短信验证不安全！

大家好，关于短信验证不安全！很多朋友都还不太明白，不过没关系，因为今天小编就来为大家分享关于的知识点，相信应该可以解决大家的一些困惑和问题，如果碰巧可以解决您的问题，还望关注下本站哦，希望对各位有所帮助！

社交软件的问题不仅仅是幻想。本月早些时候，“黑人生命也是命”活动人士德雷·麦克森发现，尽管经过了两步验证，他的Twitter 帐户还是遭到了黑客攻击，并且黑客发布了一条支持唐纳德·特朗普竞选的消息。他说，黑客冒充他，给Verizon 打电话，要求该公司将他的短信发送到另一张SIM 卡上，以拦截他的一次性登录密码。俄罗斯的活动人士最近也发现他们的Telegram 帐户已被泄露，可能是由国有电信公司帮助专制政府劫持SMS Telegram 进行用户登录。

事实上，公众人物并不是唯一的目标。经历过相关黑客攻击的密码安全专家Lorrie Cranor 注意到，这些身份攻击变得如此普遍，以至于纽约州发布了官方警告。

在您的登录过程中，基于短信验证添加额外的保护层必然比仅基于密码的登录设置更好。但Zdziarski指出，短信验证作为第二级验证根本不安全。双因素身份验证是根据人们知道的信息（例如密码）和他们拥有的信息（例如手机或其他设备）来确认人们的身份。

像“谷歌认证”这样的“令牌”以及基于RSA加密算法的“令牌”具有更好的安全性。他们可以通过网络服务提供商提供唯一的一次性密码。经测试，由于加密技术的原因，该安全信息无法在两台计算机之间互操作。这样的安全性比短信验证高很多。然而，它的便利性有所降低，这可能就是它不那么普遍的原因。

“短信验证会将您的登录信息从‘您知道的东西’更改为‘其他人发送给您的东西’，”Zdziarski 说。 “如果发生交易，则可能会被拦截。这意味着您的交易可能涉及一定程度的风险。”

有些策略（例如应用社会工程或使用暴力策略）可以针对电话公司，以在双因素身份验证中击败短信验证。被称为国际移动用户识别码(IMSI) 和“黄貂鱼破解器”的假手机信号塔也可以拦截短信。安全社区最近呼吁关注7 号信令系统(SS7)，这是一种允许网络通信相互交换信息的协议。黑客可以使用SS7 更改用户的电话号码并拦截他们的电话或短信。安全实验室首席科学家Karstem Nohl 表示：“现在任何网络都可以告诉其他网络‘你的用户’信息，除非你的呼叫接通，否则呼叫和信息都会转移到另一个网络。”该实验室最近演示了60 分钟的攻击。 “如果有攻击者，他们就可以获取你所有的短信。这绝对是真的……而且它是如此简单，以至于称其为黑客是可耻的。”

然而，这些攻击准确地说并不那么容易实施，并且需要攻击者获取用户的电话号码和密码。这些号码可能被其他黑客组织窃取、猜测或泄露。由于任何人都可能成为老练的黑客的目标，因此这些基于短信的技术应该避免泄露任何与登录相关的信息。

幸运的是，有很多提供商可以提供更好的选择。谷歌上周推出了“Google Prompt”，这项服务可以直接从服务器向用户的Android手机或ISO系统应用程序“Google搜索”发送第二因素验证。然而，更安全的应用程序不应要求发送任何信息。 Google Authenticator 和Google Token 等应用程序以及RSA 加密算法可生成可在几秒钟内更改的一次性密码。这些服务器生成的提取码被Slack、WordPress 或Gmail 等服务使用，因此即使密码在网上泄露，用户也可以说出密码来证明自己的身份。