網上支付 短信驗證足夠安全嗎?
- 發佈時間:2015-04-29 10:44:00 來源:揚子晚報 責任編輯:王磊
所有第三方支付平臺和不少移動端網路應用,在進行用戶身份驗證時都很依賴手機短信驗證碼。而只要在規定時間內正確輸入短信驗證碼,甚至可以立即重置重要的登錄或支付密碼。那麼,短信驗證碼究竟能否當此大任?23日,西安電子科技大學的三位碩士研究生和記者一起做了一個實驗。
實驗驗證
惡意程式盜取短信驗證碼,難嗎?
●實驗時間:2015年4月23日16:00~17:00
●實驗人員:西安電子科技大學電腦學院碩士研究生李鑫、王濤、張鵬,記者
●實驗顧問:西安電子科技大學電腦學院博士、教育部資訊安全團隊骨幹成員楊超、李興華
為了做這次實驗,三位碩士研究生使用了一個特殊的安卓手機軟體,這是一個惡意程式,起名“釣魚攻擊”。
實驗模擬的情境是,李鑫使用的一部安卓手機已中招,惡意程式一直在後臺運作。該軟體預先設置的駭客手機號碼,是一起做實驗的記者的一部手機。
實驗開始,李鑫打開手機“支付寶”進行登錄。而實際上,他打開的只是一個釣魚界面。但中毒手機的機主很難注意到,所以輸入的賬號、登錄密碼都是真的。
就在李鑫登錄“支付寶”的瞬間,記者的手機收到了一條短信,內容就是李鑫所用的支付寶賬號和登錄密碼。如果充當駭客角色的記者,此時立即打開自己手機上真正的支付寶應用,輸入短信中的用戶名和密碼,完全可以登錄並使用李鑫的支付寶賬戶。
如果駭客使用支付寶過程中,需要短信驗證碼怎麼辦?這個驗證碼,支付寶可不會直接發給駭客。
別急,按照程式設計,中毒手機在使用支付寶的過程中,只要收到含有“支付寶”三個字的短信,就會自動把短信內容轉發給駭客手機。
為驗證這一點,另一位實驗人員王濤將自己手機中存的支付寶過期短信驗證碼轉發了一條給李鑫。幾乎同時,記者的手機就收到了同一條短信。如果這就是駭客需要的驗證碼,後果可想而知。重置密碼、改綁手機,凡是駭客在操作中需要填短信驗證碼的環節,中毒手機都會自動在需要的時候通過短信轉發過來。所以,幾分鐘甚至幾十秒這樣的時間限制,並不是問題。
就這麼一個小小的程式,不但破解了支付寶賬戶名和登錄密碼,而且在操作中凡是需要短信驗證碼的時候,都會自動發給駭客。讓記者看得目瞪口呆。
李鑫説,為研究如何加強安卓系統防木馬和釣魚軟體的功能,他們設計了一個新的安卓作業系統。為驗證該系統防護性能,才專門製作了這樣的“釣魚攻擊”軟體。其實這樣的釣魚軟體並不罕見,甚至在網上花一二百元就能買到。這類惡意軟體通常會和熱門軟體捆綁,或者偽裝成遊戲挂件等,用戶很難辨別真假。一旦安裝並運作了這樣的軟體,不僅用戶在支付寶等第三方支付平臺的賬戶名和密碼會被偷偷發給駭客,有些軟體還會讓用戶無法收到支付寶發來的短信。
實驗總結
僅靠短信驗證 無法確保支付安全
西安電子科技大學電腦學院博士、副教授楊超介紹,傳統的銀行賬戶實行實名強驗證,也就是本人拿著身份證去當面驗證,必要時輸入驗證密碼。網路支付方式為突出便利性,降低了驗證門檻,一般採取密碼驗證和短信驗證相結合的方式,被稱為“雙因子驗證”。但現在出現了兩個問題:一是手機短信驗證用過頭了,被當做主要驗證方式,用它可以去重置登錄密碼或支付密碼,也就是説用短信驗證去否決密碼驗證,這樣的設計是不合適的。二是手機短信驗證有天然缺陷,在傳播過程中可以被截獲,實驗也説明瞭這樣的問題。所以,短信驗證碼是不能單獨擔當主要驗證許可權大任的。
專家解讀
遠端身份驗證以後可能靠“刷臉”
所有的第三方支付平臺,幾乎都賦予了短信驗證碼重要的驗證許可權,可誰知道能獲取短信驗證碼資訊且在平臺上進行操作的就一定是機主本人?第三方支付平臺和移動端網路應用,該如何來解決短信驗證碼難當遠端身份驗證大任的尷尬?
楊超認為,解決遠端身份驗證難題還有兩類辦法:
1.增加驗證因子,以提高攻擊難度。比如增加身份證驗證、郵箱號驗證等等。
2.相關技術手段成熟後,可以增加指紋、虹膜、聲音等生物資訊驗證方式。據悉,指紋驗證目前蘋果設備已經能做到,而人臉識別技術正日趨成熟,“刷臉支付”將會成為移動支付的下一個引爆點。 據《華商報》
使用電子支付,怎樣做更安全?
1、主要銀行賬戶,不要開通網銀及第三方支付平臺;開通第三方支付平臺的賬戶,裏面不要儲存過多現金。
2、不要用公共場合的電腦進行網上支付。
3、不了解的WiFi不要“蹭”。
4、釣魚網站一般都是用假支付頁面打掩護,只要從正規渠道進入官網,可避免絕大部分木馬病毒等惡意軟體。
5、只從官方途徑下載手機APP,不要頻繁刷機,不接不明文件,不掃不安全的二維碼。
6、支付寶等第三方支付平臺的登錄密碼和支付密碼最好用數字和字母組合的高級別密碼。
7、經常用手機購物的用戶,要養成設置開機密碼的習慣。
8、若出現手機、銀行卡等一起丟失情況,應第一時間電話挂失手機卡,撥打95188凍結支付寶賬戶。