• 提供南水北调七成中线水 陕西一江清水送北京 2019-10-10
  • 你的声音,说一句话就能被克隆 2019-10-08
  • 她主动借腹给我生儿子,中途又移情别恋 有故事的人 2019-10-07
  • 候选企业:安徽古井集团 2019-10-06
  • 智能手机冲击大 数码相机不服输 2019-10-06
  • 工信部:我国4G用户达10.6亿户 宽带提速效果显著 2019-10-01
  • 一条塔里木河 串起南疆各色景致与无限风光 2019-10-01
  • 消防车进商场——“小小消防员”的消防安全乐体验 2019-09-27
  • 《游侠索罗》:票房失意之作的连锁反应 2019-09-27
  • 万物互联开启智慧新图景 下一代互联网未来已来 2019-09-27
  • 朔州市人大常委会任免名单 2019-09-27
  • 置业指南:盘点沙坪坝在售楼盘 2019-09-26
  • 加快南昌航空货运发展推进会举行 2019-09-26
  • 李思思元元月亮姐姐 盘点央视主持人与子女温馨合影 2019-09-25
  • 欧阳绍修:孜孜以求为祖国研制“争气机” 2019-09-20
  • 价格不是我们的优势,品质永远是我们的追求!
    当前位置:北京11选五和值走势图行业快讯 > 什么短信动态密码
    什么短信动态密码
    来源:北京11选五和值走势图  时间:2018-01-09 17:51

    北京11选五和值走势图 www.tqjw.net     短信动态密码也称短信密码,是以手机短信形式发送的6位随机数的动态密码,是一种一次性口令,也称为手机动态口令。

        用于生成一次性口令的方法除了短信动态密码,还有硬件令牌。硬件令牌需要发放额外的硬件设备,相对成本高、技术门槛高,而短信动态密码的核心优势在于成本低、便捷性高、易于推广普及。

        相对于传统静态密码,短信动态密码只能使用一次并且有使用时间限制,所以能有效避免被黑客窃听后重用,安全性较高,目前有越来越多对安全要求比较高的网站和手机应用将随机短信动态密码(通常为6位数字)作为用户登录或交易时的认证方式。

        然而,短信认证过程中涉及流程较多,每个步骤均存在被黑客攻破的风险,所以短信密码的广泛应用也带来了很多安全隐患。在介绍短信动态密码存在的安全隐患之前,先带大家了解一下短信动态密码的应用流程。

        在典型的认证场景中,用户在登录或支付页面输入手机号码,并请求动态密码。后台认证服务接收到请求后通过特定算法生成动态密码,然后通知短信网关,短信网关通过运营商将密码发送给用户。最后用户输入短信密码并上传到认证服务器认证(具体流程如图所示)。

    短信密码认证流程

        目前短信动态密码面临的最大风险是被黑客获取,而整个流程中的每个环节均存在这种可能。根据各项技术与业务的发展情况,目前主要的泄露途径有以下几种。

        1、云服务

        许多公司向客户提供云服务,供客户上传数据至云端作为备份(一般在设备连接WiFi的情况下备份),可通过web方式进行查询、管理,并可以便捷地共享给其他设备。例如苹果公司的iCloud、小米云服务、QQ同步助手等。此时,黑客只要能登录云端,即可获取用户短信等数据。目前来看,这种机制存在一定风险。

        首先,提供云服务的网站以及业务逻辑可能存在安全缺陷,如存在漏洞或者为用户设定了默认密码。

        其次,许多用户安全意识不高,使用了弱密码;或是与其他网站使用了相同的账号和密码,黑客利用撞库攻击获取登录名和密码;或是个人信息泄露过多,黑客可通过密码重置、安全问题等方式获取密码。进入系统后,黑客不仅能将用户的短信内容一览无遗,还可以使用手机号和短信密码登录网站、进行支付交易,甚至可以在云端删除手机端数据,使用户难以察觉。

        2、短信仓库和短信转移

        运营商提供了许多增值服务,如短信仓库业务和短信转移业务。短信仓库业务将客户短信保存在运营商的数据库中(如图2所示)。短信转移业务将发给某个手机号码的短信转移到另外一个手机号码上。此类业务的初衷是为了方便用户,然而实际应用中也为黑客提供了机会。大部分运营商提供网站办理业务途径,所以与云服务类似,同样也面临着网站安全性、业务逻辑安全性不足、用户信息泄露的问题。黑客利用漏洞登录系统或是将短信转移号码设置为自己手机号后,可实时通过短信内容掌握客户动态,使用客户账号登录网站或进行网银交易,危害性甚至超过云服务系统被入侵。

    短信仓库

        3、恶意软件

        有监测数据显示,不同版本安卓系统获取root权限用户比例为5%-35%。由于用户设备获取root,权限比例较高,安卓应用市场管理不严格,一些用户因误装了恶意转件而导致相关短信被拦截甚至转发。这些软件往往通过钓鱼网站转播,并且针对银行或是第三方支付网站发出的短信,拦截用户收到的支付、转账验证短信,从而盗取资金(如图所示)。

    软件拦截短信

        4、伪基站和改号软件

        伪基站通过伪装成运营商的基站,任意冒用其他号码(如10086、95588等),向用户群发短信。改号软件也可实现此类功能。单独使用这类方法并不能获取用户的短信内容,它们通?;嵊氲鲇阃?、恶意软件等结合使用。

    短信诈骗

        在不改变短信密码作为认证手段的前提下,若想改善上述问题,可以从以下两个层面着手:

        国家层面,应加强对伪基站犯罪活动的打击;运营商应在推行新业务时,对安全性进行充分考量,对于敏感信息(如发现号码为6位的)不应进行存储和转发,云服务提供商也可采取类似策略;

        用户层面,提高安全意识,防范钓鱼网站、不安装未经认证的软件。同时,由于目前伪基站仅针对GSM,升级手机卡和设备可以有效避免受到伪基站影响。

  • 提供南水北调七成中线水 陕西一江清水送北京 2019-10-10
  • 你的声音,说一句话就能被克隆 2019-10-08
  • 她主动借腹给我生儿子,中途又移情别恋 有故事的人 2019-10-07
  • 候选企业:安徽古井集团 2019-10-06
  • 智能手机冲击大 数码相机不服输 2019-10-06
  • 工信部:我国4G用户达10.6亿户 宽带提速效果显著 2019-10-01
  • 一条塔里木河 串起南疆各色景致与无限风光 2019-10-01
  • 消防车进商场——“小小消防员”的消防安全乐体验 2019-09-27
  • 《游侠索罗》:票房失意之作的连锁反应 2019-09-27
  • 万物互联开启智慧新图景 下一代互联网未来已来 2019-09-27
  • 朔州市人大常委会任免名单 2019-09-27
  • 置业指南:盘点沙坪坝在售楼盘 2019-09-26
  • 加快南昌航空货运发展推进会举行 2019-09-26
  • 李思思元元月亮姐姐 盘点央视主持人与子女温馨合影 2019-09-25
  • 欧阳绍修:孜孜以求为祖国研制“争气机” 2019-09-20
  • 3d福彩开机号 sb走地数据 九九娱乐是什么 青海快三跨度走势图今天 彩99注冊 博彩娱乐 腾讯分分彩入口 e球彩ef进球数 九龙娱乐苹果版下载 36选7复式怎么选号 p3开机号近十期号码查询 江苏福彩快3走势图 澳门银河电子游戏ga 腾讯分分彩官 江苏11选5任7杀2号