愿开启的原则。也无任何事实能够证明像 AT&T、Verizon、T-Mobile 和 Telstra 等国际电信公司的网上服务门户平台是依赖于短信的双因素验证作为安全强制措施的。由此可见,额外的双因素验证是一项推荐性的机制,具有可选性特点。然而,中国的三家基础电信企业违反国家的规定,将短信验证视为“绝对安全”强制措施,限定用户使用短信做双因素验证的行为显然不合规,也无任何法律法规依据并缺乏国家强制性标准根据。可以确切说是一种“霸王条款”的做法。本人启动了一项“消灭短信验证行动计划”,期待更多的用户参与进来。

Category: 产品体验 

Tags: 手机, 短信, 安全