基于安全性考虑很多网站和服务在用户注册时均会要求绑定手机号码以便在关键时刻下发短信进行身份验证。
但本身将安全全部寄托在短信验证码上就是个笑话,就像在沙滩上建立起摩天大楼般可以轻轻松松地被摧毁。
短信验证码弊端主要有两个:在技术层面上短信本身可被监控和劫持、在身份验证环节可伪造身份证明补卡。
事件回顾:防不胜防的补卡攻击
国内在去年发生了多起通过伪造身份证明进行补卡盗刷的案例,中招的受害者各种账户余额几乎遭到了洗劫。
主要原因在于各种账号均以手机号码作为重要验证工具, 次要原因是运营商审核不严没有发现伪造身份证明。
同时运营商除了没有发现伪造的身份证明外还存在业务流程漏洞, 让空中补卡业务成为不法分子利用的工具。
谷歌将使用验证工具替代短信验证:
谷歌公司为了防止出现短信遭到监控和劫持造成安全问题,已经开始测试使用验证工具完全替代掉短信验证。
验证工具的优点在于不联网并且无法安装在多个移动客户端,加之移动设备本身的锁屏密码确保验证的安全。
在这种情况下攻击者若想获得验证码必须拿到受害者的手机,如果本身加了锁屏密码那么还得想办法破解掉。
相比短信验证码而言使用两步验证工具可以极大的提高安全性,这也是谷歌公司推广验证工具的最主要原因。
国内网站也可接入谷歌验证工具:
谷歌两步验证工具本身是开源免费使用的,因此对于国内网站而言也可主动接入谷歌验证工具来提高安全性。
最重要的是谷歌验证工具全程不需要联网,因此用户即使无法正常连接到谷歌服务器也是完全不会影响使用。
有兴趣的网站管理员和开发者可自行查找接入谷歌验证的方法,对于用户而言几乎也不会造成登录上的障碍。