热点:沙上堡垒？“短信验证码”成个体新闻安全大隐患

本篇文章2626字，读完约7分钟

最近，一位网民复制了自己的手机被盗后遭遇的一系列个人新闻被盗用的经验，打印了画面，做了WeChat的笔记，成为了话题。

文件中，客户的手机被盗后，立即丢失电话卡，给不法分子留下钻孔空间，不法分子取得了“手机号码+验证码”的弱认证方法——政务app的客户身份证号码等个人重要新闻，在客户的个人新闻中

值得注意的是，目前使用手机消息验证码验证顾客身份的技术广泛应用于银行金融、社会交流媒体、电子商务等各种移动app服务。 但是，邮件作为2g互联网的通信方法，其自身的安全水平不高。

对此，工信部最近发表了。 相关机构和公司建议及时脱敏解决数据，相关领域根据最小的需要大致收集、保存、采用并收集保存的客户个人新闻分类。 另外，工信部警告很多客户及时设定sim卡的密码，在手机丢失后，在第一时间丢失，强化安全风险意识。

相关行业专家在接受人民网it频道采访时指出，这也暴露了现在网上的app、支付等环节依靠“邮件验证”这一安全短板。 基于2g互联网的消息安全认证就像“沙滩堡垒”，除了方便以外，还有安全隐患

网上支付依赖“邮件认证”有风险

现在，手机已经成为很多个人生活的必需品，刊登了手机号码、银行卡新闻、社会交往媒体账户新闻等很多家庭新闻，手机对于保护个人新闻安全的重要性越来越大。

手机丢失的概率很小，但对个人新闻的安全保护敲响了警钟。

随着移动结算的普及，“邮件验证”是目前最方便的验证方法，人们只要用手机操作，就可以简单快捷地完成业务的开始、支付等活动。 但是，科学技术的进步不仅方便，而且带来了安全上的担心。 因为这个手机的消息验证码被广泛应用于各种移动应用和网站服务.。 客户可以使用邮件验证码执行机密操作，如更改密码评级、更改邮箱评级等。

此外，消息验证码允许客户直接登录而不输入帐户密码。 现在，很多app在掌握手机号码的基础上，无需密码即可登录。 手机只需要接收系统发送的验证码，就可以更快登录。

对手机客户来说，如果邮件验证码复印件泄露，不法分子可以利用取得的客户手机号码和验证码登录个人账户，客户面临个人新闻泄露和财产损失的风险。

360安全研究员俞奎从研究中得到的SMS验证码的许多攻击角度出发，在这个例子中，脆弱的实体是手机号码验证的可靠问题，即平台验证的是设备，设备在谁手里，谁是设备的“主人”

独立电信解体师付亮认为，2g网络信息的安全验证就像“沙滩堡垒”，除了方便之外还有安全上的担忧

人民网it频道在采访过程中，来自通信、安全行业的很多行业相关人员，现在在与支付确认、支付密码的修改等高级客户资金安全验证相关的情况下，只用SMS验证码确认客户的身份，有一定的安全隐患。

从技术上讲，2g的gsm互联网采用单向认证技术，SMS拷贝以明文传输。 这个缺陷是由gsm设计引起的，gsm互联网复盖了整个网络。 这是因为修复的难度大，价格高。

更重要的是，对于互联网上的支付平台来说，除了消息的验证以外，在大宗支付和顾客交易密码的变更等重要环节中，也不允许追加引进指纹、面部识别等方法等新的验证手段。

客户id新闻保护机制还很完整

在这件事上，不法分子丢失了丢失的电话卡后，引导电话公司的工作人员解除丢失的电话卡，取得了部分app的消息认证码。

工信部对此要求三家基础电信公司在重置、解除服务密码等与客户身份相关的敏感环节，便利客户业务，加强安全防护，加强员工风险防范意识训练，警惕业务异常的处理行为。

人民网记者从中国电信获悉，现在丢失了手机的所有地运营商四川电信，取消了电话的断开方法。

中国联通说，为了保障顾客的新闻安全和财产安全，将加强现有解除过程的身份认证。 将来，在进行了客户丢失的业务后，可以通过两种方法进行理解。 一种是携带比较有效的证明书去营业所进行理解挂牌业务，另一种是在人证一致的生物认证后，在大厅进行解除操作。

另外，中国联通现阶段需要暂时关闭掌机、10010人工和智能呼叫等渠道的解除操作，号码登记者需要在联通本人比较有效的身份证的营业厅核查身份新闻后追加卡或解除丢失。 客户可以通过营业所、掌机大厅、10010等渠道轻松丢失。

为了方便异地客户，中国联通已经实现了域间服务，异地联通所属营业所也可以提供卡的补充/丢失解除服务，客户可以选择在最近的联通所属营业所处理。

中国移动根据工信部的要求，优化顾客服务密码的复位、解除流程，在关于顾客身份的敏感环节加强安全防护，加快应用远程人物的身份认证权，保障顾客的便利性和安全性，进一步普及新闻安全防范意识

网络公司应该承担更大的安全责任。

比较基于文本消息认证的安全隐患，全国新闻安全标准化技术委员会于每年2月与多个机构合作，对《互联网安全实践指南——文本消息认证码的监听实施网络id假攻击

《安全指南》建议各移动应用程序、web服务提供商掌握业务系统中消息认证码的采用方法。建议通过多种玩法的组合提高安全性。

本指南强调个人客户应该保护手机号码、身份证号码、银行卡号码和支付平台账户等敏感新闻。 收到来历不明的消息验证码等异常时，提高警惕，及时联系相关的移动应用程序、web服务提供商。

专家建议，对于层出不穷的网络攻击技术，网络公司应该更加行动，加强风险防范，承担更大的责任。

对此，人民网it频道采访了微信、京东金融等互联网公司。 微信官方表示，目前微信具有“账户保护”机制、紧急冻结功能、防范欺诈预警机制。 另外，微信支付还具有一系列安全机制和手段，包括锁定钱包、验证支付密码、终端异常评估、实时监视交易异常和监听交易。 如果客户不小心丢失了手机，应该在第一时间从微信呼叫专线“95017”按9键支付自己冻结账户的支付能力，可以比较有效地避免失去资金。

京东金融方面表示，客户建议立即给京东金融官方呼叫中心打电话。 95118，与官方呼叫中心联系，确认身份新闻后，为客户提供停止支付等动作，帮助客户降低资金被盗的风险，不要失去资金。

俞伙建议，对这个例子中出现的情况进行比较，从攻击的角度来看，作为客户，可以在以下几个级别进行安全保护。

1 .在手机sim卡上设置密码，防止手机丢失后手机卡被偷。

2 .手机丢失后，立即联系运营商丢失手机卡，防止手机丢失后手机卡被偷。

3 .在手机上设定很多杂乱的解锁密码( 6位以上的数字+字母)，避免手机的锁定密码在短期内被破译。

4 .在手机应用程序中设置安全锁，防止他人获得手机应用程序内的消息。 (赵超)

标题：热点:沙上堡垒？“短信验证码”成个体新闻安全大隐患    地址：http://www.leixj.com/gy/2021/0308/39271.html