雷鋒網(wǎng)按：短信驗(yàn)證碼缺陷背后是一個(gè)很長(zhǎng)很長(zhǎng)的鏈條，此文僅是趁著小米短信驗(yàn)證碼事件進(jìn)行初步解析，并非針對(duì)小米一家，恰恰在這件事中，槍口僅僅對(duì)著小米也是不公平的。作者shotgun，啟明星辰副總裁，雷鋒網(wǎng)特邀專欄作者，希望本文能讓你對(duì)小米事件有一個(gè)初步的了解，保護(hù)好自己的信息安全。

之前發(fā)生了因?yàn)橐伤乒粽咄ㄟ^小米短信云同步功能竊取銀行驗(yàn)證短信，從而盜取十萬(wàn)元現(xiàn)金的事件，關(guān)于背后的責(zé)任問題，我想來仔細(xì)分析下。

| “雙因素認(rèn)證”

我們知道，信息安全領(lǐng)域有一個(gè)原則，就是“不要把雞蛋放在一個(gè)籃子里”，所以一般來說，類似網(wǎng)銀轉(zhuǎn)賬這樣的高安全性要求的操作，應(yīng)該執(zhí)行雙因素認(rèn)證。

雙因素認(rèn)證：早期的用戶認(rèn)證方式往往只采用賬號(hào)和密碼，默認(rèn)持有賬號(hào)密碼的就是用戶本人，如果用戶的賬號(hào)密碼丟失了，那么整個(gè)賬號(hào)的控制權(quán)都會(huì)丟失。

隨著信息化越來越普及，出現(xiàn)了針對(duì)賬號(hào)密碼的各種攻擊手段，包括：木馬后門、網(wǎng)絡(luò)竊聽、暴力破解、拖庫(kù)撞庫(kù)等等。單一地通過賬號(hào)密碼來驗(yàn)證用戶身份的方式已經(jīng)不能很好地保護(hù)用戶賬號(hào)的安全性。

因此，大多數(shù)重要的系統(tǒng)，都引入了雙因素認(rèn)證，也就是除了賬號(hào)密碼外，還需要通過其他的認(rèn)證方式再次驗(yàn)證用戶身份，從而確保即使用戶密碼丟失，也不會(huì)遭到巨大損失。

雙因素認(rèn)證的方式很多，從早期的動(dòng)態(tài)令牌、U-key到現(xiàn)在最流行的手機(jī)驗(yàn)證碼，都屬于雙因素認(rèn)證。雙因素認(rèn)證極大地提高了用戶的賬號(hào)安全性，使得竊取用戶賬號(hào)的難度比原先提高了很多。

大家會(huì)覺得很奇怪，既然網(wǎng)上銀行已經(jīng)采用了雙因素認(rèn)證，那么銀行卡被盜的事情應(yīng)該很少發(fā)生，為什么最近卻聽到不少手機(jī)銀行被盜刷的事件呢？

| 手機(jī)短信驗(yàn)證存在缺陷

那是因?yàn)?，采用手機(jī)短信驗(yàn)證碼來對(duì)手機(jī)銀行進(jìn)行雙因素認(rèn)證，是非常不稱職的。

我們來看一下手機(jī)銀行的支付過程：

用戶——手機(jī)銀行應(yīng)用——wifi——運(yùn)營(yíng)商網(wǎng)絡(luò)——銀行服務(wù)器——短信驗(yàn)證碼——用戶手機(jī)

銀行卡密碼+短信驗(yàn)證碼      雙因素驗(yàn)證

我們知道雙因素認(rèn)證能大幅提高安全性的前提是兩個(gè)不同的認(rèn)證方式很難被同時(shí)破解。

例如電腦版的網(wǎng)上銀行，如果采用手機(jī)短信驗(yàn)證，那么攻擊者需要同時(shí)拿下被害人的電腦和手機(jī)才能得逞，這比僅僅拿下電腦或者僅僅拿下手機(jī)要難了一倍以上（因?yàn)榇_認(rèn)電腦和手機(jī)的關(guān)聯(lián)性也是非常大的工作量）。

但是如上圖所示，對(duì)于手機(jī)銀行，情況就完全不同了，短信驗(yàn)證碼在終端和通訊鏈路上，跟手機(jī)銀行都是共享的：手機(jī)銀行使用手機(jī)作為支付終端、短信也是使用手機(jī)作為接收終端，手機(jī)銀行使用運(yùn)營(yíng)商的鏈路作為數(shù)據(jù)通道，短信也是使用運(yùn)營(yíng)商的鏈路作為數(shù)據(jù)通道。這就導(dǎo)致了無(wú)論是手機(jī)終端，還是運(yùn)營(yíng)商通道被攻破，雙因素驗(yàn)證都會(huì)同時(shí)失效，此時(shí)的雙因素驗(yàn)證，完全不符合“雞蛋不要放在一個(gè)籃子里”的原則。

之前就發(fā)生過多次利用手機(jī)木馬、偽基站、釣魚Wi-Fi、運(yùn)營(yíng)商短信托管服務(wù)、SIM卡補(bǔ)卡等方式竊取用戶短信驗(yàn)證碼，從而盜取銀行存款的事件。此次事件疑似通過手機(jī)的云備份服務(wù)來獲取銀行驗(yàn)證短信，雖然手段不同，但是作案的思路還是相似的。

那么銀行為什么還是選用手機(jī)短信作為雙因素驗(yàn)證的主要辦法呢？

一方面是因?yàn)槌杀?，另一方面是因?yàn)橐子眯浴?/strong>

雖然我們說雙因素認(rèn)證的方式很多，從動(dòng)態(tài)令牌（隨機(jī)產(chǎn)生6位密碼的小盒子）到U-Key(可以插在電腦/手機(jī)上驗(yàn)證用戶身份的小盒子)都在不同的銀行有一定的應(yīng)用范圍，但是因?yàn)闊o(wú)論是動(dòng)態(tài)令牌還是U-Key都有一定的成本（幾塊到十幾塊不等），對(duì)銀行來說難以大規(guī)模推廣。而且畢竟多了一個(gè)小盒子，攜帶起來也不方便。而手機(jī)短信可以說是既便宜也最方便的手段，不需要額外的購(gòu)置成本，也無(wú)需額外的設(shè)備，因此也被廣大用戶和銀行所喜愛。

| 運(yùn)營(yíng)商、手機(jī)廠商、銀行，誰(shuí)的責(zé)任？

那么短信驗(yàn)證碼安全問題頻出，銀行、運(yùn)營(yíng)商、手機(jī)廠家、用戶，究竟是誰(shuí)的責(zé)任呢？我的看法是大家都有責(zé)任，其中銀行的責(zé)任最大。

1、為什么銀行的責(zé)任最大？

因?yàn)橥茝V手機(jī)銀行和采用短信驗(yàn)證碼來進(jìn)行二次驗(yàn)證，最主要的得益方是銀行。

手機(jī)銀行可以大大降低銀行的運(yùn)營(yíng)成本，與傳統(tǒng)的開設(shè)營(yíng)業(yè)網(wǎng)點(diǎn)相比，電子銀行的成本幾乎可以忽略不計(jì)，而與網(wǎng)上銀行之前普遍采用動(dòng)態(tài)令牌或者U-Key相比，手機(jī)銀行的成本也大為降低。

銀行要大力開展創(chuàng)新，壓縮成本，提高用戶易用性，這無(wú)口厚非。但是部分銀行在選擇手機(jī)短信作為雙因素驗(yàn)證方法的時(shí)候，忽視了對(duì)其中存在的信息安全風(fēng)險(xiǎn)進(jìn)行分析和控制，手機(jī)銀行采用短信驗(yàn)證碼會(huì)大幅降低雙因素認(rèn)證的強(qiáng)度，對(duì)此銀行采取了什么措施？在鼓勵(lì)用戶開通手機(jī)銀行的時(shí)候有沒有盡到告知和風(fēng)險(xiǎn)提示義務(wù)？銀行有沒有積極投入資源在技術(shù)上對(duì)相應(yīng)的風(fēng)險(xiǎn)進(jìn)行控制？對(duì)因?yàn)榘踩越档投Ц`的用戶，有沒有進(jìn)行及時(shí)的補(bǔ)償？

2、運(yùn)營(yíng)商：沒有對(duì)短信驗(yàn)證存在的安全風(fēng)險(xiǎn)有充分準(zhǔn)備

另一方面，移動(dòng)運(yùn)營(yíng)商雖然推出了基于短信來進(jìn)行密碼驗(yàn)證的服務(wù)（包括且不僅限于銀行、郵箱、儲(chǔ)值卡等等），但是在技術(shù)手段和內(nèi)部流程上，并沒有將短信服務(wù)的信息安全要求提升到相應(yīng)的高度，例如，復(fù)制卡、偽裝身份補(bǔ)卡、偽基站、假冒短信、短信網(wǎng)關(guān)的安全事件層出不窮。部分運(yùn)營(yíng)商還提供了短信托管服務(wù)，支持在網(wǎng)上遠(yuǎn)程實(shí)時(shí)查看短信。這說明移動(dòng)運(yùn)營(yíng)商并沒有系統(tǒng)性的規(guī)劃短信身份驗(yàn)證服務(wù)的信息安全，對(duì)其可能造成的風(fēng)險(xiǎn)沒有充分的認(rèn)識(shí)和準(zhǔn)備。

3、同時(shí)，部分手機(jī)廠商，也未能充分意識(shí)到手機(jī)短信的敏感性。

有些手機(jī)支持應(yīng)用程序直接讀取短信內(nèi)容，有些手機(jī)默認(rèn)將短信備份在云服務(wù)器上，有些手機(jī)未能及時(shí)修復(fù)安全漏洞，在安全防護(hù)上出現(xiàn)了種種瑕疵。

而相當(dāng)程度的用戶則缺乏安全意識(shí)，開通手機(jī)銀行時(shí)并未仔細(xì)閱讀用戶協(xié)議，多個(gè)系統(tǒng)（例如手機(jī)銀行、郵箱、云服務(wù)）使用相同的密碼。

一方的大力推動(dòng)、用戶的茫然無(wú)知和三方的疏忽大意，最終導(dǎo)致了多起事件的出現(xiàn)。最終將缺乏安全意識(shí)和技能的普通用戶赤裸裸地暴露在黑色產(chǎn)業(yè)鏈的目光之下。

而從后果上來看，此類事情的出現(xiàn)并不僅僅是普通用戶的災(zāi)難，也將是整個(gè)產(chǎn)業(yè)的災(zāi)難，試想，如果移動(dòng)支付/金融的安全性得不到保障，還有誰(shuí)敢繼續(xù)使用呢？大家應(yīng)該共同來提高移動(dòng)金融的安全水平，這樣才能保障產(chǎn)業(yè)的健康發(fā)展。

| 幾點(diǎn)建議

從銀行角度，應(yīng)該平衡業(yè)務(wù)發(fā)展、易用性和風(fēng)險(xiǎn)，采取一定的風(fēng)險(xiǎn)控制措施。

• 事先對(duì)開通手機(jī)銀行的用戶進(jìn)行風(fēng)險(xiǎn)提示，加強(qiáng)用戶的信息安全意識(shí)教育，通過應(yīng)用檢測(cè)和加固提高手機(jī)銀行應(yīng)用的安全水平。

• 事中控制手機(jī)短信驗(yàn)證的轉(zhuǎn)賬上限，對(duì)手機(jī)銀行大額轉(zhuǎn)賬進(jìn)行額外的風(fēng)險(xiǎn)控制。

• 事后積極追查打擊針對(duì)電子銀行的違法犯罪行為，對(duì)被害用戶進(jìn)行及時(shí)的賠償。

從運(yùn)營(yíng)商角度，要充分認(rèn)識(shí)到短信目前已經(jīng)不再僅僅是聊天工具而經(jīng)常性地被應(yīng)用于身份認(rèn)證的場(chǎng)合，因此要在用戶賬號(hào)、SIM卡管理、通訊鏈路、相關(guān)增值業(yè)務(wù)等方面全面地提高短信驗(yàn)證碼的安全性。

從手機(jī)廠商角度，應(yīng)該充分尊重用戶的隱私和安全性，不要為了發(fā)展云服務(wù)，就把用戶隱私甚至敏感數(shù)據(jù)存放在云端，默認(rèn)配置應(yīng)該不對(duì)敏感信息進(jìn)行云存儲(chǔ)，同時(shí)也要強(qiáng)化用戶賬號(hào)管理和高危操作的二次驗(yàn)證。

對(duì)普通用戶來說，要提高安全意識(shí)——

• 不在手機(jī)上隨便下載不信任的應(yīng)用；

• 不使用不安全的Wi-Fi；

• 不要使用簡(jiǎn)單密碼或多個(gè)賬號(hào)使用同樣的密碼；

• 如果有可能，手機(jī)銀行和短信驗(yàn)證使用兩臺(tái)不同的手機(jī)；

• 開通了手機(jī)支付轉(zhuǎn)賬的銀行卡內(nèi)不要存放太多現(xiàn)金。

雷鋒網(wǎng)注：轉(zhuǎn)載請(qǐng)聯(lián)系授權(quán)，并保留出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。