簡訊認證
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
簡訊認證是指客戶在使用身份確認工具進行交易確認過程中,用手機簡訊配合驗證的一種交易確認方式。
簡訊認證之所以如此流行,主要在於其便捷性,用戶既不需要額外攜帶設備,也不必安裝任何軟體就能實現認證。儘管如此,隨著越來越多的網路攻擊者盯上簡訊認證的薄弱點,這一認證方式正逐漸暴露安全性的不足。簡訊認證只關心用戶是否有驗證碼,卻不管是誰在使用手機,一旦用戶的手機遺失則很容易發生身份盜用的情況。
儘管目前大量應用和網站在基於手機簡訊的身份認證,簡訊認證還是被美國國家標準與技術研究所(NIST)宣佈不安全:“基於簡訊的身份認證已經過時,在未來將被禁止使用”。
目前常見的攻擊手段主要有攔截簡訊木馬、補卡/克隆攻擊、無線電監聽以及其衍生出來的“降維攻擊”等。
攔截簡訊木馬的做法通常需要預先利用鏈接、二維碼、釣魚網站等或其他手段誘騙受害者將木馬程式下載並植入到自己的手機中,藉此監聽或轉發受害者的簡訊來重置對方的賬戶。由於這類木馬編寫十分簡單,所以已經形成了從製作到出售、出租、實施釣魚欺騙、洗號、轉移財務的完整地下產業鏈。
補卡/克隆攻擊則是基於手機SIM卡來實施的。攻擊者不需要通過受害者的手機設備,只需要辦一張和受害者相同的手機號碼,就能接收到受害者的簡訊驗證碼。這裡主要利用了運營商的管理漏洞,部分地區的運營商對補卡人員的身份沒有進行有效的驗證,以往一個隨意假造的證件和幾句蹩腳的說辭就能騙過工作人員成功補卡,由於近年此類攻擊被多次報道,因此各大運營商也加強了安全意識,如今補卡還是盤查地比較嚴格的,但同樣不能完全杜絕此類情況的發生。
無線電監聽主要是GSM監聽,直接監聽空中簡訊,這種方式有較高的技術門檻,通常用於針對企業高層或是政府機要人員。由於GSM通信協議本身加密強度很弱,而中國使用的GSM網路甚至是明文不加密,因此在幾年前就已被黑客破解。即使現在3G、4G網路已經普及,但是據有關資料統計,中國目前2G手機仍有6億-7億部左右,黑客用來監聽的設備幾十塊錢就能買得到。而且就算用戶使用的是CDMA、3G、4G等更安全的信號通道,也可以通過信號干擾等方式讓用戶信號強制降為(2G)GSM之後進行監聽。
簡訊認證最終將會退出歷史舞臺,認證方式很有可能朝著另一個方向發展。
手機令牌
首先是手機令牌,這種方式目前廣泛使用在各個領域,比如谷歌身份驗證器在國外網站非常流行,在國內的網站也越來越多地提供二次驗證服務。原本在企業內部流行的動態令牌硬體如今也逐漸被手機令牌所替代。然而,越來越多的人也發現,基於六位數的動態令牌的使用體驗很差,用戶在登錄時必須手動進入動態密碼展示界面,然後照著數字輸入到電腦上,在這期間如果動態密碼發生改變,則需要重新輸入,於是兩種新的方式就應運而生並迅速流行起來——掃碼認證和推送認證。
掃碼認證
得益於微信和支付寶對掃碼技術的大力推廣,如今掃碼支付已經成為網路支付的主流手段之一,但其實二維碼技術在身份認證上也有許多應用,比如掃碼登錄。無論是在網頁版微信、QQ或是淘寶,都在主動地推廣掃碼登錄這種更安全的方式。當我們打開淘寶的登錄頁面,出現的不再是賬號密碼輸入框,而是一個登錄二維碼,甚至在網頁版微信中,僅僅允許掃碼登錄,並且這種方式正在被越來越多的網站和應用效仿。
推送認證
推送認證也被認為是最有可能替代簡訊認證的方式之一。所謂推送認證,就是向用戶手機推送一條認證請求,用戶點擊確認或進行相應操作後完成認證,這種方式和簡訊相比不僅更安全,而且能最大限度降低用戶的操作成本。以國內知名身份認證服務商洋蔥認證為例,企業員工在登錄日常辦公系統或連接WiFi、VPN時,手機會自動收到一條推送請求,只有點擊確認後才能成功登錄,這樣即使密碼不慎泄露也不必擔心賬號安全,並且員工只需要額外點擊一下手機而不必接受或填寫簡訊。
