进入后移动互联网时代,免密认证将成为安全认证的“杀手锏”
随着移动互联网的蓬勃发展,衍生出来众多行业,也让原本功能单一的手机号做出极大的改变。
目前,每个人的手机号都绑定了或多或少的各种账号,手机绑定的东西越来越多,涉及到的重要的东西也越来越多,例如像银行卡绑定手机号、注册使用支付宝、购买金融理财产品等等涉及到资金安全的行为。
目前的手机绑定最主要还是通过短信验证码来证明自己的身份,验证方式简单便捷。然而,人们在享受这份简单便捷的验证方式时,不由也为短信验证码来验证身份信息的方式产生了不信任感。
那么手机短信验证码真的安全吗?
利用短信验证身份之所以疯长,无外乎通过短信进行二次验证是成本最低,最简单便捷的验证方式。然而,由于智能机普及,手机系统的漏洞也在增长,各类木马的存在,也导致短信验证身份的安全性出现问题。
当前,短信验证用户受到最大的威胁就是来自于智能平台上的短信木马。这类短信木马通过发送短连接短信,让用户在不知情的情况下下载安装木马,当木马安装在手机之内就会将用户的涉及财产的应用账号密码重置,并拦截短信验证码,实现重置用户的账号。这是用户方面在短信验证安全受到的威胁,只而像这类的木马由于编写简单,也早已形成一个非常完整的产业链:
制作木马 → 出售木马 → 租用木马 → 进行钓鱼诈骗 → 成功后进行洗号 → 转移财产
这是一个位于地下的庞大产业链,又因其又衍生一系列的盗刷等等行业。
此外,短信验证码也能通过无线电被监听,简单来说就是通过伪基站对用户手机进行监听,但是受范围的限制。
这样的方式通过监听空中短信,也包括GSM监听,获得短信内容然后进行盗窃活动,虽然有一定的距离限制,但是可以与短信木马相辅相成,又能单独作案,这样的方法没有太好的解决方案,只能等GSM退出历史舞台。
难道真的就没有其他方式来解决、甚至提单短信验证码的不安全问题吗?
中国电信已经开始推出了“免密认证”的业务——即依托电信运营商的移动数据网络,采用“通信网关取号”及 SIM 卡识别等技术。用户仅需要允许服务商应用获取本机手机号码,并通过运营商网络上传,即可完成用户身份校验。
这种只有运营商才能提供的差异化认证服务,只能是运营商独有的,原理是他们掌握着全部手机号用户的实名身份信息。互联网服务提供商只需要把他们请求校验的需求反馈给运营商,运营商将判断结果反馈回服务提供商,即可完成校验。
这个过程中不仅省去用户获取验证码,输入验证码的过程,甚至能让用户直接抛弃密码。而对于服务提供商而言,他们节省的不仅仅是发送短信费用,提升了用户体验,保障用户账户安全,由于登录过程的简化,还能提升访客注册/登录转化率。
而且现在很多用户在更换手机号码的时候,都会有类似很多顾虑,比如,告知他人自己更换手机号码并不是一件难事,真正的困难在于旧手机号码背后绑定的一系列服务——这些都需要解绑,更换,再次绑定,尤其是对于那些注册了上百种服务的重度互联网用户而言。
而电信推出的免密认证则让这一切麻烦都能迎刃而解。试想一下这样一个场景:你将自己过去的手机号注销了,在那之前却没解绑这个手机号对应的应用账号。在这种情况下,你需要通过填写和上传各种材料和申诉完成账号的找回和解绑。
有了免密认证之后,应用在经用户授权获取手机号码之后,经过移动数据上传手机号码给运营商,运营商只需要反馈当前设备中手机号码与绑定应用账号的号码是否一致、当前设备中手机号入网时间是否晚于应用绑定手机号的时间、当前应用账号绑定的手机号是否有过注销的记录等......这样一来,你就无需再次通过繁杂的步骤,即可将应用与已注销的手机号解绑,填写绑定的新号码。
同时,免密认证还能为服务提供商做风险控制之用。对于服务提供商而言,用户的每一次异地登录都意味着有潜在的风险,尤其是像银行这类的金融服务。当用户将银行卡插入 ATM 机的那一刻,银行方面会向电信运营商询问:用户当前是否不在北京(常驻城市),而在广州(异地)?电信运营商会通过用户的漫游情况将这个判断反馈给银行,从而使银行能解除这次异地取款的“警报”。这一过程,无需用户任何操作,银行即可完成用户身份的校验,用户甚至都不会收到异地登录取款的提醒。
总而言之,免密认证的方式能减少许多身份校验带来的麻烦,提升用户账户的安全性,能够为开发者在身份认证上提供更多样的选择,同时又能带来更高的便捷性、安全性。
“免密认证”很有可能在身份认证领域发挥重要的作用,成为后移动互联网时代在用户身份认证上的一个
“杀手锏”!(本文首发钛媒体)
更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App