短信验证码安全风险浅析

短信验证码识别用户身份的方式或许是在2015年底最先，3年后的今天许多人已经最先质疑其宁静性，我们不时会听到由于短沈阳软件开发

信验证码被恶意挟制从而造成小我私家信息泄露、产业损失的新闻，那么为什么时至今日我们还不能够跟短信验证码说再见呢？

 

现实上已经有服务商通过建设短信通道之外的宁静通道来验证用户手机号码的真实性，好比Google的双因子认证服务，就是类似的套路。可是，短信通道依然被作为备用通道被保留下来了，在注册时依旧需要手机号及短信验证，这里就涉及到一个很主要的原则：可用性原则。

 

短信验证码之以是容易被挟制，是由于其所处的GSM通道只需要建设一个简朴的2G伪基站就可以通过嗅探器截获短信内容，然后再通过中心人就可以模拟用户手机拨打电话从而获得手机号码偷取用户小我私家信息及产业。可能我们会希奇，即将进入5G时代的我们为什么还会保留2G网络这么不稳固的通道，事实上停止17年我国仍有近3亿2G网络用户，就像我们手机里的网络选择只能是4G/3G/2G或是仅2G，而不能是仅4/3G一样，我们必须保证2G用户的网络可用，以是GSM通道不行能被舍弃。

 

在坚持可用原则的条件下，在更为宁静的通道尚未建设的现实下，我们势必是不能跟短信验证码说再见的，在运营商完成网络升级完全摒弃2G网络之前，APP供应商可以通过增强验证渠道宁静性来掩护用户的信息产业宁静。好比Mob短信验证码服务提供的语音验证功效，可以通过供应商回拨用户手机见告语音验证码的服务规避短信嗅探器的攻击，嗅探器所能截取的只能是短信内容对语音信息是无法获取的，这就能在一定水平上保证验证信息的宁静性。