0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

验证码能保证真的安全吗?

C语言专家集中营 来源:未知 作者:易水寒 2018-06-10 09:31 次阅读

这年头,无论支付、注册、还是登录各种端口,哪怕是保障用户安全的诸多举措……验证码的“参与”已经成为必不可少”!可是……细数下来,这些年验证码给我们挖的坑也挺多!这不,最近就爆出一条新闻。有不法人士利用短信拦截设备非法获取手机号以及验证码,然后转移卡内资金或者下单消费,竟然成功十余起,直接造成被害人资金损失几百元以及近万元不等。额……有点儿无法用语言来形容的赶脚!

话说,就算你的验证码没有被有心人拦截,难道就能保证在惊悚的60秒过后,彼此相安无事了吗?答案显然是不能!这时候小编就要吐槽下自己的亲身经历了。过节发红包本是司空见惯的娱乐项目,不但可以小小的填充微信钱包,还能活跃节日气氛。这不,小编刚要拿起手机准备发红包,结果……第一遍操作输入不太成功,那就按照指令继续操作呗,没想到涉及金额有点儿大,一条短信验证码“如约而至”……其实,无论是发红包还是部分APP购物付款,因为绑定了个人的银行卡或者支付宝等,短信验证码确实可以帮助保护一下下个人财产安全。可是这条关键的验证码短信是否可以按时收到呢?60秒的有效时间内,不是半天收不到,就是一等就等好几个60秒……太心塞的节奏!如果赶上过节秒杀抢购商品,或者抢位置订票看电影的话,那真是怎一个“急”字了得?有人会说,短信验证码还是比较容易收到的,小编想说,就算如期收到验证码,你以为在60秒的等待过程中就没事儿发生吗?据了解,通常钓鱼网站会与一些被热门使用的软件进行捆绑设置。当用户下载完某个被“无辜”捆绑的APP后,在接受短信验证码的60秒等待中,木马病毒会选择性拦截包含验证码的短信,然后就是妥妥的重置账户密码以及篡改个人信息等操作,这个过程熟练到就像文章开头发生的新闻一样一样的。此外还有一种可能性。当不法分子拦截短信成功后,很有可能会将自己伪装成电商客服甚至是警方,然后就会出现一系列针对订单退款需要回复短信验证码,或者因为重大经济案件需要填补损失金额等套路……

然后……大家都懂的!如果一旦相信了这些别有用心的花言巧语,你的资产也就彻底不是你的资产了……满脸的悲催!

当然不排除会有一些比较严谨的平台服务,采用语音验证码的方式,可是毕竟骗子历来都是防不胜防,要是监听下验证码也还是比较随意的事儿!

所以这么分析来看,看似安全的语音验证码也是不够“靠谱”的!小编此时真想大声说一句:验证码带来的坑坑,请跟我果断说“再见”!既然短信and语音验证码这么多坑,那其他类型的验证码的体验就一定好吗?

现在市面上出现的验证码有好几种,最常见的当属随机的数字或者字母,例如:

但通常我们遇到是这个版本!

数字、字母的很随机但已经变形到“它认识我,我不认识它”的程度……这样下去不但骗子看不懂,就连我也看不懂了!除了常规的“数字+字母”组合的验证码外,还有一种验证码也招来了大众版的吐槽,例如:

还有这种类型的……

简直是无法愉快的玩耍。图片太相似,根本傻傻分不清,用于防止批量注册的验证码,人眼看起来都费劲,何况是机器?当然不排除还有一些类型的验证码,例如种类繁多,不容易被恶意识别的折叠Gif动画验证码、普及率不是很高的视频验验证码、有趣的行为验证码以及可以给网站增加额外收入的广告验证码等,确实为验证码自带的“防御功能”增加了点儿力量,不过由于现实原因以及技术水平还有待于深入探讨。目前到底哪些情况会蹦出恼人的验证码呢?其实最初,有的网站或者移动端会采取设置“次数限制”的方式来保障入口的安全。例如,用户输入三次错误密码之后会导致账号在一定时间内被锁定且禁止登陆;或者在规定时间内进行次数限制用来规范某种行为,例如24小时等。后来由于此类操作并不能给用户带来较好的体验,甚至还让不法分子有机可乘。比如可能会出现用户真的忘记了预设密码,限制登录之后造成人员流失;不法分子故意试错影响正常用户的合法操作;以及采用多个账号操作,用来突破单一账号登录次数限制等。其实应对这一系列的问题,最关键的一点就是要识别出行为操作的是人还是机器,如果是人,是不是那个应该进行操作的“人”!

这样分析,其实在任何可能影响用户体验或者造成接入平台损失的地方都需要验证码进行二次校验。所以目前,验证码主要会出现在注册、登录、找回密码以及修改账号中重要的个人信息等涉及个人隐私的范畴;还有最最重要的一个环节就是支付!毕竟关乎财产安全,多验证几次也是理所应当的。话说回来,验证的安全系数究竟有多高?谈到这一点小编就要心塞塞一会儿了!

最近有专业的安全技术团队爆出猛料,其实手机移动网络中的漏洞是完全可以被用来拦截短信中的一次性双因素认证令牌,也就是人们熟知的验证码。按照实际情况来看,更令人担忧的是,通常短信验证码并不是只发送一次,因为这种验证方式最方便、通用性最强悍,对于敏感账户,如果被劫持,风险太大了,所以运营商需要提请注意哇!不过有消息称,似乎银行正在着力解决这个问题,寻求既安全还能够保证可用性的好办法。例如开发个什么应用程序或者提供关于个人身份的便携验证,再或者是其他的有效发明等。短信验证不安全,那图形呢?小编遗憾的告诉大家,随着人工智能技术的发展,图形验证码也不再有安全可言了。这一切都要归功于深度学习技术在图像处理上表现的如此强大。过去,为了防止重要信息被窃取,图片验证码都增加了背景干扰或者字体多样化的设置等,其实就是为了提升被破解的难度段位。但这种设计仅仅着眼在图像上,如果利用现在风靡的卷积神经网络,也就是CNN技术,破解也就是分分钟的事儿。有人会问,CNN技术要实践还需要带标记的数据吧?哪有那么多数据用于训练?说到这个可就厉害了。据小编了解,关于带标记的数据,其获取方式的成本还是很便宜的。网上有很多提供 “人工”打码服务的服务商,基本上也就是几分钱一张吧!真是听的“惊心动魄”!验证码的世界实在太复杂,能不能来点儿简单的?作为交互安全的重要环节之一,验证码保证安全是刚需,但如果做不到“零打扰、无感觉”的话,还是……请问地球人何时消灭验证码?小编翘首期盼ing。没有验证码,真的可以吗?这不,中国移动就推出了一款便利的移动认证技术。旗下的一键登录广泛面向APP,不用注册,无需键入密码,手指动一动即可获得授权,那叫一个便捷。

更重要的一点,整个过程不存在账号密码泄露的隐患,安全性能杠杠的,毕竟现在的手机号已经可以高效代表了每个用户的基本信息。

这项新发明目前已经联手多家企业,例如爱奇艺、猎豹清理大师、同花顺炒股票等。要想体验无感登录,快来了解更多吧!

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 中国移动
    +关注

    关注

    22

    文章

    5525

    浏览量

    70804
  • 端口
    +关注

    关注

    4

    文章

    946

    浏览量

    31981
  • 验证码
    +关注

    关注

    2

    文章

    20

    浏览量

    4685

原文标题:验证码的世界,竟然……如此触目惊心!

文章出处:【微信号:C_Expert,微信公众号:C语言专家集中营】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    保证信号有效传输的储隔离芯片

    电子发烧友网报道(文/黄山明)在储系统中,如何在高压与电磁干扰较大的情况下确保系统可靠性与安全性是一个难题。而隔离芯片便可以解决这些问题,该芯片主要用于实现不同电路域之间的安全、可靠隔离,防止高压
    的头像 发表于 10-30 00:12 2163次阅读

    调用云服务认证体系

    和密码。 第三方登录选项: 提供使用社交账号(如微信、Facebook、Google等)直接登录的选项。 忘记密码模块: 找回密码流程: 用户输入注册时的邮箱/手机号,系统发送重置链接或验证码。 用户
    发表于 09-05 09:39

    芯科科技领先提供CBAP解决方案支持基于证书的身份验证和配对

      “基于证书的身份验证和配对(CBAP)”有助于简化低功耗蓝牙(BluetoothLE)设备的身份验证和配对过程。它具有内置的安全功能,无需使用二维、密码或基于 NFC 的配对来手
    的头像 发表于 06-04 11:35 650次阅读

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入安全验证码,因为此功能集成于Windows系统内,故
    的头像 发表于 05-16 16:27 484次阅读

    西门子PLC实现动态加密计时催款功能的程序设计

    当调试人员在项目调试完成后,设置一个到计时天数,当天数到达后设备锁机,HMI上跳出解锁界面,这个时候点击HMI上的生成解锁按钮,生成解锁(解锁是在动态验证码中挑选8位生成的,在此
    的头像 发表于 04-24 11:05 1638次阅读
    西门子PLC实现动态加密计时催款功能的程序设计

    请问NFC数据传输如何保证数据安全

    NFC数据传输如何保证数据安全
    发表于 04-07 06:18

    sim卡pin怎么设置 sim卡pin怎么重置

    SIM卡PIN是一种用于保护SIM卡的安全性的功能,它要求在每次启动手机或更换SIM卡时输入正确的PIN才能使用。如果你想设置或重置SIM卡的PIN,可以按照以下步骤进行操作。
    的头像 发表于 01-31 14:34 2w次阅读

    电脑的pin是什么?PIN和密码有什么区别?电脑如何设置pin

    电脑的pin是什么?PIN和密码有什么区别?电脑如何设置pin? 电脑的PIN是个人识别号码的简称,是一种用于验证身份或访问控制的数
    的头像 发表于 01-17 11:17 2.8w次阅读

    鸿蒙实战基础(ArkTS)-窗口管理

    基于窗口能力,实现验证码登录的场景,主要完成以下功能: 登录页面主窗口实现沉浸式。 输入用户名和密码后,拉起验证码校验子窗口。 验证码校验成功后,主窗口跳转到应用首页。 登录界面实现沉浸式 完成登录
    发表于 01-12 17:51

    验证码渗透最全总结

    简单测试方法,就是看到一个登录框,然后新建打开图片链接,在图片链接中就有机会看到两个参数值,一个是 width,一个是 length。这两个参数是计算图片验证码的长宽,如果长宽过高就会过度消耗的是服务器的 CPU 资源。
    的头像 发表于 01-05 11:33 663次阅读
    <b class='flag-5'>验证码</b>渗透最全总结

    来自“理工男”的安全守护!星纪元ET通过“NESTA 六维电安全”技术验证

    安全是一切技术的保障,也是奇瑞对用户始终如一的承诺!“理工男”传承26年的安全基因,在“塔尖明珠”星途星纪元上体现得更加淋漓尽致。 12月29日,中汽中心公布最新消息,根据新能源汽车电安全技术
    的头像 发表于 01-02 15:15 438次阅读
    来自“理工男”的<b class='flag-5'>安全</b>守护!星纪元ET通过“NESTA 六维电<b class='flag-5'>安全</b>”技术<b class='flag-5'>验证</b>

    鸿蒙原生应用/元服务开发-Serverless账户验证码的问题

    在应用/元服务早期使用过程中,-Serverless账户验证码的格式是[AGC][应用/元服务名称],如下图。 但是,在最近,[应用/元服务]名称直接变成了【default】,用户收到这种验证码后,心里存有疑虑的,这是哪里配置或者设置的问题吗?大家有遇到同样的问题吗?如何
    发表于 12-27 15:55

    基于启明6M5开发板的智能门锁设计

    本项目是基于启明6M5开发板设计一个门锁系统,通过板载ESP8266网络将验证码发送至云端,用户通过手机上接受到的验证码打开门锁。项目功能演示如下:
    的头像 发表于 12-18 12:30 1186次阅读
    基于启明6M5开发板的智能门锁设计

    SEAWARD电气测试设备保证高压电气培训安全:高压验电器KD1E系列

    SEAWARD的电气测试设备帮助高压(HV)电气培训设施保证学员安全。PASS培训中心使用模拟变电站提供实践经验,定制设备指示器以模拟高压场景。标准电位指示器的电压识别能力受损,Seaward高压KD1E指示器和PH3验证单元,
    的头像 发表于 12-06 14:52 378次阅读

    意法半导体为Ellipse提供能量收集安全微控制器

    半导体的ST31N600芯片。 Ellipse选择ST31N600安全微控制器作为其无电池EVC(椭圆验证码)一体式动态CVV(卡验证值)微模块的关键组件。EVC All-In-One、标
    的头像 发表于 11-14 16:10 596次阅读