2015 年开始,中国互联网开始流行起使用短信验证码的方式进行用户授权。短信验证码已经成为了中国互联网的「标配」,甚至和其他国民级应用配合后,它几乎已经完成了中国互联网和国际互联网分道扬镳的历史性转折:在中国本土使用的人非常多,但对于非中国大陆的用户而言,该服务几乎无法使用。
虽然被大范围使用,可与大部分人的认知不同,短信验证码其实并不能提供更好的安全性。因为如果「服务商 —— 短信服务商 —— 运营商」的链路中任何一个环节未使用工业级标准进行加密传输,或无法保证实施前向安全 (Forward Secrecy),那么整个链路就是不可信任的。再比如,如果短信服务商若没有良好的安全意识,别有用心的人在此处潜伏,就会窃取验证码。简单的说,由于一般的短信传输路径存在过多的薄弱之处,其安全性是值得怀疑的。
使用短信验证码除了有安全性问题之外,还存在着个人信息泄露的极大风险。可能由于携号转网并未达成,频繁更换手机号成为了一种常见行为。更换手机号带来的问题则是原有的号码所有者经常忘记取消手机号与账户的绑定,不少服务甚至无法更换号码绑定。因此,一旦号码被再次循环利用,用心不良的攻击者就可以利用此问题针对防护不佳的平台作出攻击,以取得用户资料。有些情况下,甚至可以取得足够多的资料,进行身份盗窃 (identity theft)。
短信验证码对用户隐私有很大威胁,泄露造成实际损失的例子也海内外皆有。
从用户体验的角度出发,任何一个产品都应需要最少代价完成「登录」以及合规性的要求,并尽可能少的将用户暴露在风险面之下。除了短信验证,作为身份验证的方式可能还有什么呢?我们有什么选项?伴随着5G的到来,一种更安全更快捷的验证方式也闪亮登场,这就是“一键免密登录”。所谓本机号码一键免密登录就是通过运营商特有的网关认证能力,验证待校验手机号码和应用所在的手机号码一致性,从而达到和短信验证码登录一样验证用户身份的作用。
与传统的登录形式相比,免密登录的安全指数更高,对于用户的信息保护更好。技术角度看, 5G的普及,在技术上给免密登录提供了更多的可能性。
是时候对短信验证码说再见了,可以预见,随着用户的安全快捷登录需求的放大,以及企业服务用户登录体验意识的增强,“一步到位”的免密认证会逐渐成为一种常态。
文章来源:Mob研究院