短信验证码安全性堪忧，多因素认证或成未来主流

篇首语：本文由编程笔记#小编为大家整理，主要介绍了短信验证码不安全，接下来多因素认证或将接班相关的知识，希望对你有一定的参考价值。

如今随着互联网越来越深的扎根在我们的日常生活之中，甚至现在仅仅依靠网络，我们已经能够实现“宅生活”，并且相信为数不少的人已经很难想象没有网络的日子。而为了能够使用各式各样的网络服务，我们也需要进行各种APP上注册账号，并成为它们的用户。

• 身份认证是打开数字世界的钥匙

在互联网时代，用户身份认证无疑是安全的第一道大门，也是用户在访问各类应用的必经过程，因此确保用户的身份安全则是互联网业务开展的安全基石，也决定着各项资源访问权限的合理分配，而身份认证的正确性，也直接影响各项权限分配的合法性或合理性。

众所周知，互联网是一个由二进制构建的世界，不论是手机还是PC与用户的交流都需要通过数字身份，也就是我们常说的“账号+密码”。当然了，最常规的“账号+密码”仅仅是基础的静态口令认证，密码一旦被设定之后，除非用户主动更改，否则将保持不变，这也就就自然带来了显而易见的问题——密码被黑客通过木马、撞库等方式盗取了怎么办?

由此，也引申出更为先进的动态验证模式。而短信验证码就是其中的代表，但可惜的是国内警方曾经爆料了“GSM劫持+短信嗅探技术”的犯罪方法，也已经说明基于GMS技术的短信验证码已不再牢不可破。

除了应用广泛的短信验证码之外，就要数动态口令最常见了。相信许多游戏玩家们都对各种“将军令”、“玲珑密保锁”很熟悉，这一类“One-time Password”是根据专门算法给出的数字序列，也仅仅与使用的时间有关，但是这类动态验证软件需要解决的麻烦，就是要保持客户端与服务器端的时间处于良好的同步状态之下，隐含的意思就是需要比较良好的网络环境。

• 更加安全的多因素认证来了

身份认证技术的发展，在经历了从软件认证到硬件认证，从静态认证到动态认证的过程之后，已经明确这些认证模式都有着各自的缺陷。

因此，如何防范身份冒用也成为了消费者所关心的问题。日前据外媒报道，美国四大通信运营商Verizon、、Sprint、Mobile以及AT&T联合成立了一家名为Mobile Authentication Taskforce的公司，其目的是打造一个通用的单点登录平台——Project Verify。

所谓单点登录，指的是在多个不同的应用系统中，用户只需要登录一次之后，就可以访问所有相互信任的应用系统。通过Project Verify，不论是Verizon还是AT&T的用户都能够掌握通过他们的设备共享了哪些信息，以及允许哪些应用程序将会访问这些信息。而且一旦用户在手机和应用服务之间建立起最初的握手机制之后，整个平台之上的所以应用程序之间的自动登录就成为现实。

• Project Verify很可能只会是一个孤例

不过对于手机用户而言，这里其实有一个很重要的问题，作为一项验证服务，Project Verify必须获得APP自身支持并拥有使用其明确的许可才行。而APP之间的互信问题，事实上谷歌也已经有了解决思路，其首次在android P中引入对网络连接状态的限制，会禁止APP抓取与自己无关的通信数据包，也就是说某一个APP只能看到与自己有关的信息。这个全新的设置就相当于为用户搭建了一个较为纯净的隔离器，即使你下载了某个带有恶意程序的APP，其也很难威胁到Project Verify项目的成员。

单点登录和多因素认证，在美国四大运营商主导之下的新平台为我们揭示了一个全新的未来。不过可以预见的是，这一项目尽管拥有完美的愿景，但是其在实施过程之中也同样困难重重，因为其不仅需要运营商的支持，APP开发者们的利益也暂时还难以调和。

毕竟这类打通不同系统壁垒的做法，暂时来看并非易事。就以最新的iPhone Xs\XR为例，连苹果都只能专为中国提供双实体SIM卡的特供版，而不是在海外提供的实体卡+eSIM卡的组合，究其原因，就是中国的移动运营商对于自家用户群体显得有点“敝帚自珍”，类似Project Verify这样的“单点登录”平台其实是很不受运营商待见的，毕竟活跃在这一平台上的用户，到底应该归属于谁，也是个很难回答的问题。

【本文图片来自网络】

推荐阅读：

时隔六年出品新机，这台小米依然令人感动。

一口气发布了四款新品的魅族，今天也在向业界宣告，我回来了。