admin管理员组文章数量:1535133
2024年3月25日发(作者:)
短信验证码登录安全吗?免密认证能解决短信验证码的问题吗?
短信验证码登录已经成为保护我们交易和财产安全最常见的方式,但是有人还是会问
它安全吗?到此,我们要先明确一点,短信验证码的安全性是相对而言,不是绝对的,但是
短信有一个好处就是可以对注册用户的手机号码信息进行收集。
首先,我们来谈谈短信验证码的安全性。身份认证有三个要素,分别是:所知:
whatyouknow,你知道的,比如密码,安保问题;所有:whatyouhave,你持有的,比如
手机校验码,U盾;所是:whoyouare,你固有的,比如指纹,瞳孔。
因为获取/伪造的难度不同,安全排序一般由低到高依次为第一类<第二类<第三类。
不过,天一泓国际短信平台提醒,这三种类型的单独出现都算弱认证,只有同时使用两种
甚至三种类型才算强认证。由于他们各有各的问题,如所知,容易被遗忘、猜测和信息泄
露所造成的碰撞;所有,容易被钓鱼、丢失;而所是,认证成本太高,本体也容易受到攻击。
另外,短信验证码登录的主要威胁主要有三个方面:
短信木马:木马可以在后台轻松窃取验证码并转发给犯罪分子,从而重置受害者的账
户。这种木马简单,形成了非常完整的产业链:从制马人到卖马、租马,再到钓鱼、欺骗、
洗号、转钱。
无线监控:主要包括GSM和wifi,包括监控空中短信,直接获取短信内容。攻击者可
以根据钓鱼wifi完成登录密码、支付密码和短信验证。但是这个玩法的成本和范围有限,
范围很小。
补卡攻击和克隆攻击:如果能做一个和受害者一样的手机号(卡),狸猫自然可以换太子,
接受受害者的验证码,重置各种账号。这里的弱点在于运营商,部分地区运营商对补卡人
员身份验证不严格,导致补卡攻击。
以上三种威胁,3已经随着运营商的规范管理,卡技术的进步,逐渐得到解决,但1、
2反而出现了越来越激烈的趋势。
虽然短信验证码登录有很多问题,但现在似乎是最好的选择。优点是不需要额外的设
备,用户广泛拥有,验证成本极低,最容易实现,基本可靠(属于所有类别)。
所以,有没有比短信验证码登录更好的方法?回答是肯定的。大家都知道,电信运营商
作为手机号码的运营商,依靠其数据网络和手机卡,可以准确地识别用户的手机号码。现
在,有运营商已经利用这一能力进行了免密认证。利用运营商的数据网络获取用户的手机
号码,不需要再次确认短信验证码,页面交互减少,也减少了用户的输入环节,非常快捷。
免密认证的安全性如何?
事实上,免密认证和之前提到的短信验证码登录实际上都是基于手机号码(SIM卡/运
营商服务),确认此时手机号码在用户手中,两者实际上都是基于以下几点预设:
认为用户的手机卡不容易丢失或被盗,与用户的联系更加紧密(与各种脱库事件相比,
密码泄露的概率比丢失手机的概率高得多,丢失手机后可以立即向运营商丢失卡,密码泄
露是泄露)。
认为有手机号码可以进行二次验证的用户是真正的用户(因此,手机验证码通常在要求
版权声明:本文标题:短信验证码登录安全吗 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1711353205a305440.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论