短信驗(yàn)證碼再曝重大安全漏洞，外媒：還是蘋(píng)果雙重驗(yàn)證安全

IT之家11月17日消息 日前TechCrunch報(bào)道了一起通信服務(wù)公司VoxOx的重大數(shù)據(jù)泄漏事件，由于一個(gè)重大安全漏洞，數(shù)以千萬(wàn)計(jì)算的短信數(shù)據(jù)遭到泄露，這其中就不乏密碼重置鏈接、雙重驗(yàn)證代碼、送貨通知等。外媒9to5mac認(rèn)為，這起事件凸顯了蘋(píng)果雙重驗(yàn)證舉措的安全性。

VoxOx是一家位于圣地亞哥的通信公司。這家公司的服務(wù)器缺乏密碼保護(hù)，給了他人幾乎能窺探實(shí)時(shí)短信流的機(jī)會(huì)。數(shù)據(jù)顯示，VoxOx的服務(wù)器上已有超過(guò)2600萬(wàn)條短信。調(diào)查人員在泄露出的短信數(shù)據(jù)中發(fā)現(xiàn)了booking.com、谷歌和至少兩家金融服務(wù)公司的2FA（雙重驗(yàn)證）代碼。

短信驗(yàn)證碼的弊端

通過(guò)短信接收驗(yàn)證碼，是國(guó)內(nèi)外用戶常用的一種雙重驗(yàn)證途徑。但是9to5mac指出，短信本身的SMS（短信息服務(wù)）不是一個(gè)非常安全的協(xié)議，承載短信傳輸?shù)钠咛?hào)信令系統(tǒng)（SS7，Signaling System Number 7）中存在許多已知的漏洞。對(duì)于短信本身，其文本消息經(jīng)常以純文本形式進(jìn)行傳送（運(yùn)營(yíng)商可以選擇使用加密，但通常不會(huì)）。 而SMS是一種“存儲(chǔ)-轉(zhuǎn)發(fā)”系統(tǒng)，短信在收發(fā)的行程中，會(huì)有多個(gè)節(jié)點(diǎn)是存儲(chǔ)在系統(tǒng)上的。因此，短信的安全也就寄托在了負(fù)責(zé)存儲(chǔ)的公司身上。

簡(jiǎn)而言之，傳統(tǒng)的短信驗(yàn)證碼作為一種雙重驗(yàn)證的手段，存在著重大的缺陷。

蘋(píng)果是怎么做的呢？

蘋(píng)果確實(shí)提供了短信代碼選項(xiàng)，為了應(yīng)對(duì)只有一個(gè)蘋(píng)果設(shè)備的用戶需求。蘋(píng)果公司處理相關(guān)問(wèn)題的方法主要是通過(guò)“可信設(shè)備”這一概念。當(dāng)用戶將Apple ID與設(shè)備關(guān)聯(lián)時(shí)，該設(shè)備則會(huì)被蘋(píng)果公司視為“可信設(shè)備”。每當(dāng)其他設(shè)備處理一次登錄請(qǐng)求的時(shí)候，這一設(shè)備就會(huì)顯示出六位數(shù)的雙重驗(yàn)證代碼。

因此，蘋(píng)果的方法似乎要更勝一籌。在蘋(píng)果的體系中，這一驗(yàn)證系統(tǒng)由蘋(píng)果采用，蘋(píng)果能完全掌控其安全協(xié)議。代碼是以加密形式推送到設(shè)備上的，同時(shí)，蘋(píng)果也為每個(gè)可信設(shè)備使用唯一的加密種子（seed）。

唯一的加密種子還意味著，用戶可以隨時(shí)從可信設(shè)備列表中刪除某一設(shè)備，這之后它將不再獲得授權(quán)接收雙重驗(yàn)證代碼。因此，蘋(píng)果的這一體系也比其他使用共享種子密鑰的身份驗(yàn)證器應(yīng)用更好。

蘋(píng)果基于設(shè)備的雙重驗(yàn)證系統(tǒng)對(duì)用戶來(lái)說(shuō)也更友好。與短信不同，這一系統(tǒng)不需要用戶連接到移動(dòng)數(shù)據(jù)，WiFi環(huán)境下也可以工作，推送代碼到達(dá)得也很快。相比之下，短信驗(yàn)證碼有時(shí)會(huì)延遲幾分鐘、幾小時(shí)甚至無(wú)法到達(dá)。

因此，若你正在使用蘋(píng)果設(shè)備，通過(guò)雙重認(rèn)證方式保護(hù)Apple ID，是一個(gè)值得考慮的選擇。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。