建立在手机验证码沙滩上的互联网安全大厦
【摘要】随着近几年4G、大屏智能手机、移动互联网的快速发展,我们正面临一个越来越便捷的环境,但千疮百孔的环境之间打通,意味着更加危险的安全隐患,如果不能及时堵漏,而是被不法分子利用,那将不可想象。
| 科 | 技 | 杂 | 谈 |
中国通信行业第一自媒体
本文作者:付亮
本文来源:竞争情报应用(fuliang_ci)
杂谈投稿邮箱:631255063@qq.com
昨天@围脖王云辉 将他的文章《一夜之间倾家荡产!面对疯狂的通信劫案,我们如何保护自己?》推给我,让我说说,还鼓励我写篇文章。
实说,网络安全的事不能多写,应为从流程审计角度看,如果应用安全未能同步提升构成更安全的“闭环”,那这样的文章剖析得越清楚,越象是一个帮助坏人的教材。
随着近几年4G、大屏智能手机、移动互联网的快速发展,我们正面临一个越来越便捷的环境,但千疮百孔的环境之间打通,意味着更加危险的安全隐患,如果不能及时堵漏,而是被不法分子利用,那将不可想象。
如围脖王云辉文章中提到的实例,移动运营商确实存在问题,如①不合理的空中异地写卡为何能实现,②写卡的提示信息非常简洁,实际是为本地换卡所用,发送到他人手机并不清楚,③通过邮箱发送短信时号码具有“隐蔽性”,内容中应说明(实际没有,如通过易信发送免费短信时,会有清晰的提示)。
但即使有这些问题,更换卡后,用户损失的最多只是一些电话费(十年前如此)。为什么邮箱、支付工具等都被攻克,这并不是运营商的网络有漏洞,而是这些业务流程中的一些关键环节是直接或间接基于“手机验证码”的,如更改密码,如安全二次提示,如果手机号跑到了不法分子手里,这些应用建立的安全防线就成了“马奇诺防线”。
为避免“培训”骗子,这里以微博的登陆、修改密码为例。
1、微博的密码找回流程:只要知道了注册邮箱号,可以通过绑定的手机号找回。
2、有了手机号,其实登陆不需要密码。无密码登陆,手机只要收到系统发送的验证码,就可以快速登陆。而且验证码都不需要你输入。
3、手机登陆后,电脑登陆同样简单,一扫电脑端的二维码即可。
电脑端
手机微博扫二维码在这里
然后确认一下就好。
由于微博本身不提供支付功能,这样的认证流程应该是相当严谨的。微博也做了不少防范,如不提供通过显性的微博账号找回密码,我试了一下,通过手机号找回密码也不成功。而注册邮箱未公开,通过昵称也不能找回完整的邮箱(只是提供一个隐藏几位的提示信息)。
但如果类似的手机验证码验证操作出现在直接与资金账户相关联的应用,或间接通过邮箱与资金账户关联的应用中,就很危险了。
科技杂谈已经开通文章评论
点击下方“评论”表达我的态度
【昨日文章索引】
点击下方 【阅读原文】加入 “科技杂谈菁英会”。
2013年度最佳IT原创自媒体
2014年度最佳新媒体人
2014年度最受企业关注自媒体
国资委微公益行动联合发起人
| 新科技 | 睿思想 |
已入驻百度百家、腾讯新闻、搜狐新闻、今日头条、网易阅读
一点资讯、互联网实验室
犀牛财经自媒体联盟(xinews)成员
转载授权、商务合作,联系微信号:sophie0306