當(dāng)然，有很多對(duì)于使用體驗(yàn)不那么敏感的用戶(hù)反而覺(jué)得，收發(fā)驗(yàn)證碼的時(shí)間對(duì)于他們而言，無(wú)足輕重。同時(shí)，驗(yàn)證碼于他們而言，更多意義上而言是一種提醒——提醒自己賬戶(hù)情況有變動(dòng)。

 

實(shí)際上，驗(yàn)證碼也就僅剩下提醒這一個(gè)比較實(shí)用的功能，更多情況下，驗(yàn)證碼帶來(lái)的不是安全，而是風(fēng)險(xiǎn)。

 

發(fā)生在身邊的案例

 

媒體的報(bào)道中，關(guān)于手機(jī)安全的案例比比皆是：又是誰(shuí)的信用卡被盜刷了，誰(shuí)的支付寶賬戶(hù)被黑了……

 

那么到底是怎么一回事？我們不妨看看兩個(gè)身邊的例子：

 

在網(wǎng)上盜刷案件中，詐騙分子冒充電商平臺(tái)客服人員，以“訂單出現(xiàn)異常需退款”發(fā)短信，或是虛擬銀行客服號(hào)碼發(fā)送“積分兌換”“網(wǎng)上銀行升級(jí)”等短信，誘騙受害者點(diǎn)擊木馬鏈接或登錄釣魚(yú)網(wǎng)站，獲取受害者身份證號(hào)、銀行賬號(hào)、密碼、驗(yàn)證碼等信息，竊取其賬戶(hù)存款。

 

2015 年 7 月，犯罪分子利用重慶三峽銀行研發(fā)的在線支付平臺(tái)“三峽付”，3 天之內(nèi)竊取 43 名客戶(hù)逾百萬(wàn)元銀行卡資金。犯罪分子先向受害者手機(jī)發(fā)送含有木馬病毒的短信，受害者點(diǎn)擊短信后，犯罪分子就能獲取手機(jī)內(nèi)的全部信息并攔截其后該手機(jī)收到的任何短信。犯罪分子從這些信息中篩選出開(kāi)戶(hù)人姓名、身份證號(hào)碼、銀行卡號(hào)、開(kāi)戶(hù)銀行預(yù)留手機(jī)號(hào)等信息，并利用這些信息注冊(cè)“三峽付”電子賬戶(hù)，將受害者銀行卡與“三峽付”賬戶(hù)綁定。

 

這些詐騙作案的共同特點(diǎn)就是“竊取用戶(hù)驗(yàn)證碼”。一種是通過(guò)花言巧語(yǔ)的方式騙取用戶(hù)驗(yàn)證碼，經(jīng)過(guò)公安同志和各大電商平臺(tái)的不斷提醒，大家對(duì)于這種方式的戒備心還是比較高的；另外一種方式，是通過(guò)所謂的“木馬”，截取用戶(hù)短信記錄的方式獲取用戶(hù)信息，警惕性不高的用戶(hù)容易上當(dāng)。

 

另外還有一種比較不容易防范的方式，尤其是在 Android 手機(jī)上，一些的應(yīng)用會(huì)“嘗試獲得讀取短信”的權(quán)限，很多時(shí)候，用戶(hù)為了貪圖一時(shí)輸入驗(yàn)證碼的方便，也不管是什么應(yīng)用都會(huì)“放權(quán)”。有時(shí)候，甚至是一些不安全開(kāi)放式 Wi-Fi 也暗含著竊取用戶(hù)賬戶(hù)的短信驗(yàn)證碼的風(fēng)險(xiǎn)。

 

實(shí)際上，對(duì)于那些足夠謹(jǐn)慎的用戶(hù)而言，驗(yàn)證碼的安全性確實(shí)很高，但人總會(huì)有“百密一疏”的時(shí)候。尤其是對(duì)于老人和小孩兒而言，他們對(duì)于一些手機(jī)權(quán)限并不了解，更容易成為詐騙分子的“刀俎”。

 

沒(méi)有驗(yàn)證碼，賬戶(hù)就安全了？

 

據(jù)公安部經(jīng)偵局相關(guān)負(fù)責(zé)人介紹，2016 年上半年，全國(guó)立案查處竊取、收買(mǎi)、非法提供銀行卡信息犯罪案件 177 起，同比上升 4.5 倍。銀行卡信息泄露方式從以往的改裝POS機(jī)、ATM機(jī)竊取數(shù)據(jù)和密碼等，發(fā)展為利用黑客技術(shù)或偽基站等批量盜取方式。同時(shí)，有些用戶(hù)習(xí)慣使用同樣的密碼，往往不法分子還能通過(guò)撞庫(kù)的方式竊取到此用戶(hù)的其他賬戶(hù)資料。

 

顯然傳統(tǒng)密碼這種方式應(yīng)對(duì)這一方面的攻擊顯得尤為脆弱——因?yàn)槿魏我环N認(rèn)證方式都算是弱認(rèn)證，必須獨(dú)立使用兩種甚至三種才算是強(qiáng)認(rèn)證，然而，開(kāi)啟二次驗(yàn)證的用戶(hù)更是少之又少。 二次驗(yàn)證的最主要問(wèn)題在于其繁瑣性，而這正是免密認(rèn)證的優(yōu)勢(shì)所在。電信的免密認(rèn)證可以精確識(shí)別當(dāng)前用戶(hù)的手機(jī)號(hào)碼，一鍵驗(yàn)證通過(guò)，省去了短信驗(yàn)證碼的繁瑣流程，避免了被劫取的風(fēng)險(xiǎn)，毫無(wú)疑問(wèn)，我們登陸各種應(yīng)用的方式會(huì)變得簡(jiǎn)單而安全——我們僅需點(diǎn)擊“允許應(yīng)用獲取手機(jī)號(hào)碼”，一鍵認(rèn)證即可。

 

比如，在異地取款和消費(fèi)的時(shí)候，銀行不僅需要向中國(guó)電信核實(shí)用戶(hù)的所在地，還需要用戶(hù)登錄認(rèn)證應(yīng)用進(jìn)行手動(dòng)的“一鍵認(rèn)證”。這樣就極大地降低信用卡或借記卡被盜刷的風(fēng)險(xiǎn)。

 

同時(shí)，接入了“天翼免密認(rèn)證”服務(wù)的服務(wù)提供商必然會(huì)經(jīng)過(guò)中國(guó)電信方面的審核，意味著其在安全性上面有認(rèn)證。

 

如果我要銷(xiāo)號(hào)……

 

現(xiàn)在對(duì)于大多數(shù)人而言，一臺(tái)手機(jī)的價(jià)值或許還比不上手機(jī)里的手機(jī)號(hào)。手機(jī)號(hào)碼上面綁定了大量的用戶(hù)賬號(hào)，在移動(dòng)互聯(lián)網(wǎng)時(shí)代，手機(jī)號(hào)就相當(dāng)于我們的另一個(gè)身份證號(hào)。

 

如果要更換手機(jī)號(hào)，就需要大量的時(shí)間去解綁手機(jī)號(hào)碼，這對(duì)用戶(hù)，服務(wù)提供商和電信運(yùn)營(yíng)商而言，都是個(gè)大問(wèn)題——用戶(hù)不記得自己手機(jī)號(hào)關(guān)聯(lián)了多少賬戶(hù)，服務(wù)提供商不知道用戶(hù)是否銷(xiāo)號(hào)，而運(yùn)營(yíng)商也不知道是否能“二次放號(hào)”。

 

在傳統(tǒng)驗(yàn)證碼的時(shí)代，用戶(hù)更換手機(jī)號(hào)，忘記解綁，需要提供大量的資料去證明“我是我”，細(xì)致到“什么時(shí)候”注冊(cè)賬號(hào)這樣的問(wèn)題根本答不上來(lái)；服務(wù)提供商則需要花費(fèi)大量的人力和時(shí)間去驗(yàn)證用戶(hù)資料的真?zhèn)危�以及和用�?hù)溝通反饋；至于運(yùn)營(yíng)商“二次放號(hào)”后，第二名用戶(hù)則可能會(huì)接收到一些與自己無(wú)關(guān)的驗(yàn)證碼。如果能有一個(gè)機(jī)制能打破這之間的信息不對(duì)稱(chēng)，那么問(wèn)題就迎刃而解了。

 

“天翼免密認(rèn)證”，就是一個(gè)平衡雙方信息的橋梁。在免密認(rèn)證機(jī)制中，中國(guó)電信扮演的是“信息庫(kù)”的角色，服務(wù)提供商有權(quán)限要求它核實(shí)一些信息：比如用戶(hù)入網(wǎng)時(shí)間是否早于某一具體的時(shí)間，當(dāng)前用戶(hù)是否在網(wǎng)等等。在這個(gè)過(guò)程中，服務(wù)提供商能確定當(dāng)前手機(jī)號(hào)是否已經(jīng)注銷(xiāo)。

 

如果今后中國(guó)電信方面能進(jìn)一步開(kāi)放可供比對(duì)的權(quán)限，比如提供實(shí)名認(rèn)證的比對(duì)。只要用戶(hù)提供賬戶(hù)實(shí)名信息， 那么解綁注銷(xiāo)號(hào)碼的步驟將會(huì)極大地簡(jiǎn)化——用戶(hù)向電信提供自身實(shí)名信息，中國(guó)電信做為信息庫(kù)和平臺(tái)，負(fù)責(zé)核實(shí)信息的正確與否；服務(wù)提供商全程不獲取任何用戶(hù)實(shí)名信息，從電信給出的回答中，確認(rèn)申請(qǐng)解綁用戶(hù)和手機(jī)號(hào)主人是否為同一人。

 

就目前而言，中國(guó)電信的“天翼免密認(rèn)證”服務(wù)還處于推廣階段，其應(yīng)用場(chǎng)景將來(lái)不僅僅局限于“替代驗(yàn)證碼”這么簡(jiǎn)單。作為未來(lái)密碼的潛在替代品，這項(xiàng)服務(wù)能夠在很多領(lǐng)域發(fā)揮作用