手机网站
手机网站
9豆瓣的帖子“这没什么”关于多个账户被盗最近相当流行。
受害者的手机在半夜收到了100多个验证码。当他们醒来时,
发生了什么?仅从这些描述来看,还不足以判断攻击者使用它的方式。一些人猜测这是通过无线监控窃取验证码短信,而另一些人说睡觉前关掉手机会妨碍无线监控。
不幸的是,安全问题总是更复杂。短信盗窃不一定只是通过无线监控;然而,即使攻击实际上是通过无线监控
进行的,仍然可以说为什么像支付宝这样的银行选择使用
。总的来说,信息系统不是很可靠。几年前,当网络安全环境相对恶劣时,
使用了许多方法,以便在不可靠的信息系统中可靠地执行一些重要操作。其中一个叫做“
”,比如,你需要用电脑进行网上银行转账设计网上银行安全系统的人必须假设你的账户密码迟早会被坏人窃取。在这种情况下,如何防止坏人用你的账户密码登录你的网上银行?
“
双因素验证”这个熟悉的概念实际上非常古老,比计算机技术要古老得多一些银行保险库门需要
U防护罩。这种解决方案相对安全。然而,在网络安全领域存在这样一种“
U屏蔽”方案,它成本低,安全性好,但不够方便。因为如果你想随时使用网上银行,你必须随时携带u盾。
是另一个广泛用于安全性要求不高的场合的认证因素:
移动电话是相对于计算机而言的独立设备。短信验证码也独立于用户密码。如果我们假设,即使攻击者拥有用户的大量个人数据并能入侵用户的计算机,他仍然无法获得短信,那么使用短信作为独立的认证因素也是可靠的。
但是由于网络环境的变化,这种短信验证方法面临问题。
在非智能手机时代,入侵手机和窃取短信相对来说比较困难——不是不可能,而是相当困难然而,
对于通过计算机访问的企业来说也是一个相对独立的因素。然而,手机短信验证码对手机服务的独立性较差。电脑崩溃后,手机短信可能还是安全的。但是现在
甚至
运营商都不在网站上保存短信,但是有些手机有自动将短信备份到云端的功能如果这个功能被打开,那么
那么如果手机没有打开任何可以将短消息保存到云端的功能,它也可以确保手机不会被入侵,短消息不会被窃取?
十多年前,如果通过监控无线信号窃取短信,所使用的设备至少值几十万元。但是今天,作者通过监控无线信号获得了
条短信
有人说晚上睡觉前关掉手机可以防止通过无线监控窃取短信这只对了一半想想看:当给别人发短信时,如果对方的手机关机了,短信还能发吗?因此,睡觉前关掉手机可以防止攻击者窃取你附近的短消息,但不能防止攻击者窃取短消息发送者附近的短消息。例如,如果攻击者想要窃取由公司A发送给您的验证码,他只需要监控公司A发送短信的设备附近的无线信号。对于攻击者来说,在公司的短信设备附近进行监控显然更具成本效益因为只要你在这里,你就可以窃取a公司发布的所有验证码。
通过短信实现双因素验证总比没有双因素验证好。然而,由于上述问题,短信验证码今天可能仍然被用作验证因素,但是公司在设计商业安全系统时需要降低对它的信任。至少,它需要通过结合地理位置信息、设备信息、用户特征等进行综合判断。然而,与许多年前不同,用户的身份不能仅仅通过短消息验证码来确定。
用户也不是无助的。他们可以尝试开通
电信用户发送" KTVoLTE "到10001,
移动用户发送" KTVoLTE "到10086,
联通用户发送" VBNCDGFBDE "到10010
,但不是所有运营商目前都支持所有城市的VoLTE如果更加注重安全,建议
。至于运营商,为了防止通过无线监控窃取短信的攻击,
这篇文章来自果壳网,不转载。如有必要,请联系sns@guokr.com
果壳网
ID: GUOKR 42
可靠科普,参见果壳网
