深圳微信营销-分析:短信验证足够安全支付吗

分析:短信验证足够安全支付吗2015年05月03日13:12中国电子商务研究中心我要投稿产品服务(中国电子商务研究中心讯)不法分子之所以能通过网络进行盗窃,除了购买了大量手机用户号码和电信网上服务平台登录密码,关键是采用了拦截支付宝短信验证码的方法.
所有第三方支付平台和不少移动端网络应用,在进行用户身份验证时都很依赖手机短信验证码.
而只要在规定时间内正确输入短信验证码,甚至可以立即重置重要的登录或支付密码.
那么,短信验证码究竟能否当此大任23日,西安电子科技大学的三位硕士研究生和华商报记者一起做了一个实验.
>>实验验证恶意程序盗取短信验证码,难吗·实验时间:2015年4月23日16:00~17:00·实验地点:华商报社二楼·实验人员:西安电子科技大学计算机学院硕士研究生李鑫、王涛、张鹏,华商报记者·实验顾问:西安电子科技大学计算机学院博士、教育部信息安全团队骨干成员杨超、李兴华为了做这次实验,三位硕士研究生使用了一个特殊的安卓手机软件,这是一个恶意程序,起名"钓鱼攻击".
实验模拟的情境是,李鑫使用的一部安卓手机已中招,恶意程序一直在后台运行.
该软件预先设置的黑客手机号码,是一起做实验的华商报记者的一部手机.
实验开始,李鑫打开手机"支付宝"进行登录.
而实际上,他打开的只是一个钓鱼界面.
但中毒手机的机主很难注意到,所以输入的账号、登录密码都是真的.
就在李鑫登录"支付宝"的瞬间,华商报记者的手机收到了一条短信,内容就是李鑫所用的支付宝账号和登录密码.
如果充当黑客角色的华商报记者,此时立即打开自己手机上真正的支付宝应用,输入短信中的用户名和密码,完全可以登录并使用李鑫的支付宝账户.
如果黑客使用支付宝过程中,需要短信验证码怎么办这个验证码,支付宝可不会直接发给黑客.
别急,按照程序设计,中毒手机在使用支付宝的过程中,只要收到含有"支付宝"三个字的短信,就会自动把短信内容转发给黑客手机.
为验证这一点,王涛将自己手机中存的支付宝过期短信验证码转发了一条给李鑫.
几乎同时,华商报记者的手机就收到了同一条短信.
如果这就是黑客需要的验证码,后果可想而知.
重置密码、改绑手机,凡是黑客在操作中需要填短信验证码的环节,中毒手机都会自动在需要的时候通过短信转发过来.
所以,几分钟甚至几十秒这样的时间限制,并不是问题.
就这么一个小小的程序,不但破解了支付宝账户名和登录密码,而且在操作中凡是需要短信验证码的时候,都会自动发给黑客.
让华商报记者看得目瞪口呆.
李鑫说,为研究如何加强安卓系统防木马和钓鱼软件的功能,他们设计了一个新的安卓操作系统.
为验证该系统防护性能,才专门制作了这样的"钓鱼攻击"软件.
其实这样的钓鱼软件并不罕见,甚至在淘宝上花一二百元就能买到.
这类恶意软件通常会和热门软件捆绑,或者伪装成游戏挂件等,用户很难辨别真假.
一旦安装并运行了这样的软件,不仅用户在支付宝等第三方支付平台的账户名和密码会被偷偷发给黑客,有些软件还会让用户无法收到支付宝发来的短信.
page1/4>>实验总结·仅靠短信验证无法确保支付安全西安电子科技大学计算机学院博士、副教授杨超介绍,传统的银行账户实行实名强验证,也就是本人拿着身份证去当面验证,必要时输入验证密码.
网络支付方式为突出便利性,降低了验证门槛,一般采取密码验证和短信验证相结合的方式,被称为"双因子验证".
但现在出现了两个问题:一是手机短信验证用过头了,被当做主要验证方式,用它可以去重置登录密码或支付密码,也就是说用短信验证去否决密码验证,这样的设计是不合适的.
二是手机短信验证有天然缺陷,在传播过程中可以被截获,实验也说明了这样的问题.
所以,短信验证码是不能单独担当主要验证权限大任的.
>>专家解读·远程身份验证以后可能靠"刷脸"所有的第三方支付平台,几乎都赋予了短信验证码重要的验证权限,可谁知道能获取短信验证码信息且在平台上进行操作的就一定是机主本人第三方支付平台和移动端网络应用,该如何来解决短信验证码难当远程身份验证大任的尴尬杨超认为,解决远程身份验证难题还有两类办法:#p#分页标题#e#1.
增加验证因子,以提高攻击难度.
比如增加身份证验证、邮箱号验证、密保问题验证、人工客服验证等验证方式,以弥补不能当面验证的欠缺.
2.
相关技术手段成熟后,可以增加指纹、虹膜、声音等生物信息验证方式.
据悉,指纹验证目前苹果设备已经能做到,而人脸识别技术正日趋成熟,"刷脸支付"将会成为移动支付的下一个引爆点.
>>知道一下·你的隐私信息安全吗陕西一万多电信用户的手机号码和电信网上营业厅登录密码遭盗卖,造成这样的情况可能有哪些原因西安电子科技大学计算机学院副教授杨超分析说,不法分子盗卖隐私信息主要有以下几种途径:1.
人为的倒卖,例如公司拿注册信息去卖,运营商内部人员拿到个人信息去倒卖等.
2.
一些网站、服务存在漏洞,如果被攻击,用户信息就可能被泄露,例如苹果iCloud漏洞导致明星艳照泄露等.
3.
个人的误用,例如发布二手交易信息、微博空间等个人信息可能会被利用等.
据新华社3月5日报道,目前信息安全"黑洞门"已经到了触目惊心的地步,网站攻击与漏洞利用正在向批量化、规模化方向发展,一些重要数据甚至流向外国.
新华社记者从补天漏洞响应平台(该平台是目前全球最大的漏洞响应平台,其漏洞数据同步公安部、网信办和国家漏洞库)上收录的数据显示,目前该平台已知漏洞就可导致23.
6亿条隐私信息泄漏,包括个人信息、账号密码、银行卡信息、商业机密信息等.
数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府网络系统.
根据公开信息,2011年至今,已有11.
27亿用户隐私信息被泄漏.
"这个数据意味着,我们几乎每一个上网的人,信息都可能已经在不知不觉中被窃取甚至利用.
"一位网络安全方面的权威人士对华商报记者坦言.
更令人担忧的是,实际情况比这一统计数据还要严重,下一步移动金融、网上支付等可能成为重灾区.
华商报记者马虎振·使用电子支付,怎样做更安全1、主要银行账户,不要开通网银及第三方支付平台;开通第三方支付平台账户,不要储存过多现金2、网上支付要注意操作环境的安全性,不要用公共场合的电脑进行网上支付page2/43、不了解的Wi-Fi不要"蹭",当心重要账户登录名和密码被窃取4、钓鱼网站一般都是用假支付页面打掩护,只要从正规渠道进入官网,可避免绝大部分木马病毒等恶意软件5、只从官方途径下载手机APP,不要频繁刷机,不要root,不接不明文件,不扫不安全的二维码6、支付宝等第三方支付平台的登录密码和支付密码最好用数字和字母组合的高级别密码7、经常用手机购物的用户,要养成设置开机密码的习惯8、若手机、银行卡等一起丢失情况,应第一时间电话挂失手机卡,拨打95188冻结支付宝账户(来源:华商报)【独家专题】【查看评论】【】【】【我要纠错】「关键字」会议报道B2B研究B2C研究版权声明(1)凡本中心注明"来源:中国电子商务研究中心"或带有中国电子商务研究中心水印LOGO的所有文字、图片、音频、视频及其他任何形式的作品,其版权均属中国电子商务研究中心所有,任何媒体、网站或个人未经本中心协议授权不得转载、链接、转贴或以其他方式复制发布/发表.
已与本中心协议授权的媒体、网站,在下载使用时必须注明"稿件来源:中国电子商务研究中心",违者本中心将依法追究责任.
(2)转载或引用本中心内容必须是以新闻性或资料性公共免费信息为使用目的的合理、善意引用,不得对本中心内容原意进行曲解、修改,同时必须保留本中心注明的"稿件来源",并自负版权等法律责任.
(3)对于不当转载或引用本中心内容而引起的民事纷争、行政处理或其他损失,本中心不承担责任.
(4)凡本中心注明"来源:xxx(非中国电子商务研究中心)"的文/图等稿件,均转载自其它媒体、网站与机构,其转载目的在于传递更多信息,并不代表本中心赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容,如其他媒体、网站或个人从本网下载使用,必须保留本网注明的"稿件来源",并自负版权等法律责任.
page3/4#p#分页标题#e#(5)关于本中心发布的用户投诉稿件,信息均由用户通过本中心投诉通道提供,本中心不对其真实性负责,若内容真实性有误,请与本中心联系,本中心将在核实后进行处理.
(6)对不遵守本声明或其他违法、恶意使用本中心内容者,本中心保留追究其法律责任的权利.
(7)如因作品内容、版权和其它问题需要同本中心联系的请发送相关内容至邮箱:news@netsun.
com)此版权声明解释权归中国电子商务研究中心所有.
悠久是专业的深圳网站建设公司、深圳平面设计公司、深圳微信营销公司、深圳VI设计公司、深圳包装设计公司.
提供网站建设、微信小程序/APP/软件开发、画册设计、包装设计、VI设计、标志设计等服务.
本文地址:https://www.
youjoys.
cn/view-18186-1.
htmlPoweredbyTCPDF(www.
tcpdf.
org)page4/4