尽管目前大量应用和网站在基于手机短信的身份认证,短信认证还是被美国国家标准与技术研究所(NIST)宣布不安全:“基于短信的身份认证已经过时,在未来将被禁止使用”。
手机短信之所以如此流行,主要在于其便捷性,用户既不需要额外携带设备,也不必安装任何软件就能实现认证。尽管如此,随着越来越多的网络攻击者盯上短信认证的薄弱点,这一认证方式正逐渐暴露安全性的不足。
目前常见的攻击手段主要有拦截短信木马、补卡/克隆攻击、无线电监听以及其衍生出来的“降维攻击”等。
拦截短信木马的做法通常需要预先利用链接、二维码、钓鱼网站等或其他手段诱骗受害者将木马程序下载并植入到自己的手机中,借此监听或转发受害者的短信来重置对方的账户。由于这类木马编写十分简单,所以已经形成了从制作到出售、出租、实施钓鱼欺骗、洗号、转移财务的完整地下产业链。
补卡/克隆攻击则是基于手机SIM卡来实施的。攻击者不需要通过受害者的手机设备,只需要办一张和受害者相同的手机号码,就能接收到受害者的短信验证码。这里主要利用了运营商的管理漏洞,部分地区的运营商对补卡人员的身份没有进行有效的验证,以往一个随意假造的证件和几句蹩脚的说辞就能骗过工作人员成功补卡,由于近年此类攻击被多次报道,因此各大运营商也加强了安全意识,如今补卡还是盘查地比较严格的,但同样不能完全杜绝此类情况的发生。
无线电监听主要是GSM监听,直接监听空中短信,这种方式有较高的技术门槛,通常用于针对企业高层或是政府机要人员。由于GSM通信协议本身加密强度很弱,而中国使用的GSM网络甚至是明文不加密,因此在几年前就已被黑客破解。即使现在3G、4G网络已经普及,但是据有关资料统计,中国目前2G手机仍有6亿-7亿部左右,黑客用来监听的设备几十块钱就能买得到。而且就算用户使用的是CDMA、3G、4G等更安全的信号通道,也可以通过信号干扰等方式让用户信号强制降为(2G)GSM之后进行监听。
如果正如NIST所言,短信认证最终将会退出历史舞台,认证方式很有可能朝着另一个方向发展。
首先是手机令牌,这种方式目前广泛使用在各个领域,比如谷歌身份验证器在国外网站非常流行,在国内的网站也越来越多地提供二次验证服务。原本在企业内部流行的动态令牌硬件如今也逐渐被手机令牌所替代。然而,越来越多的人也发现,基于六位数的动态令牌的使用体验很差,用户在登录时必须手动进入动态密码展示界面,然后照着数字输入到电脑上,在这期间如果动态密码发生改变,则需要重新输入,于是两种新的方式就应运而生并迅速流行起来——扫码认证和推送认证。
得益于微信和支付宝对扫码技术的大力推广,如今扫码支付已经成为网络支付的主流手段之一,但其实二维码技术在身份认证上也有许多应用,比如扫码登录。无论是在网页版微信、QQ或是淘宝,都在主动地推广扫码登录这种更安全的方式。当我们打开淘宝的登录页面,出现的不再是账号密码输入框,而是一个登录二维码,甚至在网页版微信中,仅仅允许扫码登录,并且这种方式正在被越来越多的网站和应用效仿。
和扫码相比,推送认证也被认为是最有可能替代短信认证的方式之一。所谓推送认证,就是向用户手机推送一条认证请求,用户点击确认或进行相应操作后完成认证,这种方式和短信相比不仅更安全,而且能最大限度降低用户的操作成本。以国内知名身份认证服务商洋葱认证为例,企业员工在登录日常办公系统或连接WiFi、VPN时,手机会自动收到一条推送请求,只有点击确认后才能成功登录,这样即使密码不慎泄露也不必担心账号安全,并且员工只需要额外点击一下手机而不必接受或填写短信。
此外,基于手机软件的扫码或推送之所以流行,还在于可以和异常登录行为分析、生物识别等认证技术进行深度结合。微信和支付宝都有做类似的安全防护措施,比如当一个微信在一台陌生的设备上,或者异常的地点登录时,必须两个微信好友发送验证码协助确认操作者的身份才能正常登录。在洋葱提供的企业员工认证中,企业员工登录重要等业务系统时,收到的认证请求也不再是简单的“确认取消”,而是人脸识别、声纹识别等方式,由此来验证操作者是否是员工本人,这样就可以最大限度地防止盗号情况的发生。
显然,无论是生物识别或是异常登录分析,都是短信认证无法做到的。短信认证只关心用户是否有验证码,却不管是谁在使用手机,一旦用户的手机遗失则很容易发生身份盗用的情况。
总之,短信在设计上原本就不是用来进行身份认证的,只不过由于其自然的弱身份绑定(手机号)和便捷性让其大受欢迎,甚至从某种角度上来看,手机短信认证的流行和网络实名制以及手机号实名制的推行也不无关系。但长远看来,短信认证的方式只是权宜之计,终将被更安全便捷的方式替代。
