通过手机短信验证码验证身份，真的安全吗？
我的图书馆
通过手机短信验证码验证身份，真的安全吗？
【hqdvista的回答(34票)】:
谢邀。短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是
1）认为用户的卡是不会轻易丢失和被窃取的，和用户绑定更紧密（相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了）
2）认为有手机号可以做二次验证的用户是真实用户（所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册）（并且能获得更多用户的真实信息用来...）
3）认为运营商维护的通讯信道比其他的都更安全
这些预设基本上是靠谱的，只是在智能手机普及的大环境下各类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。
目前来说对于短信验证的威胁主要有如下三个方面：
1）智能手机平台上的短信木马，这里可以看到一个案例。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链：从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。
在智能手机的年代，由于OS开放了短信操作和拦截的接口（Android直接提供，iOS需要越狱），对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况（绝大部分情况下是这样），短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示：
2）补卡攻击。之前提到了短信验证码事实上是基于手机号（SIM卡/运营商服务）而不是手机设备，那么如果能办一张和受害者相同的手机号，自然就能狸猫换太子，接受受害者的验证码，重置各种账号。参考，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。
3）无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。
解决方案：1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。
2、3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的通知，现在去营业厅补卡还是盘查的比较严格的。
3可以考虑使用3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为（2G）GSM之后进行监听。这种攻击只能期待GSM逐渐退出历史舞台，设备不再兼容吧。
短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP（各种宝令、Google Authenticator、RSA token）已经比较普遍的。指纹随着具有指纹识别功能设备的普及也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。
【吕爻的回答(15票)】:
无非是手机验证还是邮箱验证。对于大多数普通人对于大多数应用场景来说还是手机验证安全方便。
1、与国外的使用习惯差异，中国用户电子邮件使用率不高，很多人没有邮箱或者忘掉邮箱密码的，这样邮箱验证形同虚设。另外比起邮箱验证，手机验证操作更傻瓜，环节更少。
2、使用验证方式盗号最常见的情况应该是从用户名猜到验证邮箱，而遭遇各种拖库的中国网民常用邮箱很可能已经密码泄露了。手机验证的话没这个风险。
3、先捡到手机，再通过手机修改密码。这个主要针对网银吧，否则小偷也忒无聊了…这个确实有风险，但是做的好的比如支付宝是这样防范风险：A.客户端建议设置图形解锁，并且建议分别设置登录密码和交易密码。B.PC端若不是经常登录的机器，无法简单使用手机找回密码功能。退一步，即使不考虑这些，丢失手机后可以第一时间挂失，重办号码，起码风险是可控的。
【知乎用户的回答(6票)】:
没有绝对安全的验证方式。
手机验证相对于传统的邮箱验证、密保问题验证要安全很多。
因为邮箱、密保问题是虚拟物品，邮箱密码、验证答案都具有可传播、可复制性质，因此只要得知密码、答案即可获得验证码。
而手机则是实物，只有手机持有人才能获取到验证码，具有地域性限制，网络上的黑手没办法触及，因此会比其它方式安全很多。
（排除手机权限设置问题导致短信被app窃取的情况）
以下产品也具有同样的效果，而且更安全。
至于提主所提到的手机丢失问题。
只能说，家门口钥匙都还有丢失的时候……
【知乎用户的回答(4票)】:
居然被邀请了，反正也没事，那就仔细说说吧:)
首先要说的是，就像已经有很多人指出的那样，是没有绝对安全的。我们说xxx是安全的，只是表明所面临的威胁和风险在可接受的范围内。至于什么程度才算“可接受”则很难定义，很多时候甚至要更多地考虑情绪和感情因素。换个角度，也可以说，面对已经识别的风险，如果防护的投入将超过可能的损失，则可以认为“可接受”了。
回到这里来，不过换一个问题：通过手机短信验证身份，能提高安全性吗？答案是明确的，是。身份认证有三个方式：你知道的，你持有的，以及你固有的。一般的口令密码之类算第一类（你知道的），持有令牌通行证之类算第二类（你持有的），指纹虹膜等生物特征算第三类（你固有的）。由于获取／伪造的难度不同，一般认为第一类的安全性比第二类差，第二类又比第三类差；但需要明确的是，如果只有其中一种都算是弱认证，必须独立使用两种甚至三种才算是强认证。
普通应用比如邮箱的认证方式都是口令或密码这第一类认证，使用短信验证码则是为了提供第二类认证。在安全设定中，做得好的系统会要求关键修改要同时使用两种认证方式，即：使用密码登录，然后修改关键信息比如已经注册过的手机号，还需要先用之前的手机接收验证码；单独获得手机后，是不应该能够登入账户并修改所有信息的，否则就破坏了多种认证方式直接的独立性，进而破坏了系统的安全性。
这时候我们再回头看题目的问题，就能知道，在没有设计缺陷的情况下，在密码认证之外添加短信认证是同时使用了第一类和第二类认证，也就是强认证了。在密码设置合理（严格来说必须用随机数，但最起码不要用123456之类）、手机短信验证码系统可靠（没被人复制窃听）的情况下，安全性是有充分保证的。即使是两种认证方式终有任何一种被破坏，面对一般的威胁安全性应该也还好。这样来说，可以给题主一个明确的答案：是！有更好的方法吗？综合考虑成本和适用性，暂时可能还真没有。
一句题外话，随着技术进步和操作方式的变化，原本算是第三类的认证方式可能变弱成第二类，第二类可能变成第一类，原本互相独立的认证方式也可能在无意间关联起来。和所有的安全系统一样，设计验证系统必须非常小心，充分考虑各种情况；同时，也要始终注意，所有安全投资的价值在于保障，不能本末倒置。
【藏可的回答(1票)】:
没有绝对安全的验证方式，手机验证码是建立在将手机假设为很重要的位置和很安全的前提下的解决方案。
【萧紫瓶的回答(1票)】:
不安全，因为有的手机系统本来就有root提权漏洞，发的验证短信可以被拦截的。
【关闯生的回答(1票)】:
一直在潜水，今天居然收到邀请了~~
1、首先，安全真的是相对的，破坏和保护安全都需要成本，当成本过大收益自然相对变小，因此没有绝对的安全。这句话在安全界是铁的规则。
2、手机的短信验证码使用起来有两种不同的方式，也正好能回复这个话题。
1) 输入用户名，然后点击发送短信验证码按钮，跟此帐号绑定的手机收到验证码后，
然后输入手机收到的验证码，验证通过，进入系统。
2）输入用户名，然后再输入密码，密码正确了再出现或者激活发送短信验证码按钮，然后点击发送短信验证码按钮，跟此帐号绑定的手机收到验证码后，
然后输入手机收到的验证码，验证通过，进入系统。
3、按照上一项内容看，明显是第二种使用方式更加安全，可以避免手机被盗用后帐号被黑的情况。
如图所示：我们自己设计的应用系统，手机认证、令牌认证的情况下密码项都是必须使用的，不允许使用者自己配置。
4、由此可见，任何直接信任手机当前持有者的认证方式都是不安全的！
至于您问的：
1、手机这种极易丢失或被盗用的随身设备，能担当这样的重任吗？
使用 先输入密码（我们管它叫做“静态密码”）再获取短信的双重认证方式（我们管它叫做“强认证”），可以避免这个问题（除非你密码泄露了~）
2、就没有更好的办法吗？
有肯定有，只是使用上会给用户带来一定的不便，损害用户体验。比如：手机令牌、硬件令牌、证书（像银行的网银~），都很安全。
安全是博弈后折中的结果：银行中自己的资产，大家非常看中，所以麻烦点儿的使用方式也认可了，但是您要是想在bbs上发个帖子就不想这么麻烦了~
【章俊的回答(1票)】:
个人意见：
1.手机设置好图案解锁，尽量复杂一点。
2.SIM卡设置PIN码，初始密码一般是1234，注意修改下。这张卡插入任何手机里面，只有输入正确的PIN码才能使用，输错3次之后需要验证PUK码，PUK如果再输错卡就报废了。手机被偷之后请一直呼叫，呼叫到没电或者关机了你就赢了。
【思扬的回答(0票)】:
不安全，但没有更好的方式。当前主流个人联系当时是三种：电子邮件，手机，QQ/微信。许多用户很少用邮箱，QQ微信属于某家公司且更不安全，所以手机仿佛是唯一的选择。
从另一个角度说，需要把操作权交给用户，其实网站在这部分可能是因为避免责任而不作为，也有想获取用户手机号的私心。
对于这个时代的用户，手机是最重要的私人物品，可以假设是私密不可丢失的。所以应该做好心理准备：提升关注度不要随便乱放，设置密码，不要随便借给他人使用（就算借，也不离开视线范围）。如果丢失，第一时间停用。
最后，我认为手机号的验证还能存活两年，以后会有完美的替代方案。
【田加菲的回答(1票)】:
不安全…… 觉得想获取你的手机号信息…… 绑定你的手机号……T_T
【劉承漢的回答(0票)】:
不安全，尤其是有些时候app自动读取短信内容时。
【罗晨的回答(0票)】:
不安全，但比它安全的都没它方便。
【知乎用户的回答(0票)】:
是的，这也是一种风险。但如楼上所说，没有绝对安全的方式。手机相对而言是比较贴身的东西，当然我个人倾向是邮箱找回密码，虽然繁琐了一点，但遇到支付问题，谨慎点总是好的，所以我最后想说的是：
如果手机丢了的话，第一件事情，就是赶紧去挂失，再补办一张卡。
【马致远的回答(0票)】:
有两点要说明。
第一，手机确实比邮件或其他身份验证要方便，但我个人认为要求这样做更多的原因是为了推广实名认证，确保门户网站的有效用户数量。
第二，枪总你的担忧是多余的。丢手机和丢账户没有必然联系。
首先，大部分网站支持手机解绑，只要你在手机丢失的时候想起来注册了哪些涉及资金的账户就可以（愿意及时补办手机卡的话甚至不需要去解绑），所以这是卡的问题，不是手机问题。
其次，也是最重要的一点，窃取账户和窃取手机（有时候不一定是窃，可能只是不小心掉坑里了…）的人未必重合，可能只是两个完全独立的事件而已（如果是偷手机的人通过翻查你的手机来获取信息再进行账号窃取就另当别论，但这种情况首先要怪自己手机密码，软件密码，异地登陆确认等安全性设置没有搞好）。
【熊展云的回答(0票)】:
1.安全本来就是相对的。
2.想再安全一点，就不要怕麻烦
在这种情况下，设置手机PIN码或者是图形密码就显得很有必要了。
【知乎用户的回答(0票)】:
单纯从技术上来说确实不安全，不过安全也是相对的。互联网应用系统是在他认为可接受的风险范围内，为大部分用户提供最大的易用性。题主可以选择是否绑定，这也是看题主是看重安全还是看重仅忘记密码情况下的使用便利了。
说说技术上吧，大家都知道2g手机的数据可以说几乎是裸奔的，利用大概10来个手机配合抓包分析，就能截获附近一个基站的2g手机短信的，不用说什么验证码，就连什么短信下发的门票，消费码等等都能拿到。
更好的方式（可能题主说的好特指安全）也有，但麻烦，比如usbkey和数字证书，所以这个也就在安全性需求特别高的业务系统中使用，如等保三级，网银等。
【小姬的回答(0票)】:
没有绝对安全的东西，我的手机号都曾经被盗用过，然后向我的同学骗钱～
安全都是相对来说的，手机验证这个东西如果人家想盗你号，是完全可以截取你的验证码的～
如果有人盯上你了，那所有的安全验证之类的东西只能算是一种心里安慰～
安全问题永远是道高一尺、魔高一丈～
【未伟的回答(0票)】:
看个人了 如果不是很重要的账号 就可以用。。
馆藏&69426
TA的推荐TA的最新馆藏
喜欢该文的人也喜欢移动号码接受不到任何APP发来的验证码怎么回事？只能收到10086来的短信。_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
移动号码接受不到任何APP发来的验证码怎么回事？只能收到10086来的短信。
我有更好的答案
短信里面应该有验证码呀，望采纳
tr6thtyethdtyethgthy
为您推荐：
其他类似问题
移动号码的相关知识
换一换
回答问题，赢新手礼包咨询热线：400-676-8333
手机找法网
您的当前位置：
你好我在8.2到移动公司应聘他们让我开开移动开卡给我一部移动手合同上写梅个月开7张卡，开不出来自己交手机钱九个每天月393元他们公司卡都是24月的套餐贵我开不出来
你好我在8.2到移动公司应聘他们让我开开移动开卡给我一部移动手合同上写梅个月开7张卡，开不出来自己交手机钱九个每天月393元他们公司卡都是24月的套餐贵我开不出来
消费者权益
这种情况可以协商，协商不成，可以去劳动监察大队投诉或者申请劳动仲裁维权。
回复时间： 08:58
5条律师回答
找法网认证律师
你好，建议与移动公司协商一下。
回复时间： 08:53
向工商？或消协投诉
回复时间： 08:58
你好， 根据协议执行。
回复时间： 09:15
找法网认证律师
您好，可以与移动公司协商一下
回复时间： 09:24
找法网认证律师
建议与移动公司协商一下。
回复时间： 08:10
其他类似咨询
相关咨询标签：
精选问答推荐
年累计为超过
用户提供了在线咨询服务
最新法律咨询
来自郑州用户的咨询
来自宁德用户的咨询
来自合肥用户的咨询
来自洛阳用户的咨询
来自青岛用户的咨询
来自临汾用户的咨询
来自西安用户的咨询
来自青岛用户的咨询
来自临汾用户的咨询
来自临沂用户的咨询
来自泰安用户的咨询
来自长沙用户的咨询
来自东莞用户的咨询
来自广州用户的咨询
来自沧州用户的咨询
来自温州用户的咨询
来自合肥用户的咨询
来自长春用户的咨询
来自南京用户的咨询
来自北京北京用户的咨询
来自珠海用户的咨询
来自郑州用户的咨询
来自泉州用户的咨询
来自石嘴山用户的咨询
来自贵阳用户的咨询
来自杭州用户的咨询
来自郑州用户的咨询
来自温州用户的咨询
来自内江用户的咨询
来自成都用户的咨询
来自上海用户的咨询再见，手机短信验证码_网易新闻
再见，手机短信验证码
用微信扫码二维码
分享至好友和朋友圈
（原标题：再见，手机短信验证码）
&&&&湖北日报讯&湖北日报12月3日乌镇电（记者刘天纵）下午1点半，第四届世界互联网大会·互联网之光博览会对外开放，411家国内外知名互联网企业正式亮相。其中，有家湖北企业搞出“大动静”。&&&&“再见，短信验证。”在博览会人工智能展馆，武汉极意网络科技有限公司的展台不大，但宣传标语十分亮眼，上前咨询的观众络绎不绝。&&&&在博览会现场，武汉极意网络科技有限公司宣布了一个振奋人心的消息——该公司联合中国电信、中国移动和中国联通三大运营商，推出全球首创的Test-One&Pass系统，即用户在网站或APP登录、注册界面，输入手机号后，可直接点击登录或注册按钮，不必再填写短信验证码，系统能自动确认用户身份。&&&&生活中，年轻人对输入手机短信验证码驾轻就熟，但不少中老年人很为难。手机信号不好，或是操作速度慢一点，60秒的验证码很快就失效，让人不得不重新输入手机号验证，影响用户体验。&&&&“企业这项发明得到三大运营商支持，很快会在全国11亿手机用户中普及。”武汉极意网络科技有限公司展台负责人郑颖说，Test-One&Pass系统的核心技术是网关验证，即运营商将用户输入的手机号与用户正在使用的手机SIM卡进行匹配，手机号码与SIM卡信息一致，则通过验证，整个过程只需4秒。&&&&博览会上，武汉极意网络科技有限公司还发布了第二代“行为验证”产品。&&&&账号验证码技术从2000年左右兴起，主要防止不法分子在网站、APP、论坛等平台，恶意注册大量账号，用于刷帖、刷票、打广告、抢现金券等违规行为。验证码技术，从最初数字字母组合的“码式验证”，到根据文字提示看图作答的“图片验证”（如12306火车订票网站），再到“行为验证”。5年前，极意科技曾发布手机锁屏滑块、拼图游戏等第一代“行为验证”产品。&&&&郑颖说，第二代产品更简洁，运用了“Test-Button”系统，把用户拖动“滑块”的劲都给省了。该系统直接嵌入网站或APP“登录”按钮背后，用户输入账号密码后，直接登录即可，再看不到验证码界面。&&&&“近20年发展，验证码技术从无到有，再从有形到无形，得益于人工智能技术的发展。”郑颖说，“Test-Button”系统能根据用户操作轨迹，判断是真人还是电脑恶意程序，最快0.4秒作出判断。
&&&&目前，武汉极意网络科技有限公司的验证码产品已覆盖全球22万家网站和APP，每天验证量超过7亿次，国家工商总局、新浪、斗鱼等网站都成了武汉极意的忠实用户。&&&&该公司CEO吴渊说，2012年，他和好友张振宇筹资3万元注册了公司，办公地点是武汉大学的学生宿舍。随着产品销路打开，公司聚集了一批武大、华科大有理想的“技术宅”，大家对创新的执着，让企业从宿舍走向世界。
(原标题：再见，手机短信验证码)
本文来源：荆楚网-湖北日报
责任编辑：王晓易_NE0011
用微信扫码二维码
分享至好友和朋友圈
加载更多新闻
热门产品:　　　
:　　　　　　　　
:　　　　　　　　　
热门影院：
阅读下一篇
用微信扫描二维码
分享至好友和朋友圈27种手机号段，移动16种，联通7种，电信4种。归属地越来越难判断——教你如何区分移动，联通，电信号码
27种手机号段 归属地越来越难判断&150&&&看到这个陌生的电话，郑州市民王先生有些好奇，150开头的电话是移动？联通？还是电信？以13开头的手机号码，每个人都不陌生，很多时候人们能根据手机号码确认是哪家运营商或归属地，但随着15、18开头的手机号码逐渐增多，通过手机号码确认归属越来越难。目前我国开放的手机号段达到27种。其中，移动16种，联通7种，电信4种。晚报记者 祁京目前有27种手机号段移动：134、135、136、137、138、139、147、150、151、152、157、158、159、182、187、188移动目前共有以上16个手机号段。其中，147、157、188是3G专用号段，其他都是2G号段。移动的3G标准为TD-SCDMA，是我国自主研发的3G技术标准，也是国际上通用的三大3G标准之一。目前，147开头的号码主要用于上网本等数据业务，157则用于G3无线固话，188用于3G手机。其余13个2G手机号段则是由移动用户基数大决定的。联通：130、131、132、155、156、185、186在联通的7种号段中，186开头的是3G专用号段，其余为2G号段。联通的3G标准为WCDMA，是国际上使用最多的3G网络。电信：133、153、180、189电信原来只经营固定电话和宽带业务，接手联通的CDMA网络的133、153号段后，成为三大移动通信运营企业之一。目前，189采用的是国际上另一种通用的3G标准CDMA2000。手机归属地越来越难判断一般来说，手机号码都是按照运营商和地区来规划的，前3位是运营商的代码、中间4位是归属地代码、后4位是用户号码。传统上，用户根据前3位和中间4位就可以确定手机运营企业和归属地。但郑州移动的负责人说，随着手机的普及，这种确定手机归属地的方法会越来越没效。&首先，打头前3位的代码有27种之多，运营手机通信的企业由两家变成3家，很多人根本记不住这些号段是归哪个运营企业的。再次，原来人们确定手机归属地的根据是中间4位区号，如中间4位是0371，可确定是郑州用户；但由于各个地区手机用户数量不平衡，所以大量存在的是中间4位无规律的号码，按照这种方法是不好判断归属地的。&
分享这篇日志的人也喜欢
你会唱小星星吗
热门日志推荐
人人最热标签
北京千橡网景科技发展有限公司：
文网文[号··京公网安备号·甲测资字
文化部监督电子邮箱：wlwh@··
文明办网文明上网举报电话： 举报邮箱：&&&&&&&&&&&&
请输入手机号，完成注册
请输入验证码
密码必须由6-20个字符组成
下载人人客户端
品评校花校草，体验校园广场