这篇指南非常全面的描述短信验证码的风险,现状,困难点,最后给出了目前专家们认为可行的方案。
难点在于,现在我们还不能彻底抛弃短信验证码。中国网民跟国外网民的不同点是,国外网民是从PC时代过来的,习惯于使用邮箱,用户名密码。中国网民是从移动互联网时代成长起来的,手机就是唯一的标识。
为了短信验证码用还是不用的问题,各个App的产品经理和安全团队能打起来。真的,去年就这个问题我们360安全团队跟业务团队就争论过好多次。最后仍然保留了短信验证码通道,这也是遵循“可用性”优先的原则。
近期有些服务商推出了免验证码验证手机号服务,可以验证有数据链接的手机号码的真实性。这也是一种途径,就是短信通道不安全,那我创建一个更安全的通道。Google的双因子认证服务,也是类似的思路。不过,短信通道仍然是最后的备用通道,各位可以试试注册一个新的Google账户,它也要求你提供手机号码,然后是短信验证码。
总之,请大家相信,各大互联网公司对这个问题是早有准备的,如果有漏网之鱼,那是我们的风险控制系统做得还不够好。
--
雷锋网注:本文转载自微信公众号“360UnicornTeam”,作者:黄琳,360 UnicornTeam 安全专家,雷锋网已获授权。