圖1 愛加密技術(shù)總監(jiān)程智力

記者：目前銀行、電信、電商、游戲、社交等各行業(yè)應(yīng)用，都大量采用了通過手機(jī)短信進(jìn)行身份的安全驗(yàn)證。而針對移動(dòng)短信驗(yàn)證碼認(rèn)證的攻擊越來越頻繁，短信驗(yàn)證碼現(xiàn)在面臨哪些安全問題？攻擊方式有哪些？有什么表現(xiàn)？

智力：冒名掛失、意外丟失、手機(jī)被盜、乘用戶不備拿起用戶的手機(jī)接收短信、不安全的網(wǎng)絡(luò)環(huán)境、惡意應(yīng)用程序、支付應(yīng)用漏洞等支付風(fēng)險(xiǎn)、遭遇詐騙等都是不安全因素。

目前移動(dòng)支付中普遍使用的“賬號(hào)密碼+短信”的認(rèn)證體系，但由于短信驗(yàn)證碼可以進(jìn)行快捷支付，甚至修改密碼，一旦手機(jī)遇到帶有短信攔截功能的木馬或者黑客攻擊，可能出現(xiàn)動(dòng)態(tài)驗(yàn)證碼被攔截的情況。

記者：“愛加密”在解決移動(dòng)短信驗(yàn)證碼安全問題的思路是什么？利用了哪些技術(shù)手段？

智力：愛加密的短信防劫持解決方案提供“終端驗(yàn)證+語音驗(yàn)證”的雙驗(yàn)證體系。

主要服務(wù)端將用戶賬號(hào)與用戶手機(jī)號(hào)、手機(jī)終端進(jìn)行綁定授權(quán)，當(dāng)APP被觸發(fā)動(dòng)態(tài)碼驗(yàn)證時(shí)，通過設(shè)備授權(quán)檢測判斷該設(shè)備是否為綁定設(shè)備，并自動(dòng)開始驗(yàn)證用戶終端和用戶賬號(hào)信息是否一致。如一致，則繼續(xù)短信形式驗(yàn)證動(dòng)態(tài)碼；否則將會(huì)以語音電話形式驗(yàn)證動(dòng)態(tài)碼。最后，愛加密服務(wù)端判斷發(fā)來短信驗(yàn)證碼的手機(jī)是否是最近綁定過的手機(jī)。

記者：“愛加密”在短信驗(yàn)證碼安全方面現(xiàn)在有沒有正在研發(fā)的新技術(shù)？技術(shù)方面有沒有什么難題？

智力：目前技術(shù)上沒有什么難題，愛加密在設(shè)計(jì)這套解決方案的時(shí)候考慮到了對于老年群體（或聽力不好的傷殘人士），語音驗(yàn)證操作不易被接受。所以針對這類人群，已經(jīng)研究了對應(yīng)的解決辦法。

記者：短信驗(yàn)證碼既然現(xiàn)在暴露的漏洞這么多，未來是否會(huì)被其他身份認(rèn)證方式所取代？

智力：短信驗(yàn)證碼短時(shí)間內(nèi)還不太可能被取代， 短信驗(yàn)證碼會(huì)使用到大部分APP的身份識(shí)別與驗(yàn)證上，也是很多APP的最后一道安全防線，從它的安全定義上來講關(guān)系到體驗(yàn)、穩(wěn)定性、性能、效果、價(jià)格 ，優(yōu)勢非常突出。語音驗(yàn)證碼正慢慢興起，它具備短信驗(yàn)證碼所有的優(yōu)勢，并且價(jià)格可能更低，在安全上不存在類似短信驗(yàn)證碼很容易被攔截、轉(zhuǎn)發(fā)的問題。