新手帮助|网站标签|加入收藏|爱码族平台群:爱码族平台群

爱码族-欢迎来到最全手机验证发码接码平台资讯门户网站!骗子请绕道!!!

为什么要用短信验证码注册账号?

分类:接码资讯 | 来源:未知 | 时间:2018-11-12 23:10
大约在 2015 年底开始,中国互联网开始流行起使用短信验证码的方式进行用户鉴权。
虽然已经无法深究是什么原因或是哪家公司开始的这个潮流(实际上这样的深究也是毫无意义的),但短信验证码已经成为了中国互联网的「标配」,甚至和其他国民级应用配合后,它几乎已经完成了中国互联网和国际互联网分道扬镳的历史性转折:在中国本土,他们使用的非常好,但对于非中国大陆的居民,或非中国籍居民来说,服务几乎无法使用。
然而,与大部分人的认知不同,短信验证码并不能提供更好的安全性。
爱范儿之前的文章中已提到过关于使用 GSM snooping 方法进行短信验证码的终端窃听的实例。这篇我在两年前写的文章也有更多的信息。除了最后一英里的安全性存疑之外,由于骨干网分光设备及 Lawful Interception 设备的安装已成为常态,如果「服务商 —— 短信服务商 —— 运营商」的链路中任何一个环节若未使用工业级标准进行加密传输,或无法保证实施前向安全 (Forward Secrecy),则整个链路是不可信任的。
同样的,短信服务商若没有良好的安全意识,那么别有用心的人可能在此处潜伏,窃取验证码。除此之外,来自短信服务商以及运营商的内部威胁 (insider risk) 是不可小觑的。
简单的说,由于一般的短信传输路径存在过多的薄弱之处,其安全性是值得怀疑的。
使用短信验证码除了有安全性问题之外,还存在着个人信息泄露的极大风险。可能由于携号转网并未达成,而大部分运营商的新用户优惠远好于老用户优惠(从商业角度 bait-and-switch 是个不错的策略),频繁更换手机号已成为了一种常见行为。某些国民级聊天软件的普及更是让手机号交换的需求大大降低 —— 实际上我在最近一两年鲜有与其他人交换手机号的情况。
更换手机号带来的问题则是原有的号码所有者经常忘记取消手机号与账户的绑定,不少服务甚至无法更换号码绑定。因此,一旦号码被再次循环利用,存心不良的攻击者可以利用此问题针对防护不佳的平台作出攻击,以取得用户资料。有些情况下,甚至可以取得足够多的资料,进行身份盗窃 (identity theft)。
上一篇:淘宝验证码:出现支那人的拼音首字母 下一篇:如何区分手机号码是不是接码平台用过?

图文推荐

最新评论