短信认证之所以如此流行,主要在于其便捷性,用户既不需要额外携带设备,也不必安装任何软件就能实现认证。尽管如此,随着越来越多的
网络攻击者盯上短信认证的薄弱点,这一认证方式正逐渐暴露安全性的不足。短信认证只关心用户是否有验证码,却不管是谁在使用手机,一旦用户的手机遗失则很容易发生身份盗用的情况。
尽管目前大量应用和网站在基于手机短信的身份认证,短信认证还是被美国
国家标准与技术研究所(NIST)宣布不安全:“基于短信的身份认证已经过时,在未来将被禁止使用”。
拦截短信木马的做法通常需要预先利用链接、
二维码、钓鱼网站等或其他手段诱骗受害者将木马程序下载并植入到自己的手机中,借此监听或转发受害者的短信来重置对方的账户。由于这类木马编写十分简单,所以已经形成了从制作到出售、出租、实施钓鱼欺骗、洗号、转移财务的完整地下
产业链。
补卡/克隆攻击则是基于手机
SIM卡来实施的。攻击者不需要通过受害者的手机设备,只需要办一张和受害者相同的手机号码,就能接收到受害者的
短信验证码。这里主要利用了运营商的管理漏洞,部分地区的运营商对补卡人员的身份没有进行有效的验证,以往一个随意假造的证件和几句蹩脚的说辞就能骗过工作人员成功补卡,由于近年此类攻击被多次报道,因此各大运营商也加强了安全意识,如今补卡还是盘查地比较严格的,但同样不能完全杜绝此类情况的发生。
无线电监听主要是GSM监听,直接监听空中短信,这种方式有较高的技术门槛,通常用于针对企业高层或是政府机要人员。由于GSM通信协议本身加密强度很弱,而中国使用的GSM网络甚至是明文不加密,因此在几年前就已被黑客破解。即使现在3G、4G网络已经普及,但是据有关资料统计,中国目前2G手机仍有6亿-7亿部左右,黑客用来监听的设备几十块钱就能买得到。而且就算用户使用的是
CDMA、3G、4G等更安全的信号通道,也可以通过信号干扰等方式让用户信号强制降为(2G)GSM之后进行监听。
首先是手机令牌,这种方式目前广泛使用在各个领域,比如谷歌身份验证器在国外网站非常流行,在国内的网站也越来越多地提供二次验证服务。原本在企业内部流行的动态令牌硬件如今也逐渐被手机令牌所替代。然而,越来越多的人也发现,基于六位数的动态令牌的使用体验很差,用户在登录时必须手动进入动态密码展示界面,然后照着数字输入到电脑上,在这期间如果动态密码发生改变,则需要重新输入,于是两种新的方式就应运而生并迅速流行起来——扫码认证和推送认证。
得益于
微信和
支付宝对扫码技术的大力推广,如今扫码支付已经成为网络支付的主流手段之一,但其实二维码技术在身份认证上也有许多应用,比如扫码登录。无论是在网页版微信、QQ或是淘宝,都在主动地推广扫码登录这种更安全的方式。当我们打开淘宝的登录页面,出现的不再是账号密码输入框,而是一个登录二维码,甚至在网页版微信中,仅仅允许扫码登录,并且这种方式正在被越来越多的网站和应用效仿。
推送认证也被认为是最有可能替代短信认证的方式之一。所谓推送认证,就是向用户手机推送一条认证请求,用户点击确认或进行相应操作后完成认证,这种方式和短信相比不仅更安全,而且能最大限度降低用户的操作成本。以国内知名身份认证服务商洋葱认证为例,企业员工在登录日常办公系统或连接
WiFi、
VPN时,手机会自动收到一条推送请求,只有点击确认后才能成功登录,这样即使密码不慎泄露也不必担心账号安全,并且员工只需要额外点击一下手机而不必接受或填写短信。