大約在 2015 年底開始,中國互聯網開始流行起使用短信驗證碼的方式進行用戶鑑權。
雖然已經無法深究是什麼原因或是哪家公司開始的這個潮流,但短信驗證碼已經成為了中國互聯網的「標配」。各位讀者不妨看看自己的手機的短信記錄,恐怕九成以上都是服務信息以及驗證碼信息。
傳統的短信驗證碼從服務商到用戶手中,經過了「服務商 —— 短信服務商 —— 運營商——用戶」好幾條鏈路。短信服務商若沒有良好的安全意識,那麼別有用心的人可能在此處潛伏,竊取驗證碼。除此之外,來自短信服務商以及運營商的內部威脅 (insider risk) 是不可小覷的。
換句話說,就是經過的程序越多,那麼漏洞就越多,如果有心要動手腳,下手機會就會越多。同時除了安全性問題之外,還存在著個人信息洩露的風險。
其實不知道你們的習慣,我受工作的影響,可能會頻繁更換手機號。更換手機號帶來的問題則是原有的號碼所有者經常忘記取消手機號與賬戶的綁定,不少服務甚至無法更換號碼綁定。那麼這樣的話,問題就很明顯了。
一旦號碼被再次循環利用,想利用這個問題的人就可以對防護不佳的平臺作出攻擊,以取得用戶資料。有些情況下,甚至可以取得足夠多的資料,進行身份盜竊。這些都是有可能的。
不過,最近阿里出了一套新的認證系統,不用經過眾多鏈路,直接驗證。只需要驗證機卡是否一致就可以審核通過,不得不說,經過試驗,這種方式使得效率的確大大提升。
其實原理很簡單,程序越簡單,能動手段就越少,速度就會越快。所以,後期還是很期待該技術的成熟完善。目前只有在阿里雲通信的官網上,有試用的 Demo 可以體驗了。
手機-用戶-號碼一致,即可通過驗證。你們怎麼看?
分享到:
閱讀更多 優就業花花老師 的文章
