+-
大家在登录或者账号验证时总少不了需要短信验证这一步骤,为了提高安全性和防止恶意注册,短信验证已经在生活中很常见,但是你知道吗?
再过不久短信验证码就可能被淘汰了!
01
近日,苹果、谷歌和微软宣布,计划扩展对 FIDO 联盟和万维网联盟创建的免密码登录通用标准的支持。
![]()
FIDO 联盟成立于2012年7月,致力于解决强制认证设备的交互性和用户面临大量复杂的用户名和密码的问题,其成员包括苹果、谷歌、微软、黑莓、PayPal、联想等科技巨头。
FIDO 推行的无密码标准依赖于设备的生物识别扫描仪或主 PIN 码,在设备本地对用户进行身份验证,无需将数据传输到网络服务器。
这三家公司认为,仅依赖密码的认证方式造成了极为严重的网络安全问题。对于消费者而言,管理大量密码是一项极为繁琐的任务,这通常会导致消费者反复使用同一密码登录不同服务。
![]()
三大平台预计将在一年内陆续实行这些功能 ,相信很多密码验证就要被淘汰,所以大家珍惜还有密码验证的日子吧!
02
相信不久之后国内的主要的手机厂商和互联网应用服务商也会推出类似的行业标准或者举措。
不过鉴于国内目前复杂的应用环境,
可能在相关标准的制定和研究方面还需要做更多的努力。另外这种大的行业标准的制定以及后续的推广,也需要国家有关部门深度介入。
![]()
不管怎么说,对于未来的无密码登录通用标准我们还是可以期待一下的。或许要不了多久,我们就能够真正摆脱烦人的密码,直接使用我们的指纹、人脸识别就能够实现大部分应用和场景下的注册和登陆。
而随着这些手段的安全性和便利性的提升,
短信验证码届时或许也会成为一个即将被淘汰的产品。
其实,早在苹果、谷歌和微软宣布支持免密通用标准之前,中国移动CEO李跃在股东大会上表示:移动互联网OTT业务(如微信)日渐蚕食传统短信业务用量;若5G网络商用,传统短信服务将被RCS融合通信业务(整合通话、消息、联系人)取代。
短信App似乎无力坚守它在Dock栏上的阵地,不知不觉沦为验证码收集器,现在就连基础电信企业也持同样观点。
03
在2017年就有360 Unicorn Team的黄琳博士在阿姆斯特丹公开演示、验证LTE重定向攻击的可能性。同年, 中国海天集团有限公司创始人兼CEO Seeker做了《如何利用LTE/4G伪基站+GSM中间人攻击攻破所有短信验证》主题演讲。
回到现实中,利用短信嗅探盗刷银行卡案件频频发生, 央视新闻就报道过短信嗅探盗刷案件。 2019年7月4日凌晨3点多,海南省三亚市宋女士的手机上突然收到了几条短信验证码。不一会儿,手机又接到短信,显示她的银行卡被刷走了5万元。
具体来说是这样的:
一、骗子通过特种设备自动搜索附近的手机号码,用你的号码登录一些网站或应用,然后用“短信嗅探技术”拦截这些网站、应用发给你的验证码。
![]()
二、骗子通过登录其他一些网站,就会从中碰撞你的身份信息,称之为“撞库”(即多个数据库之间碰撞),将你的身份信息匹配出来,包括身份证、银行卡号、手机号、验证码等信息。
![]()
三、骗子在一些平台开通账号并绑定事主银行卡,冒充事主消费或套现,从而盗取事主银行卡资金。
![]()
等你一觉醒来,发现手机里一大堆验证码的时候,你的积蓄已经飞走了……
本来,这种技术主要针对2G的GSM信号,但骗子狡猾之处就在于,他们会干扰附近的手机信号,使4G变为2G信号后,再窃取你的短信信息。
另外,该团伙大多选择凌晨作案,再加上无需直接与事主接触,因此大部分事主对资金被盗毫无察觉,一觉醒来只有手机里莫名其妙的验证码……
04
这种行为可能导致消费者帐户被接管、数据泄露甚至身份被盗用,造成巨大损失。密码管理工具和传统的双重认证方式在逐渐改善这一问题,与此同时,全行业也在展开协作,以创造更方便、更安全的登录认证技术。
依赖密码认证的问题早已有很多科技公司在想方设法的解决了,比如短信验证登录的方式已经成为许多网站和 APP 的登录方式之一。
![]()
而基于标准扩展功能将允许网站和 APP 提供端到端免密认证的选项。用户可以使用和解锁设备相同的操作来登录,比如指纹认证或者面容认证,这些验证方式的安全性远高于密码登录认证。
未来推出的新功能将允许网站和APP 在各种设备与平台上为用户提供统安全、便捷的免密登录方式,包括:
允许用户在多台设备、包括新设备上自动访问 FIDO 登录证书(或称为 " 密钥 "),而不必重新注册每个账户。
允许用户在移动设备上使用 FIDO 认证,以通过附近的设备登录 APP 或网站,无论这些设备运行哪种 OS 平台或浏览器。
对这一基于标准的登录方式的广泛支持还将允许服务提供商在不需要密码的情况下提供 FIDO 证书,作为登录或恢复账户的替代方式。
05
当前,密码已经成为了我们日常生活中很痛苦的一件事情。很多人都会将密码设置成自己最常用的形式,例如生日、纪念日等等,以防止忘记。但现在生活中很多地方都会用到密码,如果将所有的密码都设置为常用密码,很容易被交叉破解,造成大范围的信息和隐私泄露。
所以往往专家们都不建议大家使用一些常见的密码,比如一些过于简单的密码,或者是生日等等,但设置较为复杂的密码又容易忘记,结果每次登陆的时候都需要一个重置密码的过程,非常不便。
![]()
现阶段我们替代登陆密码主要有两种形式,
一是使用指纹、面部等生物信息注册登陆,二是两步验证、辅助设备验证,如 Apple ID 的双重验证。另外手机扫码登陆、短信验证码,也是一种低学习成本的免密登录实现形式。
但就便利性来说,生物信息目前应用范围少,并且相对封闭,不适用于跨系统、跨平台。而手机扫码登陆和短信验证登陆,其实也面临一些不便和信息泄露的风险。如果能够有一套通行的免密码登录通用标准,对于后续真正实现无密码时代,是有非常积极的意义。
![]()
苹果、谷歌与微软平台预计在未来一年内陆续实行这些新功能。
苹果、谷歌和微软等都很看好 FIOD,通过行业的协作,在未来,也许无密码的验证方式会成为主流,无密码身份验证将进入所有主要设备平台:安卓和 iOS 移动操作系统;Chrome,Edge 和 Safari 浏览器;以及 Windows 和 macOS 桌面操作系统。
![]()
来源:软件星球综合晶报、在说、电脑报、机智猫
苹果、谷歌、微软联手淘汰短信验证码
将登录方式拓展后,用户可以使用指纹或者人脸识别等其他验证方式,这些验证方式将远远高于密码验证。
短信将在5G时代被淘汰
短信嗅探盗刷银行卡案件频发
目前,短信验证码在国内主要还是用于用户实名认证,是各大App、网站的基本操作。但是这个安全口令本身并不安全。
民警介绍,骗子通过这种技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪。
未来各种设备和平台将支持免密登录
允许用户在多台设备、包括新设备上自动访问 FIDO 登录证书(或称为 " 密钥 "),而不必重新注册每个账户。
允许用户在移动设备上使用 FIDO 认证,以通过附近的设备登录 APP 或网站,无论这些设备运行哪种 OS 平台或浏览器。
无密码验证登录会成为主流方式
苹果、谷歌和微软等都很看好 FIOD,通过行业的协作,在未来,也许无密码的验证方式会成为主流,无密码身份验证将进入所有主要设备平台:安卓和 iOS 移动操作系统;Chrome,Edge 和 Safari 浏览器;以及 Windows 和 macOS 桌面操作系统。
