摘要
最近有iOS用户发现,微信正在灰度测试“用本机号码登录”,系统直接通过运营商提供的手机号进行认证服务,会自动识别当前SIM卡绑定的手机号,无需接收短信验证码即可实现一键登录。 其实不只有微信,短信验证码也成为了微软的“眼中钉”。几乎是在同一时间,微软在最新发布的支持文档中确认,个人用户Microsoft账户的短信验证码也将被逐步淘汰,未来用户登录以及找回账户时将进行多因素验证,必须使用通行密钥和生物识别来实现。 统计数据显示,在通行密钥被设置为新账户的默认选项后,微软的无密码身份验证成功率达到了95%,登录速度较传统方式提高了14倍。在微软的内部环境中,已有99.6%的用户和设备切换到了抗钓鱼的身份验证方式,此前的短信和语音验证已基本从核心流程中去除。 关于决定淘汰短信验证一事,微软技术社区高级项目经理Jonathan Edwards给出了解释。他表示,“通过短信发送的一次性验证码容易受到拦截、SIM卡交换和路由缺陷的攻击,这些攻击路径在实际场景中依然频繁得逞”。 事实上,作为曾经两步验证机制的通用解决方案,短信验证码在被各路黑灰产研究了十余年后已经不再安全。自移动互联网普及,手机成为新一代的通用计算终端以来,短信验证码就成为了全球各行各业广泛采用的动态验证机制,也是目前许多企业为用户提供数字化服务的基石。 相比于传统的账号密码体系,手机号+动态短信验证码这一模式省去了用户记忆复杂的密码,在安全性上也有所提升。 不仅如此,短信验证码作为一个“逆图灵测试”的效果也过于优秀,它与手机号的强关联可以有效防止机器冒充人类。短信验证码本身作为一次性口令(one time password)的安全性其实是有保障的,可“GSM劫持+短信嗅探”实现了让本应发给用户的验证码被截获。 作为一项已商用近30年的老技术,2G早已落后于时代,特别是密码学的日新月异更是让2G网络的缺陷被暴露出来。比如,最知名的2G网络“GSM”,开发于1988年的它采用了名为A5/1的64位对称加密技术,在当时确实难以被“穷举法”暴力攻破。 可是随着计算机硬件和密码学的迭代,原本需要几年才能暴力破解的64位对称加密,如今的消费级GPU也只需要几天就能实现。