建立在手機驗證碼沙灘上的網際網路安全大廈

原標題:建立在驗證碼沙灘上的安全大廈

建立在手機驗證碼沙灘上的網際網路安全大廈

寫於2016年。昨天@圍脖王雲輝 將他的文章《一夜之間傾家蕩產!面對瘋狂的通訊劫案,我們如何保護自己?》推給我,讓我說說,還鼓勵我寫篇文章。

實說,網路安全的事不能多寫,應為從流程審計角度看,如果應用安全未能同步提升構成更安全的“閉環”,那這樣的文章剖析得越清楚,越象是一個幫助壞人的教材。

隨著近幾年4G、大屏智慧手機、移動網際網路的快速發展,我們正面臨一個越來越便捷的環境,但千瘡百孔的環境之間打通,意味著更加危險的安全隱患,如果不能及時堵漏,而是被不法分子利用,那將不可想象。

如圍脖王雲輝文章中提到的例項,移動運營商確實存在問題,如①不合理的空中異地寫卡為何能實現,②寫卡的提示資訊非常簡潔,實際是為本地換卡所用,傳送到他人手機並不清楚,③通過郵箱傳送簡訊時號碼具有“隱蔽性”,內容中應說明(實際沒有,如通過易信傳送免費簡訊時,會有清晰的提示)。

但即使有這些問題,更換卡後,使用者損失的最多隻是一些電話費(十年前如此)。為什麼郵箱、支付工具等都被攻克,這並不是運營商的網路有漏洞,而是這些業務流程中的一些關鍵環節是直接或間接基於“手機驗證碼”的,如更改密碼,如安全二次提示,如果手機號跑到了不法分子手裡,這些應用建立的安全防線就成了“馬奇諾防線”。

為避免“培訓”騙子,這裡以的登陸、修改密碼為例。

1、微博的密碼找回流程:只要知道了註冊郵箱號,可以通過繫結的手機號找回。

建立在手機驗證碼沙灘上的網際網路安全大廈

展開全文

建立在手機驗證碼沙灘上的網際網路安全大廈

建立在手機驗證碼沙灘上的網際網路安全大廈

2、有了手機號,其實登陸不需要密碼。無密碼登陸,手機只要收到系統傳送的驗證碼,就可以快速登陸。而且驗證碼都不需要你輸入。

建立在手機驗證碼沙灘上的網際網路安全大廈

建立在手機驗證碼沙灘上的網際網路安全大廈

3、手機登陸後,電腦登陸同樣簡單,一掃電腦端的二維碼即可。

手機微博掃二維碼在這裡

建立在手機驗證碼沙灘上的網際網路安全大廈

然後確認一下就好。

建立在手機驗證碼沙灘上的網際網路安全大廈

由於微博本身不提供支付功能,這樣的認證流程應該是相當嚴謹的。微博也做了不少防範,如不提供通過顯性的微博賬號找回密碼,我試了一下,通過手機號找回密碼也不成功。而註冊郵箱未公開,通過暱稱也不能找回完整的郵箱(只是提供一個隱藏幾位的提示資訊)。

但如果類似的手機驗證碼驗證操作出現在直接與資金賬戶相關聯的應用,或間接通過郵箱與資金賬戶關聯的應用中,就很危險了。

責任編輯:

閱讀 ()
喜歡這篇文章嗎?立刻分享出去讓更多人知道~

相關文章