短信驗證也有風險

圖1 愛加密技術總監程智力

記者：目前銀行、電信、電商、游戲、社交等各行業應用，都大量采用了通過手機短信進行身份的安全驗證。而針對移動短信驗證碼認證的攻擊越來越頻繁，短信驗證碼現在面臨哪些安全問題？攻擊方式有哪些？有什么表現？

智力：冒名掛失、意外丟失、手機被盜、乘用戶不備拿起用戶的手機接收短信、不安全的網絡環境、惡意應用程序、支付應用漏洞等支付風險、遭遇詐騙等都是不安全因素。

目前移動支付中普遍使用的“賬號密碼+短信”的認證體系，但由于短信驗證碼可以進行快捷支付，甚至修改密碼，一旦手機遇到帶有短信攔截功能的木馬或者黑客攻擊，可能出現動態驗證碼被攔截的情況。

記者：“愛加密”在解決移動短信驗證碼安全問題的思路是什么？利用了哪些技術手段？

智力：愛加密的短信防劫持解決方案提供“終端驗證+語音驗證”的雙驗證體系。

主要服務端將用戶賬號與用戶手機號、手機終端進行綁定授權，當APP被觸發動態碼驗證時，通過設備授權檢測判斷該設備是否為綁定設備，并自動開始驗證用戶終端和用戶賬號信息是否一致。如一致，則繼續短信形式驗證動態碼；否則將會以語音電話形式驗證動態碼。最后，愛加密服務端判斷發來短信驗證碼的手機是否是最近綁定過的手機。

記者：“愛加密”在短信驗證碼安全方面現在有沒有正在研發的新技術？技術方面有沒有什么難題？

智力：目前技術上沒有什么難題，愛加密在設計這套解決方案的時候考慮到了對于老年群體（或聽力不好的傷殘人士），語音驗證操作不易被接受。所以針對這類人群，已經研究了對應的解決辦法。

記者：短信驗證碼既然現在暴露的漏洞這么多，未來是否會被其他身份認證方式所取代？

智力：短信驗證碼短時間內還不太可能被取代， 短信驗證碼會使用到大部分APP的身份識別與驗證上，也是很多APP的最后一道安全防線，從它的安全定義上來講關系到體驗、穩定性、性能、效果、價格 ，優勢非常突出。語音驗證碼正慢慢興起，它具備短信驗證碼所有的優勢，并且價格可能更低，在安全上不存在類似短信驗證碼很容易被攔截、轉發的問題。