• 永不沉没的泰坦尼克号工程开工仪式举行(一) 2019-08-19
  • 今年回南天为何掉线了?这其实并不奇怪 2019-08-19
  • 政能亮政府服务,当好“店小二”而非“二大爷” 2019-08-16
  • 女性之声——全国妇联 2019-08-16
  • 人傻有人爱,人聪明有人恨,人愚笨有人笑,人痴有人关心,不是每个人的命运都一样的 2019-08-11
  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-08-05
  • 中华人民共和国建筑法 2019-08-05
  • 转方式调结构显现阶段性成果(读数·发现经济运行的轨迹) 2019-08-02
  • 一语惊坛(6月8日):友谊勋章是给国际友人的最高荣誉。 2019-08-02
  • 《红海行动》出征中美电影节 2019-07-28
  • 发挥自身优势 奋力走在前列——习近平总书记在山东考察回访记 2019-07-28
  • 民生时评:上海支付宝回收垃圾并不现实(原创首发) 2019-07-28
  • 俺发现你还真是踩云的人。找不到谱。 2019-07-28
  • 12306网站用户信息外泄?铁总深夜“辟谣” 2019-07-25
  • 端午节期间 拉萨至日喀则增开列车 2019-07-24
  • 价格不是我们的优势,品质永远是我们的追求!
    当前位置:北京11选五和值走势图行业快讯 > 什么短信动态密码
    什么短信动态密码
    来源:北京11选五和值走势图  时间:2018-01-09 17:51

    北京11选五和值走势图 www.tqjw.net     短信动态密码也称短信密码,是以手机短信形式发送的6位随机数的动态密码,是一种一次性口令,也称为手机动态口令。

        用于生成一次性口令的方法除了短信动态密码,还有硬件令牌。硬件令牌需要发放额外的硬件设备,相对成本高、技术门槛高,而短信动态密码的核心优势在于成本低、便捷性高、易于推广普及。

        相对于传统静态密码,短信动态密码只能使用一次并且有使用时间限制,所以能有效避免被黑客窃听后重用,安全性较高,目前有越来越多对安全要求比较高的网站和手机应用将随机短信动态密码(通常为6位数字)作为用户登录或交易时的认证方式。

        然而,短信认证过程中涉及流程较多,每个步骤均存在被黑客攻破的风险,所以短信密码的广泛应用也带来了很多安全隐患。在介绍短信动态密码存在的安全隐患之前,先带大家了解一下短信动态密码的应用流程。

        在典型的认证场景中,用户在登录或支付页面输入手机号码,并请求动态密码。后台认证服务接收到请求后通过特定算法生成动态密码,然后通知短信网关,短信网关通过运营商将密码发送给用户。最后用户输入短信密码并上传到认证服务器认证(具体流程如图所示)。

    短信密码认证流程

        目前短信动态密码面临的最大风险是被黑客获取,而整个流程中的每个环节均存在这种可能。根据各项技术与业务的发展情况,目前主要的泄露途径有以下几种。

        1、云服务

        许多公司向客户提供云服务,供客户上传数据至云端作为备份(一般在设备连接WiFi的情况下备份),可通过web方式进行查询、管理,并可以便捷地共享给其他设备。例如苹果公司的iCloud、小米云服务、QQ同步助手等。此时,黑客只要能登录云端,即可获取用户短信等数据。目前来看,这种机制存在一定风险。

        首先,提供云服务的网站以及业务逻辑可能存在安全缺陷,如存在漏洞或者为用户设定了默认密码。

        其次,许多用户安全意识不高,使用了弱密码;或是与其他网站使用了相同的账号和密码,黑客利用撞库攻击获取登录名和密码;或是个人信息泄露过多,黑客可通过密码重置、安全问题等方式获取密码。进入系统后,黑客不仅能将用户的短信内容一览无遗,还可以使用手机号和短信密码登录网站、进行支付交易,甚至可以在云端删除手机端数据,使用户难以察觉。

        2、短信仓库和短信转移

        运营商提供了许多增值服务,如短信仓库业务和短信转移业务。短信仓库业务将客户短信保存在运营商的数据库中(如图2所示)。短信转移业务将发给某个手机号码的短信转移到另外一个手机号码上。此类业务的初衷是为了方便用户,然而实际应用中也为黑客提供了机会。大部分运营商提供网站办理业务途径,所以与云服务类似,同样也面临着网站安全性、业务逻辑安全性不足、用户信息泄露的问题。黑客利用漏洞登录系统或是将短信转移号码设置为自己手机号后,可实时通过短信内容掌握客户动态,使用客户账号登录网站或进行网银交易,危害性甚至超过云服务系统被入侵。

    短信仓库

        3、恶意软件

        有监测数据显示,不同版本安卓系统获取root权限用户比例为5%-35%。由于用户设备获取root,权限比例较高,安卓应用市场管理不严格,一些用户因误装了恶意转件而导致相关短信被拦截甚至转发。这些软件往往通过钓鱼网站转播,并且针对银行或是第三方支付网站发出的短信,拦截用户收到的支付、转账验证短信,从而盗取资金(如图所示)。

    软件拦截短信

        4、伪基站和改号软件

        伪基站通过伪装成运营商的基站,任意冒用其他号码(如10086、95588等),向用户群发短信。改号软件也可实现此类功能。单独使用这类方法并不能获取用户的短信内容,它们通?;嵊氲鲇阃?、恶意软件等结合使用。

    短信诈骗

        在不改变短信密码作为认证手段的前提下,若想改善上述问题,可以从以下两个层面着手:

        国家层面,应加强对伪基站犯罪活动的打击;运营商应在推行新业务时,对安全性进行充分考量,对于敏感信息(如发现号码为6位的)不应进行存储和转发,云服务提供商也可采取类似策略;

        用户层面,提高安全意识,防范钓鱼网站、不安装未经认证的软件。同时,由于目前伪基站仅针对GSM,升级手机卡和设备可以有效避免受到伪基站影响。

  • 永不沉没的泰坦尼克号工程开工仪式举行(一) 2019-08-19
  • 今年回南天为何掉线了?这其实并不奇怪 2019-08-19
  • 政能亮政府服务,当好“店小二”而非“二大爷” 2019-08-16
  • 女性之声——全国妇联 2019-08-16
  • 人傻有人爱,人聪明有人恨,人愚笨有人笑,人痴有人关心,不是每个人的命运都一样的 2019-08-11
  • 人民的力量——一份大报,与一个大党、一个大国的故事 2019-08-05
  • 中华人民共和国建筑法 2019-08-05
  • 转方式调结构显现阶段性成果(读数·发现经济运行的轨迹) 2019-08-02
  • 一语惊坛(6月8日):友谊勋章是给国际友人的最高荣誉。 2019-08-02
  • 《红海行动》出征中美电影节 2019-07-28
  • 发挥自身优势 奋力走在前列——习近平总书记在山东考察回访记 2019-07-28
  • 民生时评:上海支付宝回收垃圾并不现实(原创首发) 2019-07-28
  • 俺发现你还真是踩云的人。找不到谱。 2019-07-28
  • 12306网站用户信息外泄?铁总深夜“辟谣” 2019-07-25
  • 端午节期间 拉萨至日喀则增开列车 2019-07-24
  • 青海11选5开奖查询 青海快35月10开奖结果 体彩有app qq游戏有十三水 22选5奖金 秒速时时彩计划网页 羽毛球馆外观 彩票开奖查询 20197星彩开奖视频 6合透码总部 黑龙江61走势图 国内彩票大奖排名 江苏11选5全单最大遗漏 七贵州十一选五开奖结果 云南快乐十分常规图表