iDoNews专栏：银行存款频频被盗，如何拯救你的银行卡？

前两天，一位小米用户发表了一篇《小米短信同步缺陷让父母银行卡被盗十万元》的文章，详细描述了他母亲是如何因为小米短信云同步功能被盗走了十万元。

具体的事情经过是。8月21日上午，他母亲使用的小米5手机收到了“新增云同步设备”的通知提醒，随后二十多分钟内陆续收到银行发送的多条短信验证码、多条转账成功还有贷款成功的通知，其银行卡先后被转走6万多元以及贷款4万多元。

按照网友的分析，不法分子之所以能得到他母亲的小米账户，可能是通过撞库攻击进行的暴力破解，然后用破解得到的账户和密码在另外一台小米手机上进行登陆，并通过短信云同步的功能，成功获得浦发银行的验证码短信，提款成功。

而这并不是孤例，之前几个月，一个苹果用户同样被盗了数万元人民币，而事后分析根源，iCloud的密码被撞库，短信验证码被盗嫌疑很大。

而360的周鸿祎日前也公开表示，短信验证码成为移动支付的重要漏洞。

为何短信验证码不安全，用户应该如何防范呢?

为何银行都爱用验证码验证?

在网络支付的体系里面，通常是帐号加密码的认证方式，这个认证方式沿用多年，但是安全性越来越差。

原本密码认证用在线下银行卡或者存折上面，盗取者首先要拿到用户的卡或者存折实体才能办理支付，而网上银行业务，特别是快捷支付业务，脱离了柜台认证这一步，几乎任何一张卡都可以线上无任何实体完成支付或者转账。一旦用户密码泄漏，帐号就毫无安全性可言。

而互联网上，用户往往喜欢用同样的密码避免遗忘，而只要有一个网站密码被拖库，用户所有的信息和隐私就全部暴露了。

另外，不安全的路由器，钓鱼网站也会盗取用户的密码，这让交易变得很危险。

对此，银行的策略是手机短信验证码解决问题，手机验证码理论上是独立于互联网之外的，而且具有唯一性，用户的手机卡很难复制，特别是新卡。所以银行认为这是安全的，而且简便易行。

短信验证码已经是互联网时代安全性的升级措施了。

二、验证码是如何不安全的

验证码的安全建立在它通过通讯网络传送，独立于互联网之外。在功能机时代，它是安全的，而到了智能机时代，情况出现了变化。

在智能手机时代，短信成为了智能手机的应用之一，短信的内容可以被程序读取，备份，存放到云。安全问题随着而来。

本来短信验证码是与互联网隔离的，但是程序可以读取，备份，意味着互联网的隔离被打破，任何人只要能连接到联网的手机，就有机会通过合法不合法的程度读取到验证码的内容。

而云备份加剧了这一危险，用户自己在不犯任何错误，不泄露任何密码的前提下，只要云端管理有问题，验证码就被绕过了。

如果是手机中了木马，黑客不仅能读取验证码，还能删除掉转账支付提取的短信，让用户在没有任何提示的情况下中招。

我们看到的案例不外乎这样几种情况，而根本原因就是短信验证码的互联网隔离被打破。

三，低科技未必是坏事

短信验证码起源于功能机时代，在功能机时代，除非黑客入侵运营商网络，否则它没有机会获取短信验证码。即使入侵了运营商网络，黑客也难以针对某人精确犯罪。

短信验证码不安全，是智能手机时代的问题。高手可以自己掌控手机，禁止root，严控应用权限，隔离云备份，做好密码管理，但是普通人不懂那么多。

普通人的正确解决方案是退回功能机时代。

现在功能手机已经非常便宜，手机号也很便宜，用户完全可以一人双机，保留一个专用号码和专用的功能手机用于接受短信验证码。

黑客本领再强，也不能黑掉你的诺基亚1100，一些功能机连数据链接都没有。只有电话短信功能，这种手机结合短信验证码就是安全的。

所以，高科技的问题可以用低科技回避。在美国大片《独立日》中，外星人毁掉了卫星，但是人类用原始的摩尔斯电码传递消息，战胜了外星人。面对网络安全问题，低技术未必不是一条出路。

作者：maomaobear  | 来源：iDoNews 专栏