验证码的世界,竟然……如此触目惊心!

举报
华为云社区精选 发表于 2018/05/25 17:50:58 2018/05/25
【摘要】 这年头,无论支付、注册、还是登录各种端口,哪怕是保障用户安全的诸多举措……验证码的“参与”已经成为必不可少”!可是……细数下来,这些年验证码给我们挖的坑也挺多!这不,最近就爆出一条新闻。有不法人士利用短信拦截设备非法获取手机号以及验证码,然后转移卡内资金或者下单消费,竟然成功十余起,直接造成被害人资金损失几百元以及近万元不等。额……有点儿无法用语言来形容的赶脚!图片来源于网络话说,就算你的验...

这年头,无论支付、注册、还是登录各种端口,哪怕是保障用户安全的诸多举措……验证码的“参与”已经成为必不可少”!

可是……细数下来,这些年验证码给我们挖的坑也挺多!

这不,最近就爆出一条新闻。

有不法人士利用短信拦截设备非法获取手机号以及验证码,然后转移卡内资金或者下单消费,竟然成功十余起,直接造成被害人资金损失几百元以及近万元不等。

额……有点儿无法用语言来形容的赶脚!

image.png

图片来源于网络


话说,就算你的验证码没有被有心人拦截,难道就能保证在惊悚的60秒过后,彼此相安无事了吗?答案显然是不能!

这时候小编就要吐槽下自己的亲身经历了。

过节发红包本是司空见惯的娱乐项目,不但可以小小的填充微信钱包,还能活跃节日气氛。

这不,小编刚要拿起手机准备发红包,结果……

第一遍操作输入不太成功,那就按照指令继续操作呗,没想到涉及金额有点儿大,一条短信验证码“如约而至”……

其实,无论是发红包还是部分APP购物付款,因为绑定了个人的银行卡或者支付宝等,短信验证码确实可以帮助保护一下下个人财产安全。

可是这条关键的验证码短信是否可以按时收到呢?

60秒的有效时间内,不是半天收不到,就是一等就等好几个60秒……太心塞的节奏!


如果赶上过节秒杀抢购商品,或者抢位置订票看电影的话,那真是怎一个“急”字了得?

有人会说,短信验证码还是比较容易收到的,小编想说,就算如期收到验证码,你以为在60秒的等待过程中就没事儿发生吗?

据了解,通常钓 鱼网站会与一些被热门使用的软件进行捆 绑设置。当用户下载完某个被“无辜”捆 绑的APP后,在接受短信验证码的60秒等待中,木马病毒会选择性拦截包含验证码的短信,然后就是妥妥的重置账户密码以及篡改个人信息等操作,这个过程熟练到就像文章开头发生的新闻一样一样的。

此外还有一种可能性。当不法分子拦截短信成功后,很有可能会将自己伪装成电商客服甚至是警方,然后就会出现一系列针对订单退款需要回复短信验证码,或者因为重大经济案件需要填补损失金额等套路……

然后……大家都懂的!如果一旦相信了这些别有用心的花言巧语,你的资产也就彻底不是你的资产了……满脸的悲催!

image.png

图片来源于网络


当然不排除会有一些比较严谨的平台服务,采用语音验证码的方式,可是毕竟骗子历来都是防不胜防,要是监听下验证码也还是比较随意的事儿!

image.png

图片来源于:https://www.csdn.net/article/a/2017-03-17/15820334


所以这么分析来看,看似安全的语音验证码也是不够“靠谱”的!

小编此时真想大声说一句:验证码带来的坑坑,请跟我果断说“再见”!

既然短信and语音验证码这么多坑,那其他类型的验证码的体验就一定好吗?


现在市面上出现的验证码有好几种,最常见的当属随机的数字或者字母,例如:

image.png

图片来源于:gouwu.mediav.com


但通常我们遇到是这个版本!

image.png

图片来源于:www.d9soft.com


数字、字母的很随机但已经变形到“它认识我,我不认识它”的程度……这样下去不但骗子看不懂,就连我也看不懂了!

除了常规的“数字+字母”组合的验证码外,还有一种验证码也招来了大众版的吐槽,例如:

image.png

图片来源于网络

还有这种类型的……

image.png

图片来源于网络


简直是无法愉快的玩耍。图片太相似,根本傻傻分不清,用于防止批量注册的验证码,人眼看起来都费劲,何况是机器?

当然不排除还有一些类型的验证码,例如种类繁多,不容易被恶意识别的折叠Gif动画验证码、普及率不是很高的视频验验证码、有趣的行为验证码以及可以给网站增加额外收入的广告验证码等,确实为验证码自带的“防御功能”增加了点儿力量,不过由于现实原因以及技术水平还有待于深入探讨。

目前到底哪些情况会蹦出恼人的验证码呢?

其实最初,有的网站或者移动端会采取设置“次数限制”的方式来保障入口的安全。


例如,用户输入三次错误密码之后会导致账号在一定时间内被锁定且禁止登陆;或者在规定时间内进行次数限制用来规范某种行为,例如24小时等。

后来由于此类操作并不能给用户带来较好的体验,甚至还让不法分子有机可乘。

比如可能会出现用户真的忘记了预设密码,限制登录之后造成人员流失;不法分子故意试错影响正常用户的合法操作;以及采用多个账号操作,用来突破单一账号登录次数限制等。

其实应对这一系列的问题,最关键的一点就是要识别出行为操作的是人还是机器,如果是人,是不是那个应该进行操作的“人”!

image.png

图片来源于:www.fxxz.com


这样分析,其实在任何可能影响用户体验或者造成接入平台损失的地方都需要验证码进行二次校验。

所以目前,验证码主要会出现在注册、登录、找回密码以及修改账号中重要的个人信息等涉及个人隐私的范畴;还有最最重要的一个环节就是支付!毕竟关乎财产安全,多验证几次也是理所应当的。

话说回来,验证的安全系数究竟有多高?

谈到这一点小编就要心塞塞一会儿了!


image.png

图片来源于:www.51offer.com


最近有专业的安全技术团队爆出猛料,其实手机移动网络中的漏洞是完全可以被用来拦截短信中的一次性双因素认证令牌,也就是人们熟知的验证码。

按照实际情况来看,更令人担忧的是,通常短信验证码并不是只发送一次,因为这种验证方式最方便、通用性最强悍,对于敏感账户,如果被劫持,风险太大了,所以运营商需要提请注意哇!

不过有消息称,似乎银行正在着力解决这个问题,寻求既安全还能够保证可用性的好办法。

例如开发个什么应用程序或者提供关于个人身份的便携验证,再或者是其他的有效发明等。

短信验证不安全,那图形呢?

小编遗憾的告诉大家,随着人工智能技术的发展,图形验证码也不再有安全可言了。


这一切都要归功于深度学习技术在图像处理上表现的如此强大。

过去,为了防止重要信息被窃取,图片验证码都增加了背景干扰或者字体多样化的设置等,其实就是为了提升被破解的难度段位。

但这种设计仅仅着眼在图像上,如果利用现在风靡的卷积神经网络,也就是CNN技术,破解也就是分分钟的事儿。

有人会问,CNN技术要实践还需要带标记的数据吧?哪有那么多数据用于训练?

说到这个可就厉害了。

据小编了解,关于带标记的数据,其获取方式的成本还是很便宜的。

网上有很多提供 “人工”打码服务的服务商,基本上也就是几分钱一张吧!

真是听的“惊心动魄”!

验证码的世界实在太复杂,能不能来点儿简单的?


作为交互安全的重要环节之一,验证码保证安全是刚需,但如果做不到“零打扰、无感觉”的话,还是……

请问地球人何时消灭验证码?小编翘首期盼ing。

没有验证码,真的可以吗?

这不,中国移动就推出了一款便利的移动认证技术。

旗下的一键登录广泛面向APP,不用注册,无需键入密码,手指动一动即可获得授权,那叫一个便捷。

更重要的一点,整个过程不存在账号密码泄露的隐患,安全性能杠杠的,毕竟现在的手机号已经可以高效代表了每个用户的基本信息。

这项新发明目前已经联手多家企业,例如爱奇艺、猎豹清理大师、同花顺炒股票等。要想体验无感登录,快来了解更多吧!


本文章来源:CSDN社区,用户:L-jingjing,版权归原作者所有


【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。