“验证码”时代 所谓的安全认证却暗藏风险？

本篇文章2301字，读完约6分钟

事实上，验证码只有提醒的实用功能。在更多的情况下，验证码带来的不是安全而是风险。

钛媒体︳糖直销的作者

在移动互联网时代，我们几乎“生活在手机上”。每天，登录各种应用程序和使用任何互联网服务的时间几乎占据了我们生活的大部分时间。我们的验证码是“天天见”。

如今，悄然流行的“无秘密认证”技术最重要的功能是取代“手机验证码”。

当然，许多对体验不太敏感的用户觉得发送和接收验证码的时间对他们来说并不重要。同时，验证码对他们来说更像是一个提醒——提醒他们自己账户的情况已经改变了。

事实上，验证码只有提醒的实用功能。在更多的情况下，验证码带来的不是安全而是风险。

我们周围发生的案件

在媒体报道中，关于手机安全的案例比比皆是:谁的信用卡被盗，谁的支付宝账户被黑...

到底发生了什么？让我们看看我们身边的两个例子:

在网上盗版案件中，欺诈者冒充电子商务平台客服人员，发送“异常订单要求退款”等短信，或虚拟银行客服号码发送“积分兑换”、“网银升级”等短信，诱骗受害者点击木马链接或登录钓鱼网站，获取受害者身份证号码、银行账号、密码、验证码等信息，窃取其账户存款。

2015年7月，犯罪分子利用重庆三峡银行开发的在线支付平台“三峡支付”，在3天内从43名客户手中盗取了超过100万元的银行卡资金。犯罪分子首先向受害者的手机发送含有木马病毒的短信。受害者点击短信后，罪犯可以获得手机中的所有信息，并在事后拦截手机收到的任何短信。犯罪分子从这些信息中筛选出账户持有人姓名、身份证号码、银行卡号码、账户持有人预留手机号码等信息，并利用这些信息注册“三峡支付”电子账户，将受害人的银行卡绑定到“三峡支付”账户。

这些欺诈的共同特征是“窃取用户验证码”。一是通过花言巧语骗取用户验证码。经过公安同志和各大电子商务平台的不断提醒，大家对这种方式的警惕性还是比较高的；另一种方法是通过所谓的“木马”拦截用户短信记录来获取用户信息。警惕性低的用户很容易被愚弄。

还有一种不容易防范的方式，特别是在安卓手机上，一些应用程序会“试图获得阅读短信的许可”，大多数时候，用户会“授权”，以便一次性输入验证码。有时，甚至一些不安全的开放wi-fi也隐含着窃取用户账户短信验证码的风险。

事实上，对于那些足够谨慎的用户来说，验证码的安全性确实很高，但总会有一个人“百密一疏”的时候。尤其是老人和孩子，他们不知道一些手机权利，他们更有可能成为骗子的“刀子”。

没有验证码，账户是安全的吗？

据公安部经济侦查局相关负责人介绍，2016年上半年，全国共查处盗窃、购买、非法提供银行卡信息等刑事案件177起，同比增长4.5倍。银行卡信息披露的方式已经从过去对pos机和atm机的改造转变为窃取数据和密码，转变为通过黑客技术或伪基站进行批量窃取。与此同时，一些用户习惯于使用相同的密码，犯罪分子经常通过闯入图书馆窃取该用户的其他账户信息。

显然，传统密码特别容易受到这种攻击——因为任何身份验证方法都被认为是弱身份验证，并且必须独立使用两种甚至三种身份验证方法才能被认为是强身份验证。但是，打开二级身份验证的用户非常少。二次认证的主要问题在于其复杂性，这是无秘密认证的优势。电信的免保密认证可以准确识别当前用户的手机号码，并通过一键认证，省去了繁琐的短信验证码流程，避免了被抢的风险。毫无疑问，我们登录各种应用程序的方式将变得简单而安全——我们只需点击“允许应用程序获取手机号码”进行一键认证。

例如，银行在异地取款和消费时，不仅需要向中国电信核实用户的位置，还需要用户登录认证应用程序进行手动“一键式认证”。这大大降低了信用卡或借记卡被盗的风险。

同时，使用“天一免密认证”服务的服务提供商将接受中国电信的审计，这意味着他们在安全方面进行了认证。

如果我想卖掉这个号码...

现在，对大多数人来说，手机的价值可能不如手机里的号码。大量用户帐户绑定到手机号码。在移动互联网时代，手机号码等同于我们的其他身份证号码。

如果你想改变你的手机号码，解除绑定需要花费很多时间，这对用户、服务提供商和电信运营商来说都是一个大问题——用户不记得他们的手机号码与多少个账户相关联，服务提供商不知道用户是否出售了他们的号码，运营商不知道他们是否可以“第二次发布他们的号码”。

在传统验证码的时代，用户改变他们的手机号码，却忘记解开它们。他们需要提供大量信息来证明“我就是我”，注册账户的“何时”问题根本无法回答；服务提供商需要花费大量的人力和时间来验证用户数据的真实性，并与用户交流反馈；至于操作员的“二次编号”，第二个用户可能会收到一些与其无关的验证码。如果有一个打破信息不对称的机制，那么问题就会迎刃而解。

“天一无密认证”是平衡双方信息的桥梁。在无秘密认证机制中，中国电信扮演着“信息库”的角色，服务提供商有权要求其验证某些信息，如用户的访问时间是否早于特定时间，当前用户是否在网络上，等等。在这个过程中，服务提供商可以确定当前的移动电话号码是否已经被取消。

如果中国电信将来能够进一步开放比较的权限，比如提供实名认证的比较。只要用户提供账户的实名信息，取消号码绑定的步骤将大大简化——用户向电信提供自己的实名信息，中国电信作为信息库和平台验证信息是否正确；服务提供商在整个过程中不获取用户的任何实名信息，并从电信给出的答案中确认申请解除绑定的用户和手机号码的拥有者是否是同一个人。

目前，中国电信的“天一无密认证”服务仍处于推广阶段，未来其应用场景不限于“替代验证码”。作为未来密码的潜在替代品，该服务可以在许多领域发挥作用。(这篇文章是第一个钛媒体)