「驗證碼」時代，所謂的安全認證卻暗藏風險？

移動互聯網時代，我們幾乎是「生活在手機上」，每一天，登陸各種APP、使用任何互聯網服務的時間，幾乎佔用了我們生活的大量時間。而驗證碼，則是和我們「天天見」。

如今正悄然流行的「免密認證」技術，其最大的作用正是在於取代「手機驗證碼」。

當然，有很多對於使用體驗不那麼敏感的用戶反而覺得，收發驗證碼的時間對於他們而言，無足輕重。同時，驗證碼於他們而言，更多意義上而言是一種提醒——提醒自己賬戶情況有變動。

實際上，驗證碼也就僅剩下提醒這一個比較實用的功能，更多情況下，驗證碼帶來的不是安全，而是風險。

發生在身邊的案例

媒體的報道中，關於手機安全的案例比比皆是：又是誰的信用卡被盜刷了，誰的支付寶賬戶被黑了……

那麼到底是怎麼一回事？我們不妨看看兩個身邊的例子：

在網上盜刷案件中，詐騙分子冒充電商平台客服人員，以「訂單出現異常需退款」發簡訊，或是虛擬銀行客服號碼發送「積分兌換」「網上銀行升級」等簡訊，誘騙受害者點擊木馬鏈接或登錄釣魚網站，獲取受害者身份證號、銀行賬號、密碼、驗證碼等信息，竊取其賬戶存款。

2015 年 7 月，犯罪分子利用重慶三峽銀行研發的在線支付平台「三峽付」，3 天之內竊取 43 名客戶逾百萬元銀行卡資金。犯罪分子先向受害者手機發送含有木馬病毒的簡訊，受害者點擊簡訊后，犯罪分子就能獲取手機內的全部信息並攔截其後該手機收到的任何簡訊。犯罪分子從這些信息中篩選出開戶人姓名、身份證號碼、銀行卡號、開戶銀行預留手機號等信息，並利用這些信息註冊「三峽付」電子賬戶，將受害者銀行卡與「三峽付」賬戶綁定。

這些詐騙作案的共同特點就是「竊取用戶驗證碼」。一種是通過花言巧語的方式騙取用戶驗證碼，經過公安同志和各大電商平台的不斷提醒，大家對於這種方式的戒備心還是比較高的；另外一種方式，是通過所謂的「木馬」，截取用戶簡訊記錄的方式獲取用戶信息，警惕性不高的用戶容易上當。

另外還有一種比較不容易防範的方式，尤其是在 Android 手機上，一些的應用會「嘗試獲得讀取簡訊」的許可權，很多時候，用戶為了貪圖一時輸入驗證碼的方便，也不管是什麼應用都會「放權」。有時候，甚至是一些不安全開放式 Wi-Fi 也暗含著竊取用戶賬戶的簡訊驗證碼的風險。

實際上，對於那些足夠謹慎的用戶而言，驗證碼的安全性確實很高，但人總會有「百密一疏」的時候。尤其是對於老人和小孩兒而言，他們對於一些手機許可權並不了解，更容易成為詐騙分子的「刀俎」。

沒有驗證碼，賬戶就安全了？

據公安部經偵局相關負責人介紹，2016 年上半年，全國立案查處竊取、收買、非法提供銀行卡信息犯罪案件 177 起，同比上升 4.5 倍。銀行卡信息泄露方式從以往的改裝POS機、ATM機竊取數據和密碼等，發展為利用黑客技術或偽基站等批量盜取方式。同時，有些用戶習慣使用同樣的密碼，往往不法分子還能通過撞庫的方式竊取到此用戶的其他賬戶資料。

顯然傳統密碼這種方式應對這一方面的攻擊顯得尤為脆弱——因為任何一種認證方式都算是弱認證，必須獨立使用兩種甚至三種才算是強認證，然而，開啟二次驗證的用戶更是少之又少。 二次驗證的最主要問題在於其繁瑣性，而這正是免密認證的優勢所在。電信的免密認證可以精確識別當前用戶的手機號碼，一鍵驗證通過，省去了簡訊驗證碼的繁瑣流程，避免了被劫取的風險，毫無疑問，我們登陸各種應用的方式會變得簡單而安全——我們僅需點擊「允許應用獲取手機號碼」，一鍵認證即可。

比如，在異地取款和消費的時候，銀行不僅需要向電信核實用戶的所在地，還需要用戶登錄認證應用進行手動的「一鍵認證」。這樣就極大地降低信用卡或借記卡被盜刷的風險。

同時，接入了「天翼免密認證」服務的服務提供商必然會經過電信方面的審核，意味著其在安全性上面有認證。

如果我要銷號……

現在對於大多數人而言，一台手機的價值或許還比不上手機里的手機號。手機號碼上面綁定了大量的用戶賬號，在移動互聯網時代，手機號就相當於我們的另一個身份證號。

如果要更換手機號，就需要大量的時間去解綁手機號碼，這對用戶，服務提供商和電信運營商而言，都是個大問題——用戶不記得自己手機號關聯了多少賬戶，服務提供商不知道用戶是否銷號，而運營商也不知道是否能「二次放號」。

在傳統驗證碼的時代，用戶更換手機號，忘記解綁，需要提供大量的資料去證明「我是我」，細緻到「什麼時候」註冊賬號這樣的問題根本答不上來；服務提供商則需要花費大量的人力和時間去驗證用戶資料的真偽，以及和用戶溝通反饋；至於運營商「二次放號」后，第二名用戶則可能會接收到一些與自己無關的驗證碼。如果能有一個機制能打破這之間的信息不對稱，那麼問題就迎刃而解了。

「天翼免密認證」，就是一個平衡雙方信息的橋樑。在免密認證機制中，電信扮演的是「信息庫」的角色，服務提供商有許可權要求它核實一些信息：比如用戶入網時間是否早於某一具體的時間，當前用戶是否在網等等。在這個過程中，服務提供商能確定當前手機號是否已經註銷。

如果今後電信方面能進一步開放可供比對的許可權，比如提供實名認證的比對。只要用戶提供賬戶實名信息， 那麼解綁註銷號碼的步驟將會極大地簡化——用戶向電信提供自身實名信息，電信做為信息庫和平台，負責核實信息的正確與否；服務提供商全程不獲取任何用戶實名信息，從電信給出的回答中，確認申請解綁用戶和手機號主人是否為同一人。

就目前而言，電信的「天翼免密認證」服務還處於推廣階段，其應用場景將來不僅僅局限於「替代驗證碼」這麼簡單。作為未來密碼的潛在替代品，這項服務能夠在很多領域發揮作用。（本文首發鈦媒體）