"Doğrulama kodu" çağında, sözde güvenlik sertifikasının gizli riskleri var mı?
Titanium Media TMTPost.com
TMT İnovasyon Girişimcilik
Bu farklı WeChat hesabına dikkat edin: Titanium Media (ID: taimeiti)
Aslında, doğrulama kodu yalnızca yararlı bir hatırlatma işlevidir.Daha fazla durumda, doğrulama kodu güvenlik yerine riskler getirir.
Titanium Media Sugar Direct Sales_Orz Yazarı
Mobil İnternet çağında, neredeyse "cep telefonlarında yaşıyoruz". Her gün, çeşitli uygulamalara giriş yapmak ve herhangi bir İnternet hizmetini kullanmak için harcanan zaman hayatımızın çoğunu alıyor. Doğrulama kodu, bizimle "her gün görüşmek" içindir.
Günümüzde oldukça popüler olan "gizli olmayan kimlik doğrulama" teknolojisi, en büyük rolü "cep telefonu doğrulama kodunu" değiştirmektir.
Elbette, kullanıcı deneyimine çok duyarlı olmayan birçok kullanıcı, doğrulama kodlarını gönderme ve alma zamanının onlar için çok az önemli olduğunu düşünüyor. Aynı zamanda, onlar için doğrulama kodu, hesap koşullarındaki değişiklikleri kendilerine hatırlatmak için daha çok bir hatırlatıcıdır.
Etrafta meydana gelen davalar
Basında çıkan haberlerde çok sayıda cep telefonu güvenliği vakası var: Kimin kredi kartı çalındı ve kimin Alipay hesabı hacklendi ...
Peki neler oluyor? Çevremizdeki iki örneğe bakalım:
Çevrimiçi dolandırıcılık vakalarında dolandırıcılar, ödeme yapan şirket platformunun müşteri hizmetleri personeli gibi davranır ve kurbanları kandırmak için sanal banka müşteri hizmetleri numaralarıyla gönderilen "anormal siparişler için gereken geri ödemeler" veya "puan kullanma" ve "çevrimiçi banka yükseltme" metin mesajlarını içeren kısa mesajlar gönderir. Mağdurun kimlik numarasını, banka hesap numarasını, şifresini, doğrulama kodunu ve diğer bilgilerini almak ve hesap paralarını çalmak için Truva atı bağlantısını tıklayın veya kimlik avı web sitesinde oturum açın.
Temmuz 2015'te suçlular, 3 gün içinde 43 müşteriden bir milyon yuan'den fazla banka kartı fonunu çalmak için Chongqing Three Gorges Bank tarafından geliştirilen çevrimiçi ödeme platformu "Three Gorges Pay" i kullandı. Suçlu, önce kurbanın cep telefonuna Truva atı virüsü içeren bir metin mesajı gönderir.Mağdur metin mesajına tıkladıktan sonra, suçlu cep telefonundaki tüm bilgileri alabilir ve daha sonra cep telefonu tarafından alınan herhangi bir metin mesajını yakalayabilir. Suçlular, hesap sahibinin adını, kimlik numarasını, banka kartı numarasını ve hesabı açan banka tarafından ayrılan cep telefonu numarasını bilgilerden taradılar ve bu bilgileri "Three Gorges Pay" elektronik hesabını, kurbanın banka kartını ve "Three Gorges Pay" i kaydetmek için kullandı Hesap bağlama.
Bu dolandırıcılıkların ortak özelliği, "kullanıcı doğrulama kodlarının çalınması" dır. Birincisi, retorik yoluyla kullanıcının doğrulama kodunu dolandırmaktır.Kamu güvenliği yoldaşlarından ve büyük e-ticaret platformlarından gelen sürekli hatırlatmalardan sonra, herkes bu yönteme hala oldukça uyanıktır; diğeri ise "truva atı" aracılığıyla. , Kullanıcının SMS kayıtlarına müdahale ederek kullanıcı bilgilerini elde edin ve dikkatsiz kullanıcılar kolayca kandırılır.
Özellikle Android telefonlarda engellenmesi kolay olmayan başka bir yol daha var. Bazı uygulamalar "SMS okuma izni almaya çalışacak". Çoğu zaman, kullanıcılar uygulama ne olursa olsun bir süre doğrulama kodunu girmenin rahatlığı için açgözlü davranırlar. "Merkezsizleşecek". Bazen güvensiz açık Wi-Fi bile, kullanıcı hesaplarının SMS doğrulama kodlarını çalma riskini de beraberinde getirir.
Aslında, yeterince dikkatli olan kullanıcılar için, doğrulama kodunun güvenliği gerçekten çok yüksektir, ancak her zaman insanların "seyrek" olduğu bir zaman olacaktır. Özellikle yaşlılar ve çocuklar için, bazı cep telefonlarının otoritesini anlamıyorlar ve dolandırıcıların "bıçağı" olma olasılıkları daha yüksek.
Doğrulama kodu olmadan hesap güvende mi?
Kamu Güvenliği Bakanlığı Ekonomik Soruşturma Bürosundan sorumlu ilgili kişiye göre 2016 yılının ilk yarısında banka kartı bilgilerini çalmak, satın almak ve yasadışı yollarla vermekle ilgili 177 ceza davası, bir önceki yıla göre 4,5 kat artarak ülke genelinde açıldı. Banka kartı bilgi sızdırma yöntemi, geçmişte modifiye edilmiş POS makinelerinden ve ATM makinelerinden veri ve şifreleri çalmak için gelişti ve bilgisayar korsanlığı teknikleri veya sahte baz istasyonları kullanan bir toplu çalma yöntemine dönüştü. Aynı zamanda, bazı kullanıcılar aynı parolayı kullanmaya alışkındır ve çoğu zaman suçlular veritabanına basarak bu kullanıcının diğer hesap bilgilerini çalabilir.
Açıktır ki, geleneksel parolalar bu alandaki saldırılara karşı özellikle savunmasızdır - çünkü herhangi bir kimlik doğrulama yöntemi zayıf kimlik doğrulama olarak kabul edilir ve güçlü kimlik doğrulama olarak kabul edilmesi için bağımsız olarak iki veya üç tür kimlik doğrulama kullanılmalıdır.Ancak, ikincil kimlik doğrulamayı etkinleştiren kullanıcılar daha savunmasızdır. Çok nadirdir. İkincil doğrulamanın ana sorunu, hantallığıdır ve gizli olmayan kimlik doğrulamanın avantajının yattığı yer burasıdır. Telekom'un gizli olmayan kimlik doğrulaması, mevcut kullanıcının cep telefonu numarasını doğru bir şekilde tanımlayabilir, tek tıklamayla doğrulama geçilerek sıkıcı SMS doğrulama kodu sürecini ortadan kaldırır ve ele geçirilme riskini ortadan kaldırır. Çeşitli uygulamalara giriş yapma şeklimizin değişeceğinden hiç şüphe yoktur. Basit ve güvenli olmalı - sadece "Uygulamaların cep telefonu numaralarını almasına izin ver" i ve tek tıklamayla kimlik doğrulamasını tıklamamız gerekiyor.
Örneğin, para çekerken ve farklı yerlerde harcama yaparken, bankanın yalnızca China Telecom ile kullanıcının konumunu doğrulaması gerekmiyor, aynı zamanda kullanıcının manuel "tek tıklamayla kimlik doğrulama" için kimlik doğrulama uygulamasında oturum açmasını gerektiriyor. Bu, kredi veya banka kartlarının çalınma riskini büyük ölçüde azaltır.
Aynı zamanda, "Tianyi Ücretsiz Gizli Kimlik Doğrulaması" hizmetine erişimi olan hizmet sağlayıcıları, kaçınılmaz olarak, güvenlik sertifikasına sahip oldukları anlamına gelen China Telecom denetiminden geçeceklerdir.
Numaramı iptal etmek istersem ...
Çoğu insan için bir cep telefonunun değeri, cep telefonundaki cep telefonu numarası kadar değerli olmayabilir. Cep telefonu numarasına çok sayıda kullanıcı hesabı bağlıdır.Mobil İnternet çağında, cep telefonu numarası başka bir kimlik numaramıza eşdeğerdir.
Cep telefonu numaranızı değiştirmek istiyorsanız, cep telefonu numarasının bağlantısını kaldırmak çok zaman alacaktır. Bu, kullanıcılar, servis sağlayıcılar ve telekom operatörleri için büyük bir sorundur - kullanıcılar, cep telefonu numaralarının kaç hesapla ilişkili olduğunu ve servis sağlayıcıyı hatırlamaz İşletme, kullanıcının numarayı satıp satmayacağını bilmez ve operatör "numarayı yeniden verip veremeyeceğini" bilemez.
Geleneksel doğrulama kodları çağında, kullanıcılar cep telefonu numaralarını değiştirir ve bağlantılarını kaldırmayı unuturlar. "Ben benim" i kanıtlamak için çok fazla bilgi sağlamaları gerekir ve bir hesaba "ne zaman" kaydolmaları gerektiği sorusu hiç cevaplanamaz; servis sağlayıcıların ihtiyacı Kullanıcı bilgilerinin gerçekliğini doğrulamak ve kullanıcılarla geri bildirimi iletmek çok fazla insan gücü ve zaman alır; operatörün "ikinci tahsisi" için olduğu gibi, ikinci kullanıcı, kendisiyle hiçbir ilgisi olmayan bazı doğrulama kodları alabilir. Aralarındaki bilgi asimetrisini kırabilecek bir mekanizma varsa sorun çözülecektir.
"Tianyi Ücretsiz Gizli Kimlik Doğrulaması" her iki tarafın bilgilerini dengelemek için bir köprüdür. Gizli olmayan kimlik doğrulama mekanizmasında, China Telecom "bilgi veritabanı" rolünü oynar ve hizmet sağlayıcının bazı bilgileri doğrulamasını talep etme yetkisi vardır: örneğin, kullanıcının erişim zamanının belirli bir zamandan önce olup olmadığı, mevcut kullanıcının çevrimiçi olup olmadığı vb. . Bu süreçte servis sağlayıcı, mevcut cep telefonu numarasının iptal edilip edilmediğini belirleyebilir.
China Telecom, karşılaştırma için gerçek ad kimlik doğrulaması sağlama gibi, gelecekte karşılaştırma için yetkinliği daha da açabilirse. Kullanıcı, hesabın gerçek ad bilgilerini sağladığı sürece, numaranın bağlantısını çözme ve iptal etme adımları büyük ölçüde basitleştirilecektir - kullanıcı kendi gerçek adını Telecom'a sağlar ve bilgi veritabanı ve platform bilginin doğruluğunu doğrulamaktan sorumlu olduğu için China Telecom; süreç boyunca hizmet sağlayıcıları Telecom tarafından verilen cevaptan, kullanıcının gerçek adıyla ilgili herhangi bir bilgi almadan, bağlayıcılığı kaldırma başvurusu yapan kullanıcı ile cep telefonu numarası sahibinin aynı kişi olup olmadığını teyit edin.
Şimdilik, China Telecom'un "Tianyi Ücretsiz Gizli Kimlik Doğrulama" hizmeti hala tanıtım aşamasındadır ve uygulama senaryoları gelecekte "değiştirme doğrulama kodları" ile sınırlı olmayacaktır. Gelecekteki şifrelerin potansiyel bir ikamesi olarak, bu hizmet birçok alanda rol oynayabilir. (Bu makale ilk olarak Titanium Media'da yayınlandı)
WeChat çok az zorlarsa, bir sonraki Titanium Media Uygulaması daha zamanında olacak
Bunu anlamadım Roman dünyası
Profesyonel yardımcınız olun, Titanium Media Pro (Professional Edition) burada, daha zengin bir profesyonel bilgi hizmeti sistemi, tıklayın "Orijinal metni okuyun" ve Titanium Media'nın profesyonel bir kullanıcısı olarak kaydolun.
