“验证码”时代，所谓的安全认证却暗藏风险？

关注这个不一样的微信号：钛媒体 （ ID：taimeiti ）

钛媒体作者 ︳糖直销_Orz

移动互联网时代，我们几乎是“生活在手机上”，每一天，登陆各种APP、使用任何互联网服务的时间，几乎占用了我们生活的大量时间。而验证码，则是和我们“天天见”。

如今正悄然流行的“免密认证”技术，其最大的作用正是在于取代“手机验证码”。

当然，有很多对于使用体验不那么敏感的用户反而觉得，收发验证码的时间对于他们而言，无足轻重。同时，验证码于他们而言，更多意义上而言是一种提醒——提醒自己账户情况有变动。

实际上，验证码也就仅剩下提醒这一个比较实用的功能，更多情况下，验证码带来的不是安全，而是风险。

发生在身边的案例

媒体的报道中，关于手机安全的案例比比皆是：又是谁的信用卡被盗刷了，谁的支付宝账户被黑了……

那么到底是怎么一回事？我们不妨看看两个身边的例子：

在网上盗刷案件中，诈骗分子冒充电商平台客服人员，以“订单出现异常需退款”发短信，或是虚拟银行客服号码发送“积分兑换”“网上银行升级”等短信，诱骗受害者点击木马链接或登录钓鱼网站，获取受害者身份证号、银行账号、密码、验证码等信息，窃取其账户存款。

2015 年 7 月，犯罪分子利用重庆三峡银行研发的在线支付平台“三峡付”，3 天之内窃取 43 名客户逾百万元银行卡资金。犯罪分子先向受害者手机发送含有木马病毒的短信，受害者点击短信后，犯罪分子就能获取手机内的全部信息并拦截其后该手机收到的任何短信。犯罪分子从这些信息中筛选出开户人姓名、身份证号码、银行卡号、开户银行预留手机号等信息，并利用这些信息注册“三峡付”电子账户，将受害者银行卡与“三峡付”账户绑定。

这些诈骗作案的共同特点就是“窃取用户验证码”。一种是通过花言巧语的方式骗取用户验证码，经过公安同志和各大电商平台的不断提醒，大家对于这种方式的戒备心还是比较高的；另外一种方式，是通过所谓的“木马”，截取用户短信记录的方式获取用户信息，警惕性不高的用户容易上当。

另外还有一种比较不容易防范的方式，尤其是在 Android 手机上，一些的应用会“尝试获得读取短信”的权限，很多时候，用户为了贪图一时输入验证码的方便，也不管是什么应用都会“放权”。有时候，甚至是一些不安全开放式 Wi-Fi 也暗含着窃取用户账户的短信验证码的风险。

实际上，对于那些足够谨慎的用户而言，验证码的安全性确实很高，但人总会有“百密一疏”的时候。尤其是对于老人和小孩儿而言，他们对于一些手机权限并不了解，更容易成为诈骗分子的“刀俎”。

没有验证码，账户就安全了？

据公安部经侦局相关负责人介绍，2016 年上半年，全国立案查处窃取、收买、非法提供银行卡信息犯罪案件 177 起，同比上升 4.5 倍。银行卡信息泄露方式从以往的改装POS机、ATM机窃取数据和密码等，发展为利用黑客技术或伪基站等批量盗取方式。同时，有些用户习惯使用同样的密码，往往不法分子还能通过撞库的方式窃取到此用户的其他账户资料。

显然传统密码这种方式应对这一方面的攻击显得尤为脆弱——因为任何一种认证方式都算是弱认证，必须独立使用两种甚至三种才算是强认证，然而，开启二次验证的用户更是少之又少。 二次验证的最主要问题在于其繁琐性，而这正是免密认证的优势所在。电信的免密认证可以精确识别当前用户的手机号码，一键验证通过，省去了短信验证码的繁琐流程，避免了被劫取的风险，毫无疑问，我们登陆各种应用的方式会变得简单而安全——我们仅需点击“允许应用获取手机号码”，一键认证即可。

比如，在异地取款和消费的时候，银行不仅需要向中国电信核实用户的所在地，还需要用户登录认证应用进行手动的“一键认证”。这样就极大地降低信用卡或借记卡被盗刷的风险。

同时，接入了“天翼免密认证”服务的服务提供商必然会经过中国电信方面的审核，意味着其在安全性上面有认证。

如果我要销号……

现在对于大多数人而言，一台手机的价值或许还比不上手机里的手机号。手机号码上面绑定了大量的用户账号，在移动互联网时代，手机号就相当于我们的另一个身份证号。

如果要更换手机号，就需要大量的时间去解绑手机号码，这对用户，服务提供商和电信运营商而言，都是个大问题——用户不记得自己手机号关联了多少账户，服务提供商不知道用户是否销号，而运营商也不知道是否能“二次放号”。

在传统验证码的时代，用户更换手机号，忘记解绑，需要提供大量的资料去证明“我是我”，细致到“什么时候”注册账号这样的问题根本答不上来；服务提供商则需要花费大量的人力和时间去验证用户资料的真伪，以及和用户沟通反馈；至于运营商“二次放号”后，第二名用户则可能会接收到一些与自己无关的验证码。如果能有一个机制能打破这之间的信息不对称，那么问题就迎刃而解了。

“天翼免密认证”，就是一个平衡双方信息的桥梁。在免密认证机制中，中国电信扮演的是“信息库”的角色，服务提供商有权限要求它核实一些信息：比如用户入网时间是否早于某一具体的时间，当前用户是否在网等等。在这个过程中，服务提供商能确定当前手机号是否已经注销。

如果今后中国电信方面能进一步开放可供比对的权限，比如提供实名认证的比对。只要用户提供账户实名信息， 那么解绑注销号码的步骤将会极大地简化——用户向电信提供自身实名信息，中国电信做为信息库和平台，负责核实信息的正确与否；服务提供商全程不获取任何用户实名信息，从电信给出的回答中，确认申请解绑用户和手机号主人是否为同一人。

就目前而言，中国电信的“天翼免密认证”服务还处于推广阶段，其应用场景将来不仅仅局限于“替代验证码”这么简单。作为未来密码的潜在替代品，这项服务能够在很多领域发挥作用。（本文首发钛媒体）