手机验证码不能说的秘密
一则不得不写的tips
这里脑洞大开
这里包罗万象
绝对自由
绝对开放
只要你够新潮
有time
welcome 洋洋伐木累
让开,洋洋要爆料了,刹不住!!!
在魔高一尺,道高一丈的现实事件中这里不能不说的便是手机验证码的坑爹往事
tep1
也许你真的该舍弃短信验证了
总所周知,如今短信验证码已经成为各大网站APP账号登录的标配,可是你知道吗?这种看似万无一失的验证码,其实透露重重危机。
也许你还不知道,这些每次随机发送到你手机上的验证码其实是验证中最易被黑客攻击的环节。
近期部分黑客攻击了伊朗、俄罗斯甚至美国的政治活动家的手机短信。
那什么样的验证码才是安全的呢?
一种方法是专门用于身份验证的app,另一种方法是能够生成一次性验证码的实物密码器。也就是每次办银行卡时银行送给你的那个类似MP3的东西,没错,我说的就是被你放在抽屉里吃灰的那玩意。
(蠢货!那 尼 玛 是 电 子 密 码 器)
对于推特这类只能提供短信作为第二重验证的服务,是时候要清醒了,最好可以在被黑客攻击之前,提供给用户更好的密码验证选择。
“短信验证并不是最好的选择,” 安全研究员兼法医专家Jonathan Zdziarski说:“它虽然依靠握在你手中的手机进行验证,但是这种验证很容易被截获并篡改。”
幸运的是,大量的服务商提供了更好的选择。谷歌上周推出了“谷歌提示”,此服务可以直接从服务器发送第二重验证到用户的安卓手机或者ISO系统的app应用“谷歌搜索”中。
但是,更安全的应用应该不要求发送任何信息。像“谷歌认证”与“谷歌令牌”,以及RSA加密算法这样的app,这些应用会生成一次性的密码,并且这些密码会在几秒之内就会变换一次。Slack、WordPress、Gmail这些服务商正在使用的这些由服务器产生的提取码,他们的用户可以说出密码来证明自己的身份,即使被泄露到网络上也是没有关系的。(在系统运行之后的数学算法是非常聪明的:当用户通过服务器注册账户的时候,“谷歌认证”这个app应用和它的服务器一同开始一个“种子值”,这个数值可以转换成一个长而独特的字符串“散列”——它具有数学的功能而且不能被颠倒。当字符串被再次排列,结果同样就再次变更,在几秒之内就会完成这些操作。在这些字符中仅仅几个数字会成为登陆的密码,所以没有谁能通过偷看用户的手机而实现登陆。
洋洋表示这一段你都能看下去,我真的想睡你,不说假话。
不幸的是,一些服务商比如推特仍然在使用短信进行双重验证。但是一些高调的黑客,比如DeRay McKesson,可能会让推特感到一些紧迫。推特告诉《连线》(WIRED)杂志,他们已经在开发一系列的技术让用户的账户体系保持安全。也就是说,Twitter和其他保存你的敏感数据的服务商一样,也许很快就会同其他更好的方法替代短信验证功能了。
但在这之前,安全意识强的用户,比如你,应该采用这些新方法了。
tep2
翻译完这篇文章感觉好怕怕,因为我一直都以为短信验证是最安全的登录方式,看来我要去翻抽屉把哪些密码器找回来了......
