喂，有沒有想過你在互聯(lián)網(wǎng)上的“身份證”是什么?更通俗地講，在互聯(lián)網(wǎng)中，什么能證明“你是你”?

當(dāng)我們登錄一個銀行APP時，是不是只憑“用戶名+口令”就可以進(jìn)行查詢和交易等一系列操作?顯然不是那么簡單，為什么?每年都有大量的網(wǎng)上賬號密碼等信息泄漏事件曝光，即使是大的在線服務(wù)商(12306、網(wǎng)易郵箱等)也不能幸免，銀行卡信息也不例外。

[[170307]]

因此，除了用戶名密碼驗(yàn)證，服務(wù)商會開啟第二道身份驗(yàn)證程序，那就是短信驗(yàn)證碼。

對的，現(xiàn)在回答開文我們提到的問題，“數(shù)字世界中，什么能證明你是你?”答案就是短信驗(yàn)證碼，那個4或6位的數(shù)字。

本來，短信是一種漸漸被遺忘的通信方式，但現(xiàn)在這種傳統(tǒng)的數(shù)據(jù)通信業(yè)務(wù)逐漸改變了它原來所扮演的角色，成為了用戶名口令基礎(chǔ)之上的主流身份驗(yàn)證方式，在安全行業(yè)被稱為雙因素認(rèn)證。

可是，本文要強(qiáng)調(diào)的是，短信驗(yàn)證碼它不安全、不安全、不安全……

短信驗(yàn)證碼，它能代表誰?

為什么說短信驗(yàn)證碼不安全，我們先來看看一個案例：

一年前，網(wǎng)絡(luò)瘋傳的《我與工行+10086的撕逼大戰(zhàn)》事件中，事主前后被盜轉(zhuǎn)賬萬余元，盜取資金的不法分子能夠成功的關(guān)鍵因素就是因?yàn)樗@得了用戶的短信驗(yàn)證碼。入侵者利用事先獲得的事主運(yùn)營商網(wǎng)上營業(yè)廳的賬號密碼，從其短信保管箱中偷走了短信驗(yàn)證碼。有了銀行賬號密碼和短信驗(yàn)證碼，入侵者輕松進(jìn)行了資金盜轉(zhuǎn)。當(dāng)然，此類事件并不孤立，還有入侵者利用運(yùn)營商的線上自助換卡業(yè)務(wù)，拿到了手機(jī)卡的權(quán)限，后續(xù)的驗(yàn)證碼獲取則不在話下。

不法分子想要偷取你的短信驗(yàn)證碼，還有以下幾種方式：

· 通過手機(jī)木馬APP攔截短信驗(yàn)證碼：本來有一些正版APP為了用戶體驗(yàn)，采取自動讀取短信而省卻了用戶收到驗(yàn)證碼等信息時需要手工輸入的麻煩?，F(xiàn)在木馬通常也會偽裝在看起來很正常的手機(jī)軟件中，以進(jìn)行攔截短信甚至刪除正常收到的短信內(nèi)容。

· 通過空中接口攔截：這是一種更難以防范的方式，入侵者通過特殊的接收設(shè)備對手機(jī)信號進(jìn)行干擾，并從基站廣播的空中接口截獲短信內(nèi)容。

也許有人疑問，一直在強(qiáng)調(diào)短信驗(yàn)證碼的風(fēng)險，銀行卡密碼怎么會到了入侵者的手里?其實(shí)，開文也講了那個看不見的“黑市”。前幾個月的央視報道中，記者在地下黑市中很容易買了1000條銀行卡信息，包括姓名、身份證號、卡號、登錄密碼、交易密碼、銀行預(yù)留手機(jī)號等，在記者隨機(jī)對70條信息進(jìn)行驗(yàn)證時，其中65條信息全部正確。所以，千萬不要認(rèn)為你的信息很安全，很多人“成套”的個人信息已經(jīng)在地下黑色產(chǎn)業(yè)鏈中流轉(zhuǎn)。

有了用戶名密碼，有了短信驗(yàn)證碼，“誰都可以是你”。事實(shí)證明，這種僵化和粗暴的身份驗(yàn)證方式是靠不住的。

我們需要怎樣的安全身份認(rèn)證?

其實(shí)第一代身份認(rèn)證 “賬號+靜態(tài)密碼”仍然是一種普適性的方式，原因是它的靈活性足夠高，你只要能記住就可以了。但是它的安全級別非常低，易受拖庫撞庫、社會工程學(xué)、口令竊取等攻擊。這也是為什么包含這兩項(xiàng)敏感資料的信息能夠在黑市和地下產(chǎn)業(yè)鏈交易的重要原因。

身份認(rèn)證技術(shù)演進(jìn)

對于第二代身份認(rèn)證也就是賬號密碼之上加短信驗(yàn)證碼的方式，前面已經(jīng)闡述很多，它是一種靈活性居中的簡單方案，并且使用廣泛，據(jù)運(yùn)營商業(yè)內(nèi)人士介紹，2015年中國短信驗(yàn)證碼的市場規(guī)模已經(jīng)達(dá)到了50億元。不過正如前文所解讀，它的安全性同樣特別低，易受短信驗(yàn)證碼盜取攻擊。入侵者一旦拿到了短信驗(yàn)證碼，他的后續(xù)一系列操作也意味著暢通無阻。

那么究竟有沒有一種真正安全的身份認(rèn)證措施?答案是有的，那就是賬號密碼+U盾的方式，這可以被認(rèn)為是第三代身份認(rèn)證方式。它的安全級別高，不易被攻擊。

但是U盾是PC時代的產(chǎn)物，我們在電腦上操作網(wǎng)銀轉(zhuǎn)賬時，通常用到U盾，它可以保障安全交易。不過，現(xiàn)在是移動的時代，你能想象我們在登錄手機(jī)銀行APP操作時要隨身攜帶U盾嗎?顯然，它的使用體驗(yàn)極差。

那么，到底有沒有一種兼顧安全性和靈活性的身份認(rèn)證方式，這才是用戶所需要的。

如何實(shí)現(xiàn)兼顧安全和靈活的新一代身份認(rèn)證?

有著U盾的安全性、有著賬號密碼的靈活性，能不能實(shí)現(xiàn)這樣的新一代身份認(rèn)證?隨著云技術(shù)、大數(shù)據(jù)技術(shù)的發(fā)展，是不是該革新下安全身份認(rèn)證技術(shù)，而不是還停留著十幾年前的安全體系。

近日，ZD至頂網(wǎng)記者注意到了北京芯盾時代科技有限公司提出的新一代身份認(rèn)證體系，它主要解決三個問題：“手機(jī)設(shè)備安不安全?拿手機(jī)的人安不安全?干的事兒安不安全?”

芯盾時代創(chuàng)始人在接受我們的采訪時表示，芯盾時代幫助金融機(jī)構(gòu)、政府、互聯(lián)網(wǎng)等各行各業(yè)建立安全認(rèn)證體系，就是針對這三個環(huán)節(jié)去驗(yàn)證“設(shè)備”、驗(yàn)證“人”、驗(yàn)證“行為”。

芯盾身份認(rèn)證框架

落實(shí)在技術(shù)上，則是利用設(shè)備認(rèn)證、生物認(rèn)證、大數(shù)據(jù)風(fēng)控等技術(shù)，對現(xiàn)有的身份驗(yàn)證方式進(jìn)行革新。

設(shè)備認(rèn)證：確保用戶的安全設(shè)備在操作。芯盾根據(jù)手機(jī)設(shè)備的特性，提取設(shè)備的“DNA”進(jìn)行識別。一是確保是合法的設(shè)備，例如它是一個真實(shí)手機(jī)而不是入侵者利用的模擬器，它有一個安全的系統(tǒng)環(huán)境而不是在攻擊框架下、沒有安裝惡意應(yīng)用等;二是確保是用戶的設(shè)備，也就是要識別出用戶常用或綁定的設(shè)備、而不是入侵者改串號的設(shè)備。

生物認(rèn)證：新驗(yàn)證終端或終端判斷合法了，但終端前面的人呢?芯盾采用生物識別技術(shù)，基于人臉、聲紋、指紋來確定“人“是合法的，生物信息的驗(yàn)證也就相當(dāng)于銀行柜臺發(fā)“盾”的動作，在手機(jī)中為用戶發(fā)放了一個“數(shù)字身份憑證”。

大數(shù)據(jù)風(fēng)控：不法分子的行為總有各類蛛絲馬跡。芯盾通過大數(shù)據(jù)行為分析，可以識別出惡意行為，及時提示風(fēng)險。它是一項(xiàng)云服務(wù)，通過對當(dāng)前設(shè)備及用戶行為的分析返回風(fēng)控指數(shù)，引導(dǎo)用戶直接認(rèn)證通過、進(jìn)行二次認(rèn)證、甚至阻斷操作。

芯盾身份認(rèn)證核心要素

有了這些判斷，就可防范短信驗(yàn)證碼丟失帶來的風(fēng)險，即使用戶銀行卡信息已經(jīng)泄露、短信驗(yàn)證碼被不法分子截獲，該系統(tǒng)也能夠有效識別，確保其無法進(jìn)行盜轉(zhuǎn)盜刷。

這種安全身份認(rèn)證方式相當(dāng)于有了一個“大腦”，不再是僵化和粗暴的比對認(rèn)證，結(jié)合大數(shù)據(jù)分析讓它學(xué)會了思考。

同時重要的是，這些安全驗(yàn)證的過程是在后端進(jìn)行的，而不是拋給用戶在前端進(jìn)行復(fù)雜的操作。在保障安全的同時，對用戶無感知。

寫在最后：

據(jù)不完全統(tǒng)計(jì)，2015年基于身份認(rèn)證欺詐的黑色產(chǎn)業(yè)鏈規(guī)模已過千億，七成左右的網(wǎng)民個人身份信息和個人網(wǎng)上活動信息均遭到泄露。黑產(chǎn)像寄生蟲一樣吸附于企業(yè)，獲取高額利潤，同時摧毀了企業(yè)的正常業(yè)務(wù)。身份認(rèn)證是業(yè)務(wù)的第一入口，也是業(yè)務(wù)安全的根基，需要通過芯盾時代這樣的創(chuàng)新技術(shù)，準(zhǔn)確攔截用戶名密碼泄露、短信驗(yàn)證碼盜取等各類風(fēng)險、為用戶提供安全、免密、智能的身份認(rèn)證服務(wù)。