搜索
天翼账号免密认证安全保障大解析
10-23
241

伴随着手机号码实名制的政策规定,手机号码俨然成为了与身份证号同样重要的身份识别唯一标识。但如此高的依赖性与唯一性也为移动验证埋下了巨大的安全隐患。

一、移动认证:移动互联网时代不可或缺,但安全隐患如影随形

在移动互联网如此兴盛的今日,移动验证对于任何网民都是不可或缺的环节:

你点击屏幕,选中心仪的商品并跳转支付,系统提示已经成功发送验证短信,你切换到短信记下六位数字并输入后,恭喜你已经又一次加入“剁手党”;

你想起信用卡还款日即将来临,打开手机银行选择还款,APP跳出输入密码的提示,熟练地输入了一串数字,点击确认,一条还款成功的提示很快传来;

你吃了朋友的安利决定尝试一款手游,打开登录界面的你迫不及待想一窥究竟,于是选择用微信账号登录,跳转后点击确认,转眼间你就成为这个游戏世界的新成员。

——伴随着手机号码实名制的政策规定,手机号码俨然成为了与身份证号同样重要的身份识别唯一标识。但如此高的依赖性与唯一性也为移动验证埋下了巨大的安全隐患。

针对这些隐患,中国电信推行了“免密认证的功能”,依托电信运营商的移动网络数据,采用“通信网关取号”与SIM卡识别技术,在用户授权前提下直接进行身份校验——这一功能颠覆了传统的密码、验证码模式,进而消除了相关风险。

二、传统认证:验证环节漏洞百出,遗失盗用屡见不鲜

上文提到的三个例子分别对应了手机短信验证码、密码验证与第三方认证验证三大主要的认证途径,而这些传统的验证方式却风险重重。

1. 短信验证码:木马猖獗

短信验证因其便于理解、成本低廉,是众多互联网产品及服务最重要的认证途径之一。然而,短信验证对应的安全问题正在日益凸显。

如今,以木马制作、木马传播、木马诈骗(盗刷)、网上销赃为一体的完整犯罪产业链早已形成。每逢节假日,附带木马链接的欺诈短信就会愈发泛滥;用户在点击链接后就会被诱导下载木马程序,此后的所有验证短信都会被拦截,导致账号被盗或非法登录,进而引起一系列的财务损失和信息泄露。

过度依赖短信验证为不法分子带来了机会,看似稳妥的验证码认证在木马泛滥的网络环境中反而成为了非法入口,安全保障形同虚设。

2.  密码验证:盗用与遗失风险高

密码是更加古老的账户安全保护措施。一组复杂程度较高、定期更新的密码能够有效地防止账号遗失,起到安全保障的作用。然而密码被盗用、破译与遗失带来的后果往往更加严重。

密码破解技术的提升导致大部分密码——尤其是主流的六位数字密码极易被破译,单一的密码保护已经无法满足账号保护的需要。

与此同时,伴随着互联网产品的日益丰富,同一个用户往往需要记住数十组密码,密码遗失与混淆的风险也相应提升。

3. 三方登录授权:隐私泄露成为隐忧

对于手机上常用的微信、微博等APP,越来越多的互联网企业选择启用三方授权的方式进行登录认证,既便捷也便于获取用户的身份信息。但此类认证因涉及环节较多,存在被开发商或利益相关方盗取用户信息的风险。

由于手机注册APP实名制的启动和开放商对用户数据的需要,三方登录后,用户往往需要再次通过手机及短信验证码的方式进行注册,这一环节无疑增加了账号被盗用的可能性。

三、免密认证:流程极简,聚焦风险,安全级别大幅提升

基于运营商对用户信息的掌握,中国电信推出了天翼免密认证账号,通过运营商数据网络对用户身份进行识别。与传统的验证方式相比,这一方式直接跳过了短信验证与密码输入环节,从根源上杜绝了密码被盗、木马截取验证短信等安全隐患。

1. 流程极简,隐患降到最低

用户在进行认证时,只需点击免密认证按钮,2-3秒之内,消耗几K流量即可完成认证。在颠覆传统认证方式用户体验的同时,覆盖的操作流程极其简易,几乎不涉及第三方参与与任何人为要素;认证过程省略手机端用户身份信息的传输,木马完全失去了用武之地,安全隐患也被降到了最低。

2. 功能授权,确保用户知情

天翼免密认证功能的使用前提是用户授权,在APP产品中直接弹出提醒,用户点击同意后方才启用免密认证功能。此举确保了自动认证在用户知情且充分授权之后方可实施,避免了用户不愿泄露的AAP浏览信息外流。

所有的认证插件和授权提示均内置在APP产品中,用户无需下载安装其他程序便可直接使用免密认证功能。

3.  号码更换,全网统一更新

在传统的验证方式中,一旦用户卡号出现更替,补充验证的流程将极其繁琐:用户需要对账号进行多次申诉并解除绑定,并绑定新手机号,重新认证;部分产品的账号甚至需要重新设置与申请。这些流程使认证过程过于冗余与复杂,同时为不法分子带来了可乘之机——以手机号更换为由盗取账户的案例并不少见。

然而,这一切问题在免密认证中都将迎刃而解。电信运营商的认证系统会主动匹配用户绑定的手机号,对手机号码是否注销、是否注册新的号码进行识别,对于有注销记录,或在全网进行号码更新的用户进行重新匹配和认证。账号不再和单一号码绑定,与号码主人身份的关联更加直接。

4. 聚焦行为,进行风控识别

在金融服务行业,基于用户行为的风控识别就格外重要。当出现异地取款或转账时,运营商能够快速识别用户所在的漫游地区(是否为异地),并将漫游情况及时反馈回银行;如信息属实则直接通过身份校验与认证。

对于异常的异地行为,运营商识别客户仍在本地并无漫游,银行识别出异地取款的情况,对应的风险级别就会提升,更多的确认环节与相关的安全提示将会发送到客户手中。

5.  动态加密,提升安全级别

免密认证从的整个传输过程均采用动态加密算法,截取与破解难度极大。即使运营商认证的申请被不法分子截取,秘钥的计算也需要几年时间,而整个认证申请的有效期仅为一分钟左右,因此认证过程几乎不可能被截取或破解。

除传输外,秘钥自身分别在运营商和服务企业手中,两家的秘钥同时泄露的可能性几乎为零。

四、移动安全迎来新契机

如今,智能手机在现代生活中的作用已经远远超出了通讯工具的属性,进而上升为工作、生活必不可缺的工具。每台手机都承载着使用者大量的身份数据与商业信息。整个移动互联网在用户身份认证的有效性与信息安全亟需新的解决方案,而免密认证为此带来了新的契机。

免密认证因其高度便捷与安全性,能够广泛应用于一切基于移动端的认证工作。各大第三方支付平台、手机APP、银行等金融机构及其移动端等,都是重要的潜在服务对象。目前今日头条等知名APP与部分金融机构都已经进行了合作尝试,相信在不远的未来,身份校验与认证将不再是风险聚焦的环节,木马、盗用与信息泄露等也终将销声匿迹。

'