注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

付亮的歪评瞎论

专注竞争情报在IT领域应用

 
 
 

日志

 
 

建立在手机验证码沙滩上的互联网安全大厦  

2016-04-15 08:49:00|  分类: 杂谈 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 昨天@围脖王云辉 将他的文章《一夜之间倾家荡产!面对疯狂的通信劫案,我们如何保护自己?》推给我,让我说说,还鼓励我写篇文章。

实说,网络安全的事不能多写,应为从流程审计角度看,如果应用安全未能同步提升构成更安全的“闭环”,那这样的文章剖析得越清楚,越象是一个帮助坏人的教材。

随着近几年4G、大屏智能手机、移动互联网的快速发展,我们正面临一个越来越便捷的环境,但千疮百孔的环境之间打通,意味着更加危险的安全隐患,如果不能及时堵漏,而是被不法分子利用,那将不可想象。

如围脖王云辉文章中提到的实例,移动运营商确实存在问题,如①不合理的空中异地写卡为何能实现,②写卡的提示信息非常简洁,实际是为本地换卡所用,发送到他人手机并不清楚,③通过邮箱发送短信时号码具有“隐蔽性”,内容中应说明(实际没有,如通过易信发送免费短信时,会有清晰的提示)。

但即使有这些问题,更换卡后,用户损失的最多只是一些电话费(十年前如此)。为什么邮箱、支付工具等都被攻克,这并不是运营商的网络有漏洞,而是这些业务流程中的一些关键环节是直接或间接基于“手机验证码”的,如更改密码,如安全二次提示,如果手机号跑到了不法分子手里,这些应用建立的安全防线就成了“马奇诺防线”。

为避免“培训”骗子,这里以微博的登陆、修改密码为例。

1、微博的密码找回流程:只要知道了注册邮箱号,可以通过绑定的手机号找回。

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

2、有了手机号,其实登陆不需要密码。无密码登陆,手机只要收到系统发送的验证码,就可以快速登陆。而且验证码都不需要你输入。

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

3、手机登陆后,电脑登陆同样简单,一扫电脑端的二维码即可。


电脑端

建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

手机微博扫二维码在这里


建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

然后确认一下就好。


建立在手机验证码沙滩上的互联网安全大厦 - 歪评瞎论 - 付亮的歪评瞎论

由于微博本身不提供支付功能,这样的认证流程应该是相当严谨的。微博也做了不少防范,如不提供通过显性的微博账号找回密码,我试了一下,通过手机号找回密码也不成功。而注册邮箱未公开,通过昵称也不能找回完整的邮箱(只是提供一个隐藏几位的提示信息)。


但如果类似的手机验证码验证操作出现在直接与资金账户相关联的应用,或间接通过邮箱与资金账户关联的应用中,就很危险了。

  评论这张
 
阅读(128)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017