大家一定会问,App厂商们呢,京东白条,支付宝这些,难道没有责任吗?我们觉得,App厂商们确实应该承担最大的责任。App厂商们一定要意识到没有绝对安全的管道。
今年年初,在全国信息安全标准化技术委员会(简称TC260)秘书处牵头下,三大运营商和各互联网公司的安全专家们,一起编制了《网络安全实践指南—应对截获短信验证码实施网络身份假冒攻击的技术指引》,提出多项加强身份验证安全性的建议,除短信验证码外还新增了短信上行验证、语音通话传输、常用设备绑定、生物特征识别、动态选择身份验证方式等等诸多二次验证机制。
https://www.tc260.org.cn/upload/2018-02-11/1518337506280068120.pdf
这篇指南非常全面的描述短信验证码的风险,现状,困难点,最后给出了目前专家们认为可行的方案。
难点在于,现在我们还不能彻底抛弃短信验证码。中国网民跟国外网民的不同点是,国外网民是从PC时代过来的,习惯于使用邮箱,用户名密码。中国网民是从移动互联网时代成长起来的,手机就是唯一的标识。
为了短信验证码用还是不用的问题,各个App的产品经理和安全团队能打起来。真的,去年就这个问题我们360安全团队跟业务团队就争论过好多次。最后仍然保留了短信验证码通道,这也是遵循“可用性”优先的原则。
近期有些服务商推出了免验证码验证手机号服务,可以验证有数据链接的手机号码的真实性。这也是一种途径,就是短信通道不安全,那我创建一个更安全的通道。Google的双因子认证服务,也是类似的思路。不过,短信通道仍然是最后的备用通道,各位可以试试注册一个新的Google账户,它也要求你提供手机号码,然后是短信验证码。
总之,请大家相信,各大互联网公司对这个问题是早有准备的,如果有漏网之鱼,那是我们的风险控制系统做得还不够好。
(本文授权转载自微信公众号“360UnicornTeam”,作者:黄琳,360 UnicornTeam 安全专家)
最前沿的电子设计资讯
