前端時間的GSM劫持+簡訊嗅探技術截獲簡訊驗證碼鬧得沸沸揚揚,很多人都在指責運營商,認為是運營商的問題。對於現在涉及到資金的平臺,一般最少都是雙重認證,密碼加驗證碼或者密碼加指紋等等組合,如果你開啟了小額免密支付那就另當別論了。
目前,手機的簡訊驗證碼是手機的一個基本功能,也是我們登入或者是註冊會員等資訊的一個重要條件。不法分子利用網際網路對簡訊驗證碼的依賴進行一些危害使用者利益行為,這種“黑科技”的技術原理不是很複雜,面對這種手段,我們除了加強簡訊驗證碼的防範之外,還應該需要加強其他的安全防範。
之所以別人可以攻擊我們的支付寶以及等賬號,絕不是單單靠知道一個手機號就可以進行攻擊成功了,必須還要知道身份證號碼或者是身份證照片或者是手持身份證照片等等,這些資訊才是構成財產轉移走的根本原因,光知道一個手機號是不可能進行財產轉移的。
我看見網路上都是說簡訊驗證碼不安全,筆者認為最重要的不是簡訊驗證碼,而是資訊保安問題。試想一下,你支付寶在其他手機登入是不是需要進行安全認證呢,認證一般都需要身份證號碼和簡訊驗證碼,由於網路資訊公開化,身份證號碼是很容易搞到手的(有一些網站註冊需要身份證號、常見的招聘時候手機號和身份證號不都會填寫嗎),獲取手機號就更簡單了,註冊各種賬號都需要手機號,所以說你的手機以及身份證號碼造就被公開了。
假設我的身份資訊都保護的很好,不法分子知道了手機號又如何能轉移我的財產呢?
我曾經看見過這樣一則新聞:有些人提供各種查詢服務:身份戶籍、名下資產、手機通話記錄、名下支付寶賬號、全國開房記錄、甚至連實時的位置都可以查到,想想真是細思極恐。詳細內容就不給大家敘述了,筆者找了一些圖片,有興趣的可以自己搜尋一下。
我認為此次事件需要打擊的是兩種現象:資訊隱私安全和安全多重認證。如果這些不做好,只是打擊簡訊驗證碼攔截工具,僅僅只是治標不治本而已。
前端時間的GSM劫持+簡訊嗅探技術截獲簡訊驗證碼鬧得沸沸揚揚,很多人都在指責運營商,認為是運營商的問題。對於現在涉及到資金的平臺,一般最少都是雙重認證,密碼加驗證碼或者密碼加指紋等等組合,如果你開啟了小額免密支付那就另當別論了。
目前,手機的簡訊驗證碼是手機的一個基本功能,也是我們登入或者是註冊會員等資訊的一個重要條件。不法分子利用網際網路對簡訊驗證碼的依賴進行一些危害使用者利益行為,這種“黑科技”的技術原理不是很複雜,面對這種手段,我們除了加強簡訊驗證碼的防範之外,還應該需要加強其他的安全防範。
之所以別人可以攻擊我們的支付寶以及等賬號,絕不是單單靠知道一個手機號就可以進行攻擊成功了,必須還要知道身份證號碼或者是身份證照片或者是手持身份證照片等等,這些資訊才是構成財產轉移走的根本原因,光知道一個手機號是不可能進行財產轉移的。
我看見網路上都是說簡訊驗證碼不安全,筆者認為最重要的不是簡訊驗證碼,而是資訊保安問題。試想一下,你支付寶在其他手機登入是不是需要進行安全認證呢,認證一般都需要身份證號碼和簡訊驗證碼,由於網路資訊公開化,身份證號碼是很容易搞到手的(有一些網站註冊需要身份證號、常見的招聘時候手機號和身份證號不都會填寫嗎),獲取手機號就更簡單了,註冊各種賬號都需要手機號,所以說你的手機以及身份證號碼造就被公開了。
假設我的身份資訊都保護的很好,不法分子知道了手機號又如何能轉移我的財產呢?
我曾經看見過這樣一則新聞:有些人提供各種查詢服務:身份戶籍、名下資產、手機通話記錄、名下支付寶賬號、全國開房記錄、甚至連實時的位置都可以查到,想想真是細思極恐。詳細內容就不給大家敘述了,筆者找了一些圖片,有興趣的可以自己搜尋一下。
我認為此次事件需要打擊的是兩種現象:資訊隱私安全和安全多重認證。如果這些不做好,只是打擊簡訊驗證碼攔截工具,僅僅只是治標不治本而已。