<ruby id="djj5f"><b id="djj5f"><dfn id="djj5f"></dfn></b></ruby><track id="djj5f"></track>

          <noframes id="djj5f"><ol id="djj5f"><cite id="djj5f"></cite></ol>
          <form id="djj5f"><i id="djj5f"><mark id="djj5f"></mark></i></form>
          二維碼
          商訊網手機版

          掃一掃關注

          當前位置: 首頁 » 資訊 » 電子商務 » 正文

          分析:短信驗證足夠安全支付嗎?

          放大字體  縮小字體 發布日期:2015-05-03 22:56:30    瀏覽次數:122    評論:0
          導讀

          分析:短信驗證足夠安全支付嗎?   不法分子之所以能通過網絡進行盜竊,除了購買了大量手機用戶號碼和電信網上服務平臺登錄密碼,關鍵是采用了攔截支付寶短信驗證碼的方法。

             不法分子之所以能通過網絡進行盜竊,除了購買了大量手機用戶號碼和電信網上服務平臺登錄密碼,關鍵是采用了攔截支付寶短信驗證碼的方法。
           
            所有第三方支付平臺和不少移動端網絡應用,在進行用戶身份驗證時都很依賴手機短信驗證碼。而只要在規定時間內正確輸入短信驗證碼,甚至可以立即重置重要的登錄或支付密碼。那么,短信驗證碼究竟能否當此大任?23日,西安電子科技大學的三位碩士研究生和華商報記者一起做了一個實驗。
           
            》實驗驗證
           
            惡意程序盜取短信驗證碼,難嗎?
           
            ·實驗時間:2015年4月23日16:00~17:
           
            ·實驗地點:華商報社二樓
           
            ·實驗人員:西安電子科技大學計算機學院碩士研究生李鑫、王濤、張鵬,華商報記者
           
            ·實驗顧問:西安電子科技大學計算機學院博士、教育部信息安全團隊骨干成員楊超、李興華
           
            為了做這次實驗,三位碩士研究生使用了一個特殊的安卓手機軟件,這是一個惡意程序,起名“釣魚攻擊”。
           
            實驗模擬的情境是,李鑫使用的一部安卓手機已中招,惡意程序一直在后臺運行。該軟件預先設置的黑客手機號碼,是一起做實驗的華商報記者的一部手機。
           
            實驗開始,李鑫打開手機“支付寶”進行登錄。而實際上,他打開的只是一個釣魚界面。但中毒手機的機主很難注意到,所以輸入的賬號、登錄密碼都是真的。
           
            就在李鑫登錄“支付寶”的瞬間,華商報記者的手機收到了一條短信,內容就是李鑫所用的支付寶賬號和登錄密碼。如果充當黑客角色的華商報記者,此時立即打開自己手機上真正的支付寶應用,輸入短信中的用戶名和密碼,完全可以登錄并使用李鑫的支付寶賬戶。
           
            如果黑客使用支付寶過程中,需要短信驗證碼怎么辦?這個驗證碼,支付寶可不會直接發給黑客。
           
            別急,按照程序設計,中毒手機在使用支付寶的過程中,只要收到含有“支付寶”三個字的短信,就會自動把短信內容轉發給黑客手機。
           
            為驗證這一點,王濤將自己手機中存的支付寶過期短信驗證碼轉發了一條給李鑫。幾乎同時,華商報記者的手機就收到了同一條短信。如果這就是黑客需要的驗證碼,后果可想而知。重置密碼、改綁手機,凡是黑客在操作中需要填短信驗證碼的環節,中毒手機都會自動在需要的時候通過短信轉發過來。所以,幾分鐘甚至幾十秒這樣的時間限制,并不是問題。
           
            就這么一個小小的程序,不但破解了支付寶賬戶名和登錄密碼,而且在操作中凡是需要短信驗證碼的時候,都會自動發給黑客。讓華商報記者看得目瞪口呆。
           
            李鑫說,為研究如何加強安卓系統防木馬和釣魚軟件的功能,他們設計了一個新的安卓操作系統。為驗證該系統防護性能,才專門制作了這樣的“釣魚攻擊”軟件。其實這樣的釣魚軟件并不罕見,甚至在淘寶上花一二百元就能買到。這類惡意軟件通常會和熱門軟件捆綁,或者偽裝成游戲掛件等,用戶很難辨別真假。一旦安裝并運行了這樣的軟件,不僅用戶在支付寶等第三方支付平臺的賬戶名和密碼會被偷偷發給黑客,有些軟件還會讓用戶無法收到支付寶發來的短信。
           
            》實驗總結
           
            ·僅靠短信驗證無法確保支付安全
           
            西安電子科技大學計算機學院博士、副教授楊超介紹,傳統的銀行賬戶實行實名強驗證,也就是本人拿著身份證去當面驗證,必要時輸入驗證密碼。網絡支付方式為突出便利性,降低了驗證門檻,一般采取密碼驗證和短信驗證相結合的方式,被稱為“雙因子驗證”。但現在出現了兩個問題:一是手機短信驗證用過頭了,被當做主要驗證方式,用它可以去重置登錄密碼或支付密碼,也就是說用短信驗證去否決密碼驗證,這樣的設計是不合適的。二是手機短信驗證有天然缺陷,在傳播過程中可以被截獲,實驗也說明了這樣的問題。所以,短信驗證碼是不能單獨擔當主要驗證權限大任的。
           
            》專家解讀
           
            ·遠程身份驗證以后可能靠“刷臉”
           
            所有的第三方支付平臺,幾乎都賦予了短信驗證碼重要的驗證權限,可誰知道能獲取短信驗證碼信息且在平臺上進行操作的就一定是機主本人?第三方支付平臺和移動端網絡應用,該如何來解決短信驗證碼難當遠程身份驗證大任的尷尬?
           
            楊超認為,解決遠程身份驗證難題還有兩類辦法:
           
            1.增加驗證因子,以提高攻擊難度。比如增加身份證驗證、郵箱號驗證、密保問題驗證、人工客服驗證等驗證方式,以彌補不能當面驗證的欠缺。
           
            2.相關技術手段成熟后,可以增加指紋、虹膜、聲音等生物信息驗證方式。據悉,指紋驗證目前蘋果設備已經能做到,而人臉識別技術正日趨成熟,“刷臉支付”將會成為移動支付的下一個引爆點。
           
            》知道一下
           
            ·你的隱私信息安全嗎?
           
            陜西一萬多電信用戶的手機號碼和電信網上營業廳登錄密碼遭盜賣,造成這樣的情況可能有哪些原因?
           
            西安電子科技大學計算機學院副教授楊超分析說,不法分子盜賣隱私信息主要有以下幾種途徑:1.人為的倒賣,例如公司拿注冊信息去賣,運營商內部人員拿到個人信息去倒賣等。2.一些網站、服務存在漏洞,如果被攻擊,用戶信息就可能被泄露,例如蘋果iCloud漏洞導致明星艷照泄露等。3.個人的誤用,例如發布二手交易信息、微博空間等個人信息可能會被利用等。
           
            據新華社3月5日報道,目前信息安全“黑洞門”已經到了觸目驚心的地步,網站攻擊與漏洞利用正在向批量化、規模化方向發展,一些重要數據甚至流向外國。新華社記者從補天漏洞響應平臺(該平臺是目前全球最大的漏洞響應平臺,其漏洞數據同步公安部、網信辦和國家漏洞庫)上收錄的數據顯示,目前該平臺已知漏洞就可導致23.6億條隱私信息泄漏,包括個人信息、賬號密碼、銀行卡信息、商業機密信息等。數據泄露的最主要來源是:互聯網網站、游戲以及錄入了大量身份信息的政府網絡系統。根據公開信息,2011年至今,已有11.27億用戶隱私信息被泄漏。
           
            “這個數據意味著,我們幾乎每一個上網的人,信息都可能已經在不知不覺中被竊取甚至利用。”一位網絡安全方面的權威人士對華商報記者坦言。更令人擔憂的是,實際情況比這一統計數據還要嚴重,下一步移動金融、網上支付等可能成為重災區。華商報記者馬虎振
           
            ·使用電子支付,怎樣做更安全
           
            1、主要銀行賬戶,不要開通網銀及第三方支付平臺;開通第三方支付平臺賬戶,不要儲存過多現金
           
            2、網上支付要注意操作環境的安全性,不要用公共場合的電腦進行網上支付
           
            3、不了解的Wi-Fi不要“蹭”,當心重要賬戶登錄名和密碼被竊取
           
            4、釣魚網站一般都是用假支付頁面打掩護,只要從正規渠道進入官網,可避免絕大部分木馬病毒等惡意軟件
           
            5、只從官方途徑下載手機APP,不要頻繁刷機,不要root,不接不明文件,不掃不安全的二維碼
           
            6、支付寶等第三方支付平臺的登錄密碼和支付密碼最好用數字和字母組合的高級別密碼
           
            7、經常用手機購物的用戶,要養成設置開機密碼的習慣
           
            8、若手機、銀行卡等一起丟失情況,應第一時間電話掛失手機卡,撥打95188凍結支付寶賬戶
           
            (來源:華商報)
           
          關鍵詞: 短信驗證 安全支付
          (文/小編)
          打賞
          免責聲明
          本文為小編原創作品,作者: 小編。歡迎轉載,轉載請注明原文出處:http://www.jjjgcl.com/news/dianzishangwu/201505/zixun_1861.html 。本文僅代表作者個人觀點,本站未對其內容進行核實,請讀者僅做參考,如若文中涉及有違公德、觸犯法律的內容,一經發現,立即刪除,作者需自行承擔相應責任。涉及到版權或其他問題,請及時聯系我們。
          0相關評論
           

          (c)Copyright ?2011 www.jjjgcl.com?企業商訊網B2B電子商務網站 免費發布信息平臺 Inc. All Rights Reserved.? ?寬帶資源提供:商訊云空間
          客服電話:029-86696770??服務QQ:點擊這里給我發消息??VIP服務:點擊這里給我發消息??企業合作交流QQ群:企業合作交流
          法律聲明:依據國家《互聯網管理規定》,本網站禁止發布任何違******華人民共和國法律、法規的內容!

          陜ICP備14003981號

          小草影院视频