簡訊驗證碼不安全 隱患超乎想像

不知道什麼時候開始，手機號碼成為註冊各種賬號的必要信息，簡訊驗證碼已經成為各種敏感操作的驗證方法。每個人都知道，只要您告訴別人驗證碼，您的帳戶安全性就會得到保證。畢竟手機是在自己手中，小偷不能來搶我的手機吧？但情況並非如此。 SMS驗證碼的安全風險遠大於預期，因此放棄SMS驗證碼是遲早的事。

簡訊驗證碼許可權非常高

目前，SMS驗證碼已廣泛用於社交媒體。、網站、論壇、遊戲、銀行和醫療平台。 SMS驗證碼可以幫助用戶更改密碼、以修改敏感操作，例如綁定郵箱。 SMS驗證碼還允許用戶直接登錄而不會丟失帳戶密碼。因此，SMS驗證碼的許可權非常大，一旦被犯罪分子使用，其後果是不可想像的。

簡訊驗證碼的頭號天敵：SIM卡劫持

SIM卡劫持可以通過多種方式實現（例如SIM卡克隆），這種技術可以完全控制您的手機號碼。可怕的是，這項技能的學習門檻和實施難度不高。更多低級SIM卡劫持方法甚至可以在互聯網上找到教程。方法越先進，需要的「原材料」就越少。在2017年的黑帽大會上，有演示了如何在不到一分鐘的時間內用一個手機號碼劫持SIM卡。

SIM卡被劫持後，您的手機將立即脫離網路。此時，犯罪分子可以根據自己的意願使用您的手機號碼。例如，竊取您的隱私，欺詐親戚和朋友，或通過簡訊驗證碼竊取您的社交媒體帳戶和資金。從收集的數十個國內外案例中。犯罪分子需要大約15分鐘就能獲得對SIM卡的控制權並從銀行竊取資金。換句話說，一旦被劫持，等您接通銀行客戶服務，這筆錢很可能已經被盜。

更安全的身份驗證：基於APP的兩步驗證

SMS驗證碼一直是使用最廣泛的兩步驗證方法。但是，如上所述，SMS驗證碼中存在許多安全風險。因此，銀行業長期以來一直使用動態密碼卡（如網上銀行U盾）。——類似於USB快閃記憶體驅動器的設備，顯示動態驗證碼。但是如果你想使用動態密碼卡，你必須攜帶它，方便性不好。因此，現在許多平台已啟用依賴於移動應用程序的兩步驗證，這相當於將動態密碼卡集成到手機中。

使用手機兩步驗證應用時，用戶需要先安裝並設置應用，包括綁定到需要驗證的帳戶。綁定完成後登錄這些帳戶，兩步驗證應用程序將推送動態驗證碼。用戶必須在登錄屏幕上輸入驗證碼才能完成登錄。當然，兩步驗證APP不僅可以用於登錄，還可以用於驗證其他敏感操作。

大多數2步驗證APP基於TOTP機制，不需要任何網路連接（包括Wi-Fi），也不需要SMS和SIM卡。驗證碼在手機上本地生成。所以APP兩步驗證幾乎不受SIM卡劫持的影響。為什麼差不多？這是因為當您第一次安裝兩步驗證應用程序時，用戶需要通過SMS驗證一些初始設置。只要確保此時SIM卡未被劫持就是安全的。另外，必須說兩步驗證APP只是繞過了SMS驗證碼，並沒有解決SIM卡劫持的根本問題。換句話說，您的SIM卡也可能被劫持。但是，犯罪分子無法通過您的SIM卡威脅您的網路和財產安全。

兩步驗證APP的類型

兩步驗證APP主要分為兩類：「專屬類」和「公開類」。專屬類僅指支持登錄獨家APP的帳戶的兩步驗證，例如新浪微盾。 公開類是一個純粹的兩步驗證應用程序，支持綁定到第三方應用程序。這樣的應用程序可以成為許多帳戶的驗證器，例如Authy 2-Factor Authentication。

在過去的兩年中，許多高質量的開放式兩步驗證APP在國外都很受歡迎。主要是因為他們支持許多熱門賬號，包括主流社交媒體、遊戲、銀行、教育和醫療平台。國內兩步驗證APP基本上是一個獨家類。通過這種方式，每個帳戶都需要安裝一個單獨的應用程序，因此很少有人會如此麻煩的操作。

結論

基於TOTP機制的2步驗證APP具有比SMS驗證碼更高的安全性和可比性。它是一種可以保護用戶財產安全的工具，值得推廣。希望在有一家大型可靠的公司推出一個開放式的兩步驗證APP，允許用戶綁定各種第三方帳戶並放棄簡訊驗證碼。這樣，可以最大限度地減少SIM卡劫持的危害。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！