手機(jī)驗證碼成網(wǎng)絡(luò)犯罪"背鍋俠",我來為電信運(yùn)營商鳴個冤!
需要指出的是,這是短信驗證碼的價值發(fā)揮,而非義務(wù)所在!憑什么手機(jī)號碼就可以驗證個人信息,什么時候賦予手機(jī)號碼這個職能了?驗證碼就能替代口令與用戶意志的話,還要身份鑒證作什么?
手機(jī)驗證碼成"背鍋俠",我來為電信運(yùn)營商鳴個冤!
近日一篇名為《一部手機(jī)失竊而揭露的竊取個人信息實(shí)現(xiàn)資金盜取的黑色產(chǎn)業(yè)鏈》的文章引起了極大關(guān)注,文中以為ID為"信息安全老駱駝"的信安老兵詳細(xì)記錄了其夫妻二人在手機(jī)丟失后與黑產(chǎn)對抗的每一步。
對抗的結(jié)局是黑產(chǎn)最終"技高一籌",最終導(dǎo)致美團(tuán)借貸產(chǎn)生5000元貸款,ETC信用卡產(chǎn)生各類買卡、充值等消費(fèi)記錄。
為什么一個信安老兵都在跟黑產(chǎn)的對抗中敗下陣來呢?幾乎所有的分析文章都把矛頭指向一個關(guān)鍵點(diǎn)——手機(jī)短信驗證碼。顯然,按照輿論導(dǎo)向,這個鍋感覺要電信運(yùn)營商背了。
果不其然,針對這個問題,工信部今天發(fā)表消息,稱已于 10 月 12 日約談了涉事電信企業(yè)相關(guān)負(fù)責(zé)人,要求三家基礎(chǔ)電信企業(yè)在服務(wù)密碼重置、解掛等涉及用戶身份的敏感環(huán)節(jié),在方便用戶辦理業(yè)務(wù)的同時強(qiáng)化安全防護(hù),加強(qiáng)客服人員風(fēng)險防范意識培訓(xùn),警惕業(yè)務(wù)異常辦理行為。同時,工信部也提醒廣大用戶及時設(shè)置SIM卡密碼,在丟失手機(jī)后應(yīng)第一時間掛失,強(qiáng)化安全風(fēng)險意識。
從現(xiàn)實(shí)情況來看,當(dāng)前"短信驗證碼"已經(jīng)成為了所有人網(wǎng)絡(luò)空間身份認(rèn)證的主要渠道,使用手機(jī)號+驗證碼就可以完成很多重要操作,比如快捷登錄、更改密碼、轉(zhuǎn)賬、支付、申請貸款等等操作。但是,在很多案件中,短信驗證碼完全沒有起到身份認(rèn)證的作用,反而成為了黑產(chǎn)有機(jī)可乘的漏洞,造成用戶財產(chǎn)損失。
這樣看來,電信運(yùn)營商背這個鍋也不是太冤枉,至少短信驗證碼作為事實(shí)上的認(rèn)證工具,其安全性似乎沒達(dá)到承載人們財產(chǎn)安全這樣的高度。
但是,作為通信行業(yè)從業(yè)者,我還是想為電信運(yùn)營商鳴下冤,因為我認(rèn)為手機(jī)驗證碼沒有必要、沒有義務(wù)給用戶身份認(rèn)證背書!
大概在2015年底開始,由于網(wǎng)信辦發(fā)布的《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》,要求某些場景下互聯(lián)網(wǎng)用戶需實(shí)名,從此,中國互聯(lián)網(wǎng)企業(yè)紛紛開始使用短信驗證碼的方式進(jìn)行用戶鑒權(quán),這是現(xiàn)成的最便捷的手段了。中國互聯(lián)網(wǎng)開始建立一個基于"短信驗證碼的身份認(rèn)證"實(shí)名制網(wǎng)絡(luò)空間,虛假賬號、仿冒賬號等等亂象得到了整治。可以說,短信驗證碼在維護(hù)互聯(lián)網(wǎng)秩序做出了巨大貢獻(xiàn)。
但需要指出的是,這是短信驗證碼的價值發(fā)揮,而非義務(wù)所在!憑什么手機(jī)號碼就可以驗證個人信息,什么時候賦予手機(jī)號碼這個職能了?驗證碼就能替代口令與用戶意志的話,還要身份鑒證作什么?
短信驗證碼雖然能充當(dāng)身份認(rèn)證手段,但其實(shí)并不能做到實(shí)人、實(shí)名、實(shí)證,只能做到實(shí)名、實(shí)證。前兩個問題可以通過技術(shù)手段彌補(bǔ),最后一個問題卻是短信驗證碼技術(shù)的天然缺憾。由此也引發(fā)了很多黑產(chǎn)犯罪事件。
事實(shí)上,我們的互聯(lián)網(wǎng)企業(yè)、尤其是互聯(lián)網(wǎng)金融企業(yè),應(yīng)該與時俱進(jìn)地去更新自己系統(tǒng)的身份可信認(rèn)證工具,比如,涉及借貸這類高風(fēng)險的業(yè)務(wù),為什么不能引入動態(tài)刷臉驗證呢?在目前已公布的金融科技創(chuàng)新應(yīng)用中可以看到大量有關(guān)可信身份認(rèn)證與大數(shù)據(jù)風(fēng)控相關(guān)的應(yīng)用。
都互聯(lián)網(wǎng)時代了,很多人的思想還停留在2G時代!
附. 普及一下手機(jī)PIN碼的設(shè)置流程吧。
SIM卡設(shè)置PIN碼后,手機(jī)開機(jī)時(比如換卡后重新開機(jī))會要求輸入PIN碼,輸入錯誤三次之后卡將會被鎖住,相當(dāng)于是增加了一道門檻。那SIM卡的PIN碼如何設(shè)置呢?
以小米手機(jī)為例(系統(tǒng)為MIUI12),首先點(diǎn)開設(shè)置>點(diǎn)擊【密碼與安全】>點(diǎn)擊【系統(tǒng)安全】,這時候在"SIM卡鎖定方式"這一欄的下方就會出現(xiàn)你手機(jī)的電話卡,點(diǎn)擊進(jìn)去就可以設(shè)置鎖定你的SIM卡了,同時可以進(jìn)行PIN碼的修改,默認(rèn)的PIN碼一般是"1234"。
本文轉(zhuǎn)載自微信公眾號「悲了傷的白犀牛」,作者悲了傷的白犀牛。轉(zhuǎn)載本文請聯(lián)系悲了傷的白犀牛公眾號。
