短信验证码如此不安全!苹果双重验证好太多
日前 TechCrunch 报道了一起通信服务公司 VoxOx 的重大数据泄漏事件,由于一个重大安全漏洞,数以千万计算的短信数据遭到泄露,这其中就不乏密码重置链接、双重验证代码、送货通知等。外媒 9to5mac 认为,这起事件凸显了 苹果 双重验证举措的安全性。
VoxOx 是一家位于圣地亚哥的通信公司。这家公司的服务器缺乏密码保护,给了他人几乎能窥探实时短信流的机会。数据显示,VoxOx 的服务器上已有超过 2600 万条短信。调查人员在泄露出的短信数据中发现了 booking.com、谷歌和至少两家 金融 服务公司的 2FA(双重验证)代码。
短信验证码的弊端
通过短信接收验证码,是国内外用户常用的一种双重验证途径。但是 9to5mac 指出,短信本身的 SMS(短信息服务)不是一个非常安全的协议,承载短信传输的七号信令系统(SS7,Signaling System Number 7)中存在许多已知的漏洞。对于短信本身,其文本消息经常以纯文本形式进行传送(运营商可以选择使用加密,但通常不会)。 而 SMS 是一种 " 存储 - 转发 " 系统,短信在收发的行程中,会有多个节点是存储在系统上的。因此,短信的安全也就寄托在了负责存储的公司身上。
简而言之,传统的短信验证码作为一种双重验证的手段,存在着重大的缺陷。
苹果是怎么做的呢?
苹果确实提供了短信代码选项,为了应对只有一个苹果设备的用户需求。苹果公司处理相关问题的方法主要是通过 " 可信设备 " 这一概念。当用户将 Apple ID 与设备关联时,该设备则会被苹果公司视为 " 可信设备 "。每当其他设备处理一次登录请求的时候,这一设备就会显示出六位数的双重验证代码。
因此,苹果的方法似乎要更胜一筹。在苹果的体系中,这一验证系统由苹果采用,苹果能完全掌控其安全协议。代码是以加密形式推送到设备上的,同时,苹果也为每个可信设备使用唯一的加密种子(seed)。
唯一的加密种子还意味着,用户可以随时从可信设备列表中删除某一设备,这之后它将不再获得授权接收双重验证代码。因此,苹果的这一体系也比其他使用共享种子密钥的身份验证器应用更好。
苹果基于设备的双重验证系统对用户来说也更友好。与短信不同,这一系统不需要用户连接到移动数据,WiFi 环境下也可以工作,推送代码到达得也很快。相比之下,短信验证码有时会延迟几分钟、几小时甚至无法到达。
因此,若你正在使用苹果设备,通过双重认证方式保护 Apple ID,是一个值得考虑的选择。
【来源:IT之家】