随着互联网时代的发展,每个人的手机号或多或少绑定了各种互联网应用账号、银行卡、金融信息等。随着手机绑定业务的爆发式增长,短信验证逐渐成为必不可少的校验方式。
但是,不安全的网络环境使短信验证充满了不安全因素。谁能想到,当用户点击获取验证码,等待短信下发的短短 60 秒,往往是在等待一次次的风险入侵。
60 秒虽短,但却足够不法分子们在资金转移和金钱交易等敏感操作上“设计”出多种多样的诈骗方式,比如木马恶意拦截短信、网络钓鱼、信道窃听等等。其中木马短信是比较普遍的攻击方式:一些恶意软件、钓鱼网站通常会和热门软件或诈骗短信捆绑,当用户安装完这类热门软件或点开来路不明的链接,潜伏的木马病毒就会出现,将涉及用户财产的应用账号密码重置,并拦截验证短信,重置用户的账号信息。还有一些骗子伪装成警方、运营商客服,使用连环诈骗手段,先设局诱使用户发起支付或登录申请,再用假验证短信诱使用户透漏短信验证码,达到悄悄盗取用户资金的目的。
此外,骗子还会通过伪基站监听用户手机,窃取短信内容。这些攻击手段虽然常常被新闻报道提醒大家防范,但是其手段花样翻新,防不胜防,每年仍然有一些用户上当受骗,遭受损失。这一点之前林语小编已经再三强调过,伪基站的害人之处了。
既然短信验证存在如此之问题,有没有一种更安全稳妥的方式来替代短验呢?
中国移动通过整合运营商独有的网关识别能力推出移动认证服务,其本机号码校验能力能帮助 App 校验用户注册/登录填入的号码是否本机号码,整个校验过程用户无需输入短信验证码,校验通过即可顺畅使用各种服务;若非本机号码则触发其他安全策略,进行风险控制,进一步确保账号和资金的安全。如此一来,短信验证成为过去式,即使是再老道的黑客也无从下手,盗无可盗,安全性自然大大提升。
除了传统的登录场景,在一些重要安全场景,如密码修改,使用本机号码校验能在前端用户毫无感知的情况下,快速校验操作的号码是否为账号绑定的安全号码,防范不安全的账号操作,协助开发者保护用户信息安全。有了这样一层贴心防护,各类互联网应用的安全性能也随之增强,用户的安全体验自然也随之得到提升。
