短信验证码已成为验证身份,保护我们交易及财产安全的最常用的方法,它安全吗?
首先谈谈短信平台www.yuexin.cn的安全性从何而来。
通常,身份认证有三个要素:
所知:what you know,你知道的,比如密码,安保问题
所有:what you have ,你持有的,比如手机校验码,U盾
所是:who you are,你固有的,比如指纹,人脸
由于获取、伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差。短信验证码就是属于第二种,这个有点颠覆认知吧,短信验证码的安全级别竟然比密码还要高?
然而,需要明确的是,如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证。
这三种认证存在的问题:
所知:容易被遗忘,猜取以及普遍存在的信息泄露导致的碰撞
所有:容易被钓鱼,木马获取,丢失
所是:认证成本过高,本体可能受到攻击或者伪造
对于短信验证码而言,既然是属于第二种所有范畴,那么面临的威胁主要就是下面几个了:
1)短信木马:木马在后台可以轻易窃取验证码并转发给不法分子,实现对受害者的账号重置。这类木马编写简单,已经形成了非常完整的产业链:从制马人员到售马、租马,到实施钓鱼、欺骗、洗号、转移钱财。
对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样),短信验证事实上已经退化成了单因子验证,只要智能手机被安装了木马那么这些验证体系就会全线崩溃。
2)钓鱼监听:这里主要包括GSM、wifi,包括监听空中短信,直接获取短信内容,攻击者可以根据钓鱼wifi全部搞定登陆密码、支付密码和短信验证。 但这个玩法成本和范围有限制。
3)补卡、克隆攻击:那么如果能办一张和受害者相同的手机号(卡),自然就能狸猫换太子,接受受害者的验证码,重置各种账号。这里的薄弱环节就在运营商,部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。
上述几种威胁,第三种已经随着运营商的规范管理,卡技术进步,逐步得到解决,然而1、2反而出现了越演越烈的趋势。
通常,身份认证有三个要素:
所知:what you know,你知道的,比如密码,安保问题
所有:what you have ,你持有的,比如手机校验码,U盾
所是:who you are,你固有的,比如指纹,人脸
由于获取、伪造的难度不同,一般认为第一类的安全性比第二类差,第二类又比第三类差。短信验证码就是属于第二种,这个有点颠覆认知吧,短信验证码的安全级别竟然比密码还要高?
然而,需要明确的是,如果只有其中一种都算是弱认证,必须独立使用两种甚至三种才算是强认证。
这三种认证存在的问题:
所知:容易被遗忘,猜取以及普遍存在的信息泄露导致的碰撞
所有:容易被钓鱼,木马获取,丢失
所是:认证成本过高,本体可能受到攻击或者伪造
对于短信验证码而言,既然是属于第二种所有范畴,那么面临的威胁主要就是下面几个了:
1)短信木马:木马在后台可以轻易窃取验证码并转发给不法分子,实现对受害者的账号重置。这类木马编写简单,已经形成了非常完整的产业链:从制马人员到售马、租马,到实施钓鱼、欺骗、洗号、转移钱财。
对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况(绝大部分情况下是这样),短信验证事实上已经退化成了单因子验证,只要智能手机被安装了木马那么这些验证体系就会全线崩溃。
2)钓鱼监听:这里主要包括GSM、wifi,包括监听空中短信,直接获取短信内容,攻击者可以根据钓鱼wifi全部搞定登陆密码、支付密码和短信验证。 但这个玩法成本和范围有限制。
3)补卡、克隆攻击:那么如果能办一张和受害者相同的手机号(卡),自然就能狸猫换太子,接受受害者的验证码,重置各种账号。这里的薄弱环节就在运营商,部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。
上述几种威胁,第三种已经随着运营商的规范管理,卡技术进步,逐步得到解决,然而1、2反而出现了越演越烈的趋势。