短信验证也有风险
2017-11-23
图1 爱加密技术总监程智力
记者:目前银行、电信、电商、游戏、社交等各行业应用,都大量采用了通过手机短信进行身份的安全验证。而针对移动短信验证码认证的攻击越来越频繁,短信验证码现在面临哪些安全问题?攻击方式有哪些?有什么表现?
智力:冒名挂失、意外丢失、手机被盗、乘用户不备拿起用户的手机接收短信、不安全的网络环境、恶意应用程序、支付应用漏洞等支付风险、遭遇诈骗等都是不安全因素。
目前移动支付中普遍使用的“账号密码+短信”的认证体系,但由于短信验证码可以进行快捷支付,甚至修改密码,一旦手机遇到带有短信拦截功能的木马或者黑客攻击,可能出现动态验证码被拦截的情况。
记者:“爱加密”在解决移动短信验证码安全问题的思路是什么?利用了哪些技术手段?
智力:爱加密的短信防劫持解决方案提供“终端验证+语音验证”的双验证体系。
主要服务端将用户账号与用户手机号、手机终端进行绑定授权,当APP被触发动态码验证时,通过设备授权检测判断该设备是否为绑定设备,并自动开始验证用户终端和用户账号信息是否一致。如一致,则继续短信形式验证动态码;否则将会以语音电话形式验证动态码。最后,爱加密服务端判断发来短信验证码的手机是否是最近绑定过的手机。
记者:“爱加密”在短信验证码安全方面现在有没有正在研发的新技术?技术方面有没有什么难题?
智力:目前技术上没有什么难题,爱加密在设计这套解决方案的时候考虑到了对于老年群体(或听力不好的伤残人士),语音验证操作不易被接受。所以针对这类人群,已经研究了对应的解决办法。
记者:短信验证码既然现在暴露的漏洞这么多,未来是否会被其他身份认证方式所取代?
智力:短信验证码短时间内还不太可能被取代, 短信验证码会使用到大部分APP的身份识别与验证上,也是很多APP的最后一道安全防线,从它的安全定义上来讲关系到体验、稳定性、性能、效果、价格 ,优势非常突出。语音验证码正慢慢兴起,它具备短信验证码所有的优势,并且价格可能更低,在安全上不存在类似短信验证码很容易被拦截、转发的问题。