通过手机短信验证码验证身份，真的安全吗？
一直在用的某免费邮箱最近频繁提醒我要验证手机，把手机与邮箱关联，理由是：“忘记密码时，您可以通过手机验证码快速取回密码；而密码一旦被盗号者更改，您也可以收到免费短信通知。” 这段话让我困惑。因为我认为这段话也可以理解成“即使不知道密码，他人只要拿到你的手机，就可以通过手机验证码快速取回密码”。 而且，如果我的手机已经落在别人手里，则“密码一旦被别人更改，您也可以收到免费短信通知”也毫无意义。 我不确信自己永远都不会出现手机丢失或被盗用的情况。所以这段话反倒让我觉得不应该关联手机。 同样，似乎有越来越多的网站将“安全验证”系于“手机验证码”这个机制。我想问的是，这真的安全吗？手机这种极易丢失或被盗用的随身设备，能担当这样的重任吗？就没有更好的办法吗？
谢邀。题主提的是“短信验证码”，其实这个并不是手机相关的，那下面就讨论两个方面，一个是短信验证的安全和其他的二次验证，一个是手机本身如果被盗用的情况。事实上来说，由于手机是机卡分离的设计，在及时挂失的情况下手机丢失反倒目前不是对短信验证最主要的威胁。不过如@曲小鑫提到的，在换号之前，一定要把自己绑定过手机号的服务都注销或者更换掉。。短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是1）认为用户的手机卡是不会轻易丢失和被窃取的，和用户绑定更紧密（相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了）2）认为有手机号可以做二次验证的用户是真实用户（所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册）（并且能获得更多用户的真实信息用来...）3）认为运营商维护的通讯信道比其他的都更安全这些预设基本上是靠谱的，只是在智能手机普及的大环境下各类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。目前来说对于短信验证的威胁主要有如下三个方面：1）智能手机平台上的短信木马，这里可以看到一个案例。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过短信验证码，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链：从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。在智能手机的年代，由于OS开放了短信操作和拦截的接口（Android直接提供，iOS需要越狱），对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况（绝大部分情况下是这样），短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示：2）补卡攻击、克隆攻击。之前提到了短信验证码事实上是基于手机号（SIM卡/运营商服务）而不是手机设备，那么如果能办一张和受害者相同的手机号（卡），自然就能狸猫换太子，接受受害者的验证码，重置各种账号。参考，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。在早些年SIM卡构造简单的时候甚至还能直接去克隆一张卡出来。3）无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。发一个入门教程，范围很小但是设备价钱很低：解决方案：1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。2、3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的通知，现在去营业厅补卡还是盘查的比较严格的。3可以考虑使用CDMA、3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为（2G）GSM之后进行监听。这种攻击的防御主要是使用非GSM制式的通讯服务，然后坐等GSM慢慢退出历史舞台。（移动用户哭了）短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP（各种宝令、Google Authenticator、RSA token）已经比较普遍的。指纹随着具有指纹识别功能设备的普及也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。至于手机可能存在的失窃情况，这些二次验证方案都有对策，首先给自己的手机设置锁屏密码是必须的步骤，防止手机丢失后被直接打开使用，增加犯罪成本。至于给SIM卡设置PIN这些，似乎用的人不多，这里就不讨论了。在假定设置了不会被轻易破解的锁屏密码的情况下，具体情况具体分析1）短信验证：攻击者可能在解不开锁屏后就直接取出SIM卡，这种情况下手机丢失后立即去营业厅或者电话挂失号码。2）OTP类：这些基于App的验证相对来说还可靠一些，但保险起见也需要做一下吊销，以重新生成种子。3）指纹、虹膜：这种表示压力不大。。
居然被邀请了，反正也没事，那就仔细说说吧:)首先要说的是，就像已经有很多人指出的那样，是没有绝对安全的。我们说xxx是安全的，只是表明所面临的威胁和风险在可接受的范围内。至于什么程度才算“可接受”则很难定义，很多时候甚至要更多地考虑情绪和感情因素。换个角度，也可以说，面对已经识别的风险，如果防护的投入将超过可能的损失，则可以认为“可接受”了。回到这里来，不过换一个问题：通过手机短信验证身份，能提高安全性吗？答案是明确的，是。身份认证有三个方式：你知道的，你持有的，以及你固有的。一般的口令密码之类算第一类（你知道的），持有令牌通行证之类算第二类（你持有的），指纹虹膜等生物特征算第三类（你固有的）。由于获取／伪造的难度不同，一般认为第一类的安全性比第二类差，第二类又比第三类差；但需要明确的是，如果只有其中一种都算是弱认证，必须独立使用两种甚至三种才算是强认证。普通应用比如邮箱的认证方式都是口令或密码这第一类认证，使用短信验证码则是为了提供第二类认证。在安全设定中，做得好的系统会要求关键修改要同时使用两种认证方式，即：使用密码登录，然后修改关键信息比如已经注册过的手机号，还需要先用之前的手机接收验证码；单独获得手机后，是不应该能够登入账户并修改所有信息的，否则就破坏了多种认证方式直接的独立性，进而破坏了系统的安全性。这时候我们再回头看题目的问题，就能知道，在没有设计缺陷的情况下，在密码认证之外添加短信认证是同时使用了第一类和第二类认证，也就是强认证了。在密码设置合理（严格来说必须用随机数，但最起码不要用123456之类）、手机短信验证码系统可靠（没被人复制窃听）的情况下，安全性是有充分保证的。即使是两种认证方式终有任何一种被破坏，面对一般的威胁安全性应该也还好。这样来说，可以给题主一个明确的答案：是！有更好的方法吗？综合考虑成本和适用性，暂时可能还真没有。一句题外话，随着技术进步和操作方式的变化，原本算是第三类的认证方式可能变弱成第二类，第二类可能变成第一类，原本互相独立的认证方式也可能在无意间关联起来。和所有的安全系统一样，设计验证系统必须非常小心，充分考虑各种情况；同时，也要始终注意，所有安全投资的价值在于保障，不能本末倒置。
在网络信息安全的五个功能中(身份认证、授权、保密性、完整性和不可否认)，身份认证（）是最基本最重要的环节。身份认证的作用，是保证在具体的决策环节，体现用户的真实意愿。通常，身份认证有三个要素（）所知：things only the user knows，比如密码，安保问题所有：things only the user has，比如手机校验码，U盾所是：things only the user is，比如指纹，瞳孔从密码学角度上来说，使用上面两者完成的验证称之为双因素验证（，Two factor authentication）举几个例子使用登录密码完成登录：单因素认证，所知使用登录密码+手机验证码完成支付：双因素认证，所知+所有使用登陆密码+支付密码完成支付：双因素认证，所知+所知使用银行卡+密码完成取款：双因素认证，所有+所知使用签名+核对身份证+密码完成柜台取款：多因素认证，所有+所是+所知显然，单独使用以上单一认证因素都会存在其问题和风险所知：容易被遗忘，猜取以及普遍存在的信息泄露导致的碰撞所有：容易被钓鱼，丢失所是：认证成本过高，本体容易受到攻击特别地，这些认证因素本身的安全性也有高低之分。显然，所是的安全性要高于其他两项，因为它无法转移。在实际的应用场景中，我们在应用这些认证因素的时候，应该考虑到如下的问题通过率逻辑安全性用户安全感一些实际经验的Tips安全性遵循递进原则，风险等级和认证等级挂钩，低风险等级的操作不应该用过高的认证要素损耗性：每增加一层验证要素，就会有大量的用户损耗流失，例如，每发一次短信，就会流失30%的用户，当然，不同的验证要素损耗性是不一样的安全感知：用户对于安全性本身的需求远没有安全感来的重要，尽可能让用户觉得是安全并且是需要的传递性：在设计某一项验证要素的找回或者替换逻辑的时候，需要特别主要授权性和安全等级的传递性，高安全性可以找回/替换低安全性的验证要素，反之则不可以，特别地，不要做成循环验证绝对方案：在某些情况下，用户会无法使用所有的简易的验证要素，这个时候需要设计一个方案，足够保证安全性的并且可操作，使其能够恢复重置，即使这个方案很复杂所以，总体来说，手机短信验证码是两步验证中，相对：成本最低，通过率最高，操作性最好的验证手段了。所以，绑定手机，验证手机也就成了标配。
个人意见：1.手机设置好图案解锁，尽量复杂一点。 2.SIM卡设置PIN码，初始密码一般是1234，注意修改下。这张卡插入任何手机里面，只有输入正确的PIN码才能使用，输错3次之后需要验证PUK码，PUK如果再输错卡就报废了。手机被偷之后请一直呼叫，呼叫到没电或者关机了你就赢了。
收集用户信息绑定用户的一种手段而已
没有绝对安全的验证方式。手机验证相对于传统的邮箱验证、密保问题验证要安全很多。因为邮箱、密保问题是虚拟物品，邮箱密码、验证答案都具有可传播、可复制性质，因此只要得知密码、答案即可获得验证码。而手机则是实物，只有手机持有人才能获取到验证码，具有地域性限制，网络上的黑手没办法触及，因此会比其它方式安全很多。 （暂且排除智能机因权限设置问题导致短信被窃取的情况）以下产品也具有同样的效果，而且更安全。至于提主所提到的手机丢失问题。只能说，家门口钥匙都还有丢失的时候……
不安全，但比它安全的都没它方便。
无非是手机验证还是邮箱验证。对于大多数普通人对于大多数应用场景来说还是手机验证安全方便。1、与国外的使用习惯差异，中国用户电子邮件使用率不高，很多人没有邮箱或者忘掉邮箱密码的，这样邮箱验证形同虚设。另外比起邮箱验证，手机验证操作更傻瓜，环节更少。2、使用验证方式盗号最常见的情况应该是从用户名猜到验证邮箱，而遭遇各种拖库的中国网民常用邮箱很可能已经密码泄露了。手机验证的话没这个风险。3、先捡到手机，再通过手机修改密码。这个主要针对网银吧，否则小偷也忒无聊了…这个确实有风险，但是做的好的比如支付宝是这样防范风险：A.客户端建议设置图形解锁，并且建议分别设置登录密码和交易密码。B.PC端若不是经常登录的机器，无法简单使用手机找回密码功能。退一步，即使不考虑这些，丢失手机后可以第一时间挂失，重办号码，起码风险是可控的。
多通道验证，就是【基本】安全的。PC（加互联网）是一个通道；手机（短信或语音）是一个通道；将军令（及其类似的验证工具）也是一个通道。。。。所以，如果PC（不是网吧这种场所）+短信，就基本是安全。但是，如果本身是手机应用、手机支付，那么短信验证就只能算是同一通道了，基本是不安全的。多余说一句：U盾之类的工具，因为需要插在PC上，与PC近似一个通道了！因为在你插上U盾准备使用的同时，理论上，木马程序也可以使用它了！所以，U盾的安全性其实也存在漏洞。如果U盾外表有一个类似SD卡的读写开关，则能把这个漏洞缩得更小一点
xy. 单纯从技术上来说确实不安全，不过安全也是相对的。互联网应用系统是在他认为可接受的风险范围内，为大部分用户提供最大的易用性。题主可以选择是否绑定，这也是看题主是看重安全还是看重仅忘记密码情况下的使用便利了。 说说技术上吧，大家都知道2g手机的数据可以说几乎是裸奔的，利用大概10来个手机配合抓包分析，就能截获附近一个基站的2g手机短信的，不用说什么验证码，就连什么短信下发的门票，消费码等等都能拿到。更好的方式（可能题主说的好特指安全）也有，但麻烦，比如usbkey和数字证书，所以这个也就在安全性需求特别高的业务系统中使用，如等保三级，网银等。
已有帐号？
无法登录？
社交帐号登录更多公众号：gh_b内江本土权威民生新闻的发布平台；城中大小事儿的真实记录者；甜城儿女们茶余饭后龙门阵的可靠来源；市民们暖心事、烦心事的诉说之地……最新文章相关推荐搜狗：感谢您阅读短短5分钟，收到40条验证码短信，这是得罪谁了吗？，本文可能来自网络，如果侵犯了您的相关权益，请联系管理员。QQ:用户注册填写手机号接收短信验证码怎么实现？跪求大侠...-第2页-Android开发问答-eoe 移动开发者论坛 -
Powered by Discuz!
后使用快捷导航没有帐号？
只需一步，快速开始}