短信验证也有风险

图1 爱加密技术总监程智力

记者：目前银行、电信、电商、游戏、社交等各行业应用，都大量采用了通过手机短信进行身份的安全验证。而针对移动短信验证码认证的攻击越来越频繁，短信验证码现在面临哪些安全问题？攻击方式有哪些？有什么表现？

智力：冒名挂失、意外丢失、手机被盗、乘用户不备拿起用户的手机接收短信、不安全的网络环境、恶意应用程序、支付应用漏洞等支付风险、遭遇诈骗等都是不安全因素。

目前移动支付中普遍使用的“账号密码+短信”的认证体系，但由于短信验证码可以进行快捷支付，甚至修改密码，一旦手机遇到带有短信拦截功能的木马或者黑客攻击，可能出现动态验证码被拦截的情况。

记者：“爱加密”在解决移动短信验证码安全问题的思路是什么？利用了哪些技术手段？

智力：爱加密的短信防劫持解决方案提供“终端验证+语音验证”的双验证体系。

主要服务端将用户账号与用户手机号、手机终端进行绑定授权，当APP被触发动态码验证时，通过设备授权检测判断该设备是否为绑定设备，并自动开始验证用户终端和用户账号信息是否一致。如一致，则继续短信形式验证动态码；否则将会以语音电话形式验证动态码。最后，爱加密服务端判断发来短信验证码的手机是否是最近绑定过的手机。

记者：“爱加密”在短信验证码安全方面现在有没有正在研发的新技术？技术方面有没有什么难题？

智力：目前技术上没有什么难题，爱加密在设计这套解决方案的时候考虑到了对于老年群体（或听力不好的伤残人士），语音验证操作不易被接受。所以针对这类人群，已经研究了对应的解决办法。

记者：短信验证码既然现在暴露的漏洞这么多，未来是否会被其他身份认证方式所取代？

智力：短信验证码短时间内还不太可能被取代， 短信验证码会使用到大部分APP的身份识别与验证上，也是很多APP的最后一道安全防线，从它的安全定义上来讲关系到体验、稳定性、性能、效果、价格 ，优势非常突出。语音验证码正慢慢兴起，它具备短信验证码所有的优势，并且价格可能更低，在安全上不存在类似短信验证码很容易被拦截、转发的问题。