丁家文(Gavin Ding)
Gavin Ding's personal site.

By: Gavin Ding | January 10, 2018

  互联网起源于美国,双因素验证(又称两步验证)也是源自于美国的科技公司,后逐渐被互联网站、金融机构等领域采用。国内的相关互联网站、金融机构等也纷纷跟进。


  双因素验证的通俗理解就是在原单要素验证(密码)的基础上增加一项验证要素,譬如USB 模块、短信等媒介,目的旨在提供额外的安全性。但是,任何要素的安全性都是相对的,甚至有的要素已经存在不安全性——短信验证。


  一、短信验证不安全性


  (一)国内方面。2016年4月13日,上海市信息安全行业协会会长谈剑峰在召开的“银行卡信息安全闭门会议”上表示,短信作为一种通信方式的固有属性,决定了其安全防护等级不高,易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。在2016年4月26日央视《东方时空》就报道了一起利用短信验证码攻破受害人财产的新闻。该新闻事件中,存在两个安全的问题,一是攻击者利用了电信企业的网厅短信验证漏洞发起攻击,从而骗取受害人的信任;二是攻击者利用支付机构平台的短信验证漏洞窃取受害人的资金。媒体报道后,工业和信息化部叫停了电信企业网厅自助换卡业务。此外,攻击者为何这么容易取得受害人的信任?试想一下,如果普通消费者分别被索要自己记忆的密码和明文字符的短信验证码,对索要的哪个因素更具有防范意识?很显然,普通消费者不会轻易透露只有自己记忆的密码。


  在2017年8月的 KCon 黑客大会上,网络安全专家、“黑客”Seeker曾做过演讲《伪基站高级利用技术——彻底攻破短信验证码》,他指出“短信验证码已完全不可信任”。


  (二)国际方面。曾在2012年,澳大利亚电信公司就宣称短信验证用于银行交易不安全。2017年6月,美国权威机构国家标准和技术研究院(NIST)在发布的“Special Publication 800-63:...

Category: 产品体验 

Tags: 手机, 短信, 安全