2015 年開始，中國互聯(lián)網(wǎng)開始流行起使用短信驗證碼的方式進行用戶鑒權(quán)。短信驗證碼已經(jīng)成為了中國互聯(lián)網(wǎng)的「標配」，甚至和其他國民級應(yīng)用配合后，它幾乎已經(jīng)完成了中國互聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)分道揚鑣的歷史性轉(zhuǎn)折：在中國本土使用的人非城垛，但對于非中國大陸的用戶服務(wù)幾乎無法使用。

雖然被大范圍使用，但與大部分人的認知不同，短信驗證碼其實并不能提供更好的安全性。因為如果「服務(wù)商 —— 短信服務(wù)商 —— 運營商」的鏈路中任何一個環(huán)節(jié)若未使用工業(yè)級標準進行加密傳輸，或無法保證實施前向安全?(Forward Secrecy)，那么整個鏈路是不可信任的。如果短信服務(wù)商若沒有良好的安全意識，別有用心的人在此處潛伏，就會竊取驗證碼。簡單的說，由于一般的短信傳輸路徑存在過多的薄弱之處，其安全性是值得懷疑的。

?

使用短信驗證碼除了有安全性問題之外，還存在著個人信息泄露的極大風險。可能由于攜號轉(zhuǎn)網(wǎng)并未達成，頻繁更換手機號已成為了一種常見行為。更換手機號帶來的問題則是原有的號碼所有者經(jīng)常忘記取消手機號與賬戶的綁定，不少服務(wù)甚至無法更換號碼綁定。因此，一旦號碼被再次循環(huán)利用，存心不良的攻擊者可以利用此問題針對防護不佳的平臺作出攻擊，以取得用戶資料。有些情況下，甚至可以取得足夠多的資料，進行身份盜竊?(identity theft)。

短信驗證碼對用戶隱私有很大威脅，泄露造成實際損失的例子也海內(nèi)外皆有。

從用戶體驗的角度出發(fā)，任何一個產(chǎn)品都應(yīng)需要最少代價完成「登錄」以及合規(guī)性的要求，并盡可能少的將用戶暴露在風險面之下。除了短信驗證，作為身份驗證的方式可能還有什么呢？我們有什么選項？伴隨著5G的到來，一種更安全更快捷的驗證方式也閃亮登場，這就是“一鍵免密登錄”。所謂本機號碼一鍵免密登錄就是通過運營商特有的網(wǎng)關(guān)認證能力，驗證待校驗手機號碼和應(yīng)用所在的手機號碼一致性，從而達到和短信驗證碼登錄一樣驗證用戶身份的作用。

與傳統(tǒng)的登錄形式相比，免密登錄的安全指數(shù)更高，對于用戶的信息保護更好。技術(shù)角度看， 5G的普及，在技術(shù)上給免密登錄提供了更多的可能性。

是時候?qū)Χ绦膨炞C碼說再見了，可以預見，隨著用戶的安全快捷登錄需求的放大，以及企業(yè)服務(wù)用戶登錄體驗意識的增強，“一步到位”的免密認證會逐漸成為一種常態(tài)。

?

總結(jié)

以上是生活随笔為你收集整理的工信部发文启动2019网络安全防护赛，是时候对短信验证码说再见了的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。