每一个睿智的灵魂
都置顶了毒鸡汤
1
最近,在全国两会上,有人大代表建议,提升移动支付的安全性,避免过度依赖短信验证码。
因为相比其他验证手段来说,短信验证码的安全级别可谓是相当低。
虽然这不算是什么大新闻,也仅仅是提了个建议,还没有更具体的操作方法,但作为一个曾被验证码折磨得死去活来的人,我还是忍不住喊一句:早就应该改了!
早年,我就曾因为此事,写过一篇《“这种操作会让骗子转空你的银行卡!”“可我知道了也没法防啊?”》,感兴趣的可以回去读一下,今天看依然很有时效性,非常讽刺。
众所周知,现代人对于信息安全还是非常重视的,尤其是手机,为了确保安全,各种指纹、声纹、刷脸等技术,那叫越来越先进,就是为了防止坏人趁虚而入,盗取我们的信息。
但很少人留意到的就是,上面提到的那些防盗手段,无论多先进都好,还是禁不住一个猪队友的拉垮——验证码。
验证码的安全性就不说了,虽然大家平时忘记了密码就用短信验证,感觉挺好用挺方便的,但想象一下,如果手机不是在你自己手上,而是在捡/偷了你手机的人手上呢?
更重要的是,在这个实名制一切的年代,只要一部手机、一个手机号,你的生老病死衣食住行,全都能绑定在一起,万一我们的手机真的被有心人拿走了,那我们离裸奔+破产,估计就都不远了,而对方需要用到的,仅仅是一个短信验证码。
2
有一说一,最近几年,社会治安的确好了很多,偷抢案件越来越少,这的确是件好事。
但也因为这样,很多人忽略了手机安全的重要性,总以为:我手机不是有开机密码吗?小偷开不了,再加上我那破手机,也不值几个钱,被偷了就算了,正好买个新的。
然而事实就是,你的手机不值钱是不假,但值钱的,是你的手机号码。
只要小偷拿到了你的手机,根本就不用花心思捣鼓手机密码,而是把里面的手机卡拿出来,装到另一台手机上,那么就相当于拥有了你的号码了,接下来,就是他们为所欲为的时间。
我们所熟悉的APP,包括和数字钱包直接挂钩的微信、支付宝等,就没有手机验证码登录不到的,甚至可以用手机号当用户名直接登录,那就相当于,有了手机号,就有了一切。
再进阶一点的,可以拿你的手机号,去搜索与之绑定的身份证号、网银等,再用这些信息开通一两张信用卡、一两个网贷,那你的现实生活,绝对焦头烂额,不堪设想。
而面对这一切,你能做到的,就是以最快的速度去挂失、冻结自己的手机号,然而,不论是意识到自己被盗,还是成功冻结手机号,都是需要时间的,除非第一时间知道自己被偷了,而且手机营业厅就在你身边,否则,就是个拼运气的问题。
所以我们才说,手机验证码,就是一个bug一般的存在,平时不出事还好,一出事,指不定能为你带来什么麻烦。
最糟糕的就是,现在在很多APP中,绑定手机号是近乎强制要求的,看似是在保障用户“安全”,但实际上,真要出起事来,谁拉谁后腿还不好说,就像一个号称全世界最安全的智能门锁,搭配的却是用街边5块就能配一把的弹簧钥匙。
3
对验证码的过度依赖,除了安全性问题之外,还有一个:一旦你换了手机号,或者手机号用不到了,就注定啥都办不成。
在这方面,我自己就有不少亲身经历,曾经有段时间,我没登录QQ号,后来,有一天,我打算用QQ号办点事,结果,账号密码都记得挺清楚,但却被最后一步卡住了:QQ显示我很长时间没登陆了,为了保证“安全”,要求出示验证码,而那个绑定的手机号,是我十!年!前!当学生时朋友的手机号!
我当时就凌乱了,怎么,账号密码还证明不了我是我吗?
后来怎么弄的不知道了,只是好像到最后都不太顺利,我干脆就放弃了登录QQ,自此以后,我对手机验证码就有了一重心理阴影。
之后类似的情况也有很多,比如换了手机号,虽然已经及时将很多APP的绑定号码改掉,但就是会有一两个漏网之鱼,过了很长时间才想起,结果旧手机号早就不用,相当于一个账号就废了。
或者去到国外,国内的手机号直接没信号,偶尔想查个银行卡信息,都被要求验证码,不方便就不说了,心里那叫一个膈应。
怎么,那些运营商,就没想过用户会有手机号没法用的情况吗?一旦发生这种情况,连备选方案都没有,验证码被卡,其他步骤就进行不下去了。
所以,无论是平台还是用户,降低对手机验证码的依赖,其实都是非常重要的,最起码,不要将这样一个方便但不靠谱的东西,作为安全的最后一道“防线”,鸡蛋都尚且不能全放在同一个篮子里面呢,这种涉及切身利益和安全的东西,就还是谨慎一点吧。
4
当然,手机验证码能够流行这么多年,被这么多平台采用,且经久不衰,肯定是有它的独特优势的,那就是:真的够方便。
毕竟在这个年代,各种网站、账户实在太多了,别说密码了,有时不记得自己的账号都是很正常,至于密码,只用一组太危险,用很多组又注定肯定会忘,再加上很多APP都对密码有这样那样的要求,什么要大写字母、要数字、要符号什么的,弄得用户是风中凌乱。
这个时候,手机验证码的好处就突显出来了,只要绑定了手机号码,再用手机号来收验证码,就能避免了很多记账号密码的麻烦。
但问题就在于,再好再安全的东西,一旦把很多重要信息都绑到一块,那就变得不那么安全了,因此真的希望平台能够研发一些更有效的验证方法,不要总是强制要求验证码。
比如说,如果怕用户记不住密码,就多用点生物验证技术,比如,虽然指纹、刷脸等可以被盗用,但声音锁、对着镜头说随机数字等方式,还是相对比较安全的,讲究的就是一个灵活。
再比如,可以保留验证码,但也要给人一些备选方案,比如说,收不到验证码,那就转邮箱,或者设置一些安全问题,比如你小学班主任叫什么名字等等,用户如果通过了,也可以算验证成功。
在这次的人大代表提议当中,还提出了一个“报警答案”的方法,就是说,用户可以提前给安全问题设置“报警答案”,一旦在登录过程中使用了报警答案,平台就可以启动报警应对机制,包括拖延资金交易时间、联系警方等等。
而对于我们用户,目前我的建议就是:别太过依赖验证码,能自己记住账号密码的,就用账号密码,能不绑定手机号的,就不绑定手机号,绑定了之后可以解绑,影响不大的,那就解绑。
虽然的确是会不方便,但有的时候,方便和安全,就是相互冲突的,只是看你要如何取舍。
我们现在这个时代,就是太过追求方便,反而忽略了安全。
而想来想去,唯一一个能够令我们安全一点的方法,就是自己长点心,毕竟,要是自己不在意安全细节,还能指望平台、运营商有多靠谱呢?
最后,希望大家脑洞大开,在评论区留下你的意见:
你认为,最可靠(或你最希望)的安全验证方式,究竟是怎么样的呢?
你又有没有被安全验证坑了经历?
留言区见。
文 | 毒哥&玉成
热门跟贴