短信驗證也有風(fēng)險

圖1 愛加密技術(shù)總監(jiān)程智力

記者：目前銀行、電信、電商、游戲、社交等各行業(yè)應(yīng)用，都大量采用了通過手機短信進行身份的安全驗證。而針對移動短信驗證碼認證的攻擊越來越頻繁，短信驗證碼現(xiàn)在面臨哪些安全問題？攻擊方式有哪些？有什么表現(xiàn)？

智力：冒名掛失、意外丟失、手機被盜、乘用戶不備拿起用戶的手機接收短信、不安全的網(wǎng)絡(luò)環(huán)境、惡意應(yīng)用程序、支付應(yīng)用漏洞等支付風(fēng)險、遭遇詐騙等都是不安全因素。

目前移動支付中普遍使用的“賬號密碼+短信”的認證體系，但由于短信驗證碼可以進行快捷支付，甚至修改密碼，一旦手機遇到帶有短信攔截功能的木馬或者黑客攻擊，可能出現(xiàn)動態(tài)驗證碼被攔截的情況。

記者：“愛加密”在解決移動短信驗證碼安全問題的思路是什么？利用了哪些技術(shù)手段？

智力：愛加密的短信防劫持解決方案提供“終端驗證+語音驗證”的雙驗證體系。

主要服務(wù)端將用戶賬號與用戶手機號、手機終端進行綁定授權(quán)，當APP被觸發(fā)動態(tài)碼驗證時，通過設(shè)備授權(quán)檢測判斷該設(shè)備是否為綁定設(shè)備，并自動開始驗證用戶終端和用戶賬號信息是否一致。如一致，則繼續(xù)短信形式驗證動態(tài)碼；否則將會以語音電話形式驗證動態(tài)碼。最后，愛加密服務(wù)端判斷發(fā)來短信驗證碼的手機是否是最近綁定過的手機。

記者：“愛加密”在短信驗證碼安全方面現(xiàn)在有沒有正在研發(fā)的新技術(shù)？技術(shù)方面有沒有什么難題？

智力：目前技術(shù)上沒有什么難題，愛加密在設(shè)計這套解決方案的時候考慮到了對于老年群體（或聽力不好的傷殘人士），語音驗證操作不易被接受。所以針對這類人群，已經(jīng)研究了對應(yīng)的解決辦法。

記者：短信驗證碼既然現(xiàn)在暴露的漏洞這么多，未來是否會被其他身份認證方式所取代？

智力：短信驗證碼短時間內(nèi)還不太可能被取代， 短信驗證碼會使用到大部分APP的身份識別與驗證上，也是很多APP的最后一道安全防線，從它的安全定義上來講關(guān)系到體驗、穩(wěn)定性、性能、效果、價格 ，優(yōu)勢非常突出。語音驗證碼正慢慢興起，它具備短信驗證碼所有的優(yōu)勢，并且價格可能更低，在安全上不存在類似短信驗證碼很容易被攔截、轉(zhuǎn)發(fā)的問題。