移动互联网时代,我们几乎是“生活在手机上”,每一天,登陆各种APP、使用任何互联网服务的时间,几乎占用了我们生活的大量时间。而验证码,则是和我们“天天见”。
如今正悄然流行的“免密认证”技术,其最大的作用正是在于取代“手机验证码”。
当然,有很多对于使用体验不那么敏感的用户反而觉得,收发验证码的时间对于他们而言,无足轻重。同时,验证码于他们而言,更多意义上而言是一种提醒——提醒自己账户情况有变动。
实际上,验证码也就仅剩下提醒这一个比较实用的功能,更多情况下,验证码带来的不是安全,而是风险。
发生在身边的案例
媒体的报道中,关于手机安全的案例比比皆是:又是谁的信用卡被盗刷了,谁的支付宝账户被黑了……
那么到底是怎么一回事?我们不妨看看两个身边的例子:
在网上盗刷案件中,诈骗分子冒充电商平台客服人员,以“订单出现异常需退款”发短信,或是虚拟银行客服号码发送“积分兑换”“网上银行升级”等短信,诱骗受害者点击木马链接或登录钓鱼网站,获取受害者身份证号、银行账号、密码、验证码等信息,窃取其账户存款。
2015 年 7 月,犯罪分子利用重庆三峡银行研发的在线支付平台“三峡付”,3 天之内窃取 43 名客户逾百万元银行卡资金。犯罪分子先向受害者手机发送含有木马病毒的短信,受害者点击短信后,犯罪分子就能获取手机内的全部信息并拦截其后该手机收到的任何短信。犯罪分子从这些信息中筛选出开户人姓名、身份证号码、银行卡号、开户银行预留手机号等信息,并利用这些信息注册“三峡付”电子账户,将受害者银行卡与“三峡付”账户绑定。
这些诈骗作案的共同特点就是“窃取用户验证码”。一种是通过花言巧语的方式骗取用户验证码,经过公安同志和各大电商平台的不断提醒,大家对于这种方式的戒备心还是比较高的;另外一种方式,是通过所谓的“木马”,截取用户短信记录的方式获取用户信息,警惕性不高的用户容易上当。
另外还有一种比较不容易防范的方式,尤其是在 Android 手机上,一些的应用会“尝试获得读取短信”的权限,很多时候,用户为了贪图一时输入验证码的方便,也不管是什么应用都会“放权”。有时候,甚至是一些不安全开放式 Wi-Fi 也暗含着窃取用户账户的短信验证码的风险。
实际上,对于那些足够谨慎的用户而言,验证码的安全性确实很高,但人总会有“百密一疏”的时候。尤其是对于老人和小孩儿而言,他们对于一些手机权限并不了解,更容易成为诈骗分子的“刀俎”。
没有验证码,账户就安全了?
据公安部经侦局相关负责人介绍,2016 年上半年,全国立案查处窃取、收买、非法提供银行卡信息犯罪案件 177 起,同比上升 4.5 倍。银行卡信息泄露方式从以往的改装POS机、ATM机窃取数据和密码等,发展为利用黑客技术或伪基站等批量盗取方式。同时,有些用户习惯使用同样的密码,往往不法分子还能通过撞库的方式窃取到此用户的其他账户资料。
显然传统密码这种方式应对这一方面的攻击显得尤为脆弱——因为任何一种认证方式都算是弱认证,必须独立使用两种甚至三种才算是强认证,然而,开启二次验证的用户更是少之又少。 二次验证的最主要问题在于其繁琐性,而这正是免密认证的优势所在。电信的免密认证可以精确识别当前用户的手机号码,一键验证通过,省去了短信验证码的繁琐流程,避免了被劫取的风险,毫无疑问,我们登陆各种应用的方式会变得简单而安全——我们仅需点击“允许应用获取手机号码”,一键认证即可。
比如,在异地取款和消费的时候,银行不仅需要向中国电信核实用户的所在地,还需要用户登录认证应用进行手动的“一键认证”。这样就极大地降低信用卡或借记卡被盗刷的风险。
同时,接入了“天翼免密认证”服务的服务提供商必然会经过中国电信方面的审核,意味着其在安全性上面有认证。
如果我要销号……
现在对于大多数人而言,一台手机的价值或许还比不上手机里的手机号。手机号码上面绑定了大量的用户账号,在移动互联网时代,手机号就相当于我们的另一个身份证号。
如果要更换手机号,就需要大量的时间去解绑手机号码,这对用户,服务提供商和电信运营商而言,都是个大问题——用户不记得自己手机号关联了多少账户,服务提供商不知道用户是否销号,而运营商也不知道是否能“二次放号”。
在传统验证码的时代,用户更换手机号,忘记解绑,需要提供大量的资料去证明“我是我”,细致到“什么时候”注册账号这样的问题根本答不上来;服务提供商则需要花费大量的人力和时间去验证用户资料的真伪,以及和用户沟通反馈;至于运营商“二次放号”后,第二名用户则可能会接收到一些与自己无关的验证码。如果能有一个机制能打破这之间的信息不对称,那么问题就迎刃而解了。
“天翼免密认证”,就是一个平衡双方信息的桥梁。在免密认证机制中,中国电信扮演的是“信息库”的角色,服务提供商有权限要求它核实一些信息:比如用户入网时间是否早于某一具体的时间,当前用户是否在网等等。在这个过程中,服务提供商能确定当前手机号是否已经注销。
如果今后中国电信方面能进一步开放可供比对的权限,比如提供实名认证的比对。只要用户提供账户实名信息, 那么解绑注销号码的步骤将会极大地简化——用户向电信提供自身实名信息,中国电信做为信息库和平台,负责核实信息的正确与否;服务提供商全程不获取任何用户实名信息,从电信给出的回答中,确认申请解绑用户和手机号主人是否为同一人。
就目前而言,中国电信的“天翼免密认证”服务还处于推广阶段,其应用场景将来不仅仅局限于“替代验证码”这么简单。作为未来密码的潜在替代品,这项服务能够在很多领域发挥作用。(本文首发钛媒体)
快报
根据《网络安全法》实名制要求,请绑定手机号后发表评论
从认证登录的安全性方面来看,免密认证登录从技术上来说,是在安全性和快捷性的平衡中又取得了一个新的突破。就这点而言,这是电信运营商在移动互联网应用上的一次大胆尝试。但从应用场景来看,无非是从2B和2C两个方面来看:首先,2C方面,中国电信首先可以在自有的应用上大胆尝试,这种教育用户的成本是更低的。这取决于中国电信在众多的自有应用方面的落地决心和执行力;其次,2B方面,这是免密认证登录能否更广泛的得到应用的关键突破方向,毕竟单纯地靠电信的自有应用是不够的。而企业,尤其是本身已经有了自己成熟的账号体系的企业,为什么要用。或者在QQ号、微信号或者微博账号已经成为普遍使用的登录认证的情况下,为什么要使用免密登录。另外,运营商的手机号码实际上与微博、微信等这些都已经绑定,如果使用了手机号码的免密认证登录,是否能够实现原有微博等账号的信息的同步,如果不能,让用户在这些会员成长体系上重新打怪升级是不可能的。如果要同步,那么问题是这些应用服务提供商为什么要跟运营商共享这些核心数据?答案只有一个,电信运营商手上有这些应用服务商不具有的独特的能力。或者,电信运营商能够拿出包括流量资源在内的相关资源来互换,从而推动免密认证登录获得主流的互联网应用企业的支持。从目前已有的合作案例来看,今日头条是一个。后续,借助同一个品类的应用的竞争性关系突破是一个方向。归纳起来,核心还是,免密认证登录,除了更安全和快捷之外,合作企业为什么要去推,这个价值点要解决。期待中国电信接下来解决这个关键问题。
记得有一次登录扣扣的时候,是用验证码登录,然后发来一条短信说验证码在链接里面,我点开后,我的扣扣就被盗了,泪奔啊!
发文的渠道联系一下我,谢谢!
想放弃一个手机号是特别难的事,因为绑定了各种APP。不过现在天翼账号有了对于销户用户的解决方案就太好了,只要提供账户实名信息,电信就会核实账户的信息,如果确认了申请解绑用户和手机号主人是同一人, 就可实现绑定手机号的更换了。现在换手机号都不用愁了,挺好的。
当今短信验证是挺便利的,但是安全性也是可想而知的。看到文章中的案例,其实我们生活中的也有不少这样的事发生,发生在自己身上的也有,更希望说能不能在验证方式更方便一点,更安全性一点。最近看朋友在用免密登录,他说安全性高,快捷,还不用密码就能登录。天翼账号,189邮箱之类的都可以用。自己也尝试了下,确实是挺不错的。值的推荐给大家。不要让大家饱受短信验证的折磨了。
有一次用了个手机银行APP,想着要登录转个账,然后发了验证码一直收不到,最后才发现我银行卡的钱都没了,还好那张卡只有300块,但是我还是好心痛,300块够我吃两个星期了,就这么没了,我到现在才清楚原因,原来验证码被木马拦截了。
特别希望有越来越多的APP可以使用天翼账号免密登录,因为在一次偶然的情况下,我发现我的189邮箱居然可以免密登录,就一键按下去就登录,不用输入密码,然后就觉得不用输入密码这件事真好!
软广
风险什么的,大家都是一直这样过来的了,什么大风大浪没见过。关键是够方便就行,你讲的免密登录现在又不能登录到主流APP,不顶用啊大哥