需要指出的是,这是短信验证码的价值发挥,而非义务所在!凭什么手机号码就可以验证个人信息,什么时候赋予手机号码这个职能了?验证码就能替代口令与用户意志的话,还要身份鉴证作什么?
来源 | 悲了伤的白犀牛
手机验证码成"背锅侠",我来为电信运营商鸣个冤!
近日一篇名为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引起了极大关注,文中以为ID为"信息安全老骆驼"的信安老兵详细记录了其夫妻二人在手机丢失后与黑产对抗的每一步。
对抗的结局是黑产最终"技高一筹",最终导致美团借贷产生5000元贷款,ETC信用卡产生各类买卡、充值等消费记录。
为什么一个信安老兵都在跟黑产的对抗中败下阵来呢?几乎所有的分析文章都把矛头指向一个关键点——手机短信验证码。显然,按照舆论导向,这个锅感觉要电信运营商背了。
果不其然,针对这个问题,工信部今天发表消息,称已于 10 月 12 日约谈了涉事电信企业相关负责人,要求三家基础电信企业在服务密码重置、解挂等涉及用户身份的敏感环节,在方便用户办理业务的同时强化安全防护,加强客服人员风险防范意识培训,警惕业务异常办理行为。同时,工信部也提醒广大用户及时设置SIM卡密码,在丢失手机后应第一时间挂失,强化安全风险意识。
从现实情况来看,当前"短信验证码"已经成为了所有人网络空间身份认证的主要渠道,使用手机号 验证码就可以完成很多重要操作,比如快捷登录、更改密码、转账、支付、申请贷款等等操作。但是,在很多案件中,短信验证码完全没有起到身份认证的作用,反而成为了黑产有机可乘的漏洞,造成用户财产损失。
这样看来,电信运营商背这个锅也不是太冤枉,至少短信验证码作为事实上的认证工具,其安全性似乎没达到承载人们财产安全这样的高度。
但是,作为通信行业从业者,我还是想为电信运营商鸣下冤,因为我认为手机验证码没有必要、没有义务给用户身份认证背书!
大概在2015年底开始,由于网信办发布的《互联网用户账号名称管理规定》,要求某些场景下互联网用户需实名,从此,中国互联网企业纷纷开始使用短信验证码的方式进行用户鉴权,这是现成的最便捷的手段了。中国互联网开始建立一个基于"短信验证码的身份认证"实名制网络空间,虚假账号、仿冒账号等等乱象得到了整治。可以说,短信验证码在维护互联网秩序做出了巨大贡献。
但需要指出的是,这是短信验证码的价值发挥,而非义务所在!凭什么手机号码就可以验证个人信息,什么时候赋予手机号码这个职能了?验证码就能替代口令与用户意志的话,还要身份鉴证作什么?
短信验证码虽然能充当身份认证手段,但其实并不能做到实人、实名、实证,只能做到实名、实证。前两个问题可以通过技术手段弥补,最后一个问题却是短信验证码技术的天然缺憾。由此也引发了很多黑产犯罪事件。
事实上,我们的互联网企业、尤其是互联网金融企业,应该与时俱进地去更新自己系统的身份可信认证工具,比如,涉及借贷这类高风险的业务,为什么不能引入动态刷脸验证呢?在目前已公布的金融科技创新应用中可以看到大量有关可信身份认证与大数据风控相关的应用。
都互联网时代了,很多人的思想还停留在2G时代!
附. 普及一下手机PIN码的设置流程吧。
SIM卡设置PIN码后,手机开机时(比如换卡后重新开机)会要求输入PIN码,输入错误三次之后卡将会被锁住,相当于是增加了一道门槛。那SIM卡的PIN码如何设置呢?
以小米手机为例(系统为MIUI12),首先点开设置>点击【密码与安全】>点击【系统安全】,这时候在"SIM卡锁定方式"这一栏的下方就会出现你手机的电话卡,点击进去就可以设置锁定你的SIM卡了,同时可以进行PIN码的修改,默认的PIN码一般是"1234"。
- END -