“免密認證”或成為后移動互聯(lián)網(wǎng)時代用戶認證上“殺手锏”

免密認證網(wǎng)絡(luò)安全互聯(lián)網(wǎng)

碼字老農(nóng) | 2017-05-04 11:30

【數(shù)據(jù)猿導讀】目前的手機綁定最主要還是通過短信驗證碼來證明自己的身份，驗證方式簡單便捷。然而，人們在享受這份簡單便捷的驗證方式時，不由也為短信驗證碼來驗證身份信息的方式產(chǎn)生了不信任感

隨著移動互聯(lián)網(wǎng)的蓬勃發(fā)展，衍生出來眾多行業(yè)，也讓原本功能單一的手機號做出極大的改變。

目前，每個人的手機號都綁定了或多或少的各種賬號，手機綁定的東西越來越多，涉及到的重要的東西也越來越多，例如像銀行卡綁定手機號、注冊使用支付寶、購買金融理財產(chǎn)品等等涉及到資金安全的行為。

目前的手機綁定最主要還是通過短信驗證碼來證明自己的身份，驗證方式簡單便捷。然而，人們在享受這份簡單便捷的驗證方式時，不由也為短信驗證碼來驗證身份信息的方式產(chǎn)生了不信任感。

那么手機短信驗證碼真的安全嗎？

利用短信驗證身份之所以瘋長，無外乎通過短信進行二次驗證是成本最低，最簡單便捷的驗證方式。然而，由于智能機普及，手機系統(tǒng)的漏洞也在增長，各類木馬的存在，也導致短信驗證身份的安全性出現(xiàn)問題。

當前，短信驗證用戶受到最大的威脅就是來自于智能平臺上的短信木馬。這類短信木馬通過發(fā)送短連接短信，讓用戶在不知情的情況下下載安裝木馬，當木馬安裝在手機之內(nèi)就會將用戶的涉及財產(chǎn)的應(yīng)用賬號密碼重置，并攔截短信驗證碼，實現(xiàn)重置用戶的賬號。這是用戶方面在短信驗證安全受到的威脅，只而像這類的木馬由于編寫簡單，也早已形成一個非常完整的產(chǎn)業(yè)鏈：

制作木馬→出售木馬→租用木馬→進行釣魚詐騙→成功后進行洗號→轉(zhuǎn)移財產(chǎn)

這是一個位于地下的龐大產(chǎn)業(yè)鏈，又因其又衍生一系列的盜刷等等行業(yè)。

此外，短信驗證碼也能通過無線電被監(jiān)聽，簡單來說就是通過偽基站對用戶手機進行監(jiān)聽，但是受范圍的限制。

這樣的方式通過監(jiān)聽空中短信，也包括GSM監(jiān)聽，獲得短信內(nèi)容然后進行盜竊活動，雖然有一定的距離限制，但是可以與短信木馬相輔相成，又能單獨作案，這樣的方法沒有太好的解決方案，只能等GSM退出歷史舞臺。

難道真的就沒有其他方式來解決、甚至提單短信驗證碼的不安全問題嗎？

中國電信已經(jīng)開始推出了“免密認證”的業(yè)務(wù)——即依托電信運營商的移動數(shù)據(jù)網(wǎng)絡(luò)，采用“通信網(wǎng)關(guān)取號”及SIM卡識別等技術(shù)。用戶僅需要允許服務(wù)商應(yīng)用獲取本機手機號碼，并通過運營商網(wǎng)絡(luò)上傳，即可完成用戶身份校驗。

這種只有運營商才能提供的差異化認證服務(wù)，只能是運營商獨有的，原理是他們掌握著全部手機號用戶的實名身份信息。互聯(lián)網(wǎng)服務(wù)提供商只需要把他們請求校驗的需求反饋給運營商，運營商將判斷結(jié)果反饋回服務(wù)提供商，即可完成校驗。

這個過程中不僅省去用戶獲取驗證碼，輸入驗證碼的過程，甚至能讓用戶直接拋棄密碼。而對于服務(wù)提供商而言，他們節(jié)省的不僅僅是發(fā)送短信費用，提升了用戶體驗，保障用戶賬戶安全，由于登錄過程的簡化，還能提升訪客注冊/登錄轉(zhuǎn)化率。

而且現(xiàn)在很多用戶在更換手機號碼的時候，都會有類似很多顧慮，比如，告知他人自己更換手機號碼并不是一件難事，真正的困難在于舊手機號碼背后綁定的一系列服務(wù)——這些都需要解綁，更換，再次綁定，尤其是對于那些注冊了上百種服務(wù)的重度互聯(lián)網(wǎng)用戶而言。

而電信推出的免密認證則讓這一切麻煩都能迎刃而解。試想一下這樣一個場景：你將自己過去的手機號注銷了，在那之前卻沒解綁這個手機號對應(yīng)的應(yīng)用賬號。在這種情況下，你需要通過填寫和上傳各種材料和申訴完成賬號的找回和解綁。

有了免密認證之后，應(yīng)用在經(jīng)用戶授權(quán)獲取手機號碼之后，經(jīng)過移動數(shù)據(jù)上傳手機號碼給運營商，運營商只需要反饋當前設(shè)備中手機號碼與綁定應(yīng)用賬號的號碼是否一致、當前設(shè)備中手機號入網(wǎng)時間是否晚于應(yīng)用綁定手機號的時間、當前應(yīng)用賬號綁定的手機號是否有過注銷的記錄等......這樣一來，你就無需再次通過繁雜的步驟，即可將應(yīng)用與已注銷的手機號解綁，填寫綁定的新號碼。

同時，免密認證還能為服務(wù)提供商做風險控制之用。對于服務(wù)提供商而言，用戶的每一次異地登錄都意味著有潛在的風險，尤其是像銀行這類的金融服務(wù)。當用戶將銀行卡插入ATM機的那一刻，銀行方面會向電信運營商詢問：用戶當前是否不在北京（常駐城市），而在廣州（異地）？電信運營商會通過用戶的漫游情況將這個判斷反饋給銀行，從而使銀行能解除這次異地取款的“警報”。這一過程，無需用戶任何操作，銀行即可完成用戶身份的校驗，用戶甚至都不會收到異地登錄取款的提醒。

總而言之，免密認證的方式能減少許多身份校驗帶來的麻煩，提升用戶賬戶的安全性，能夠為開發(fā)者在身份認證上提供更多樣的選擇，同時又能帶來更高的便捷性、安全性。

“免密認證”很有可能在身份認證領(lǐng)域發(fā)揮重要的作用，成為后移動互聯(lián)網(wǎng)時代在用戶身份認證上的一個

“殺手锏”！

來源：鈦媒體

收藏分享

聲明：數(shù)據(jù)猿尊重媒體行業(yè)規(guī)范，相關(guān)內(nèi)容都會注明來源與作者；轉(zhuǎn)載我們原創(chuàng)內(nèi)容時，也請務(wù)必注明“來源：數(shù)據(jù)猿”與作者名稱，否則將會受到數(shù)據(jù)猿追責。