导读:现在不管是网站或App注册、登陆、绑定、解封,都逐渐的抛弃掉了传统的邮箱、账号、密码等验证方式,大范围的使用短信验证,首先短信验证可以减少了注册和登录花费的时间,也尽可能的避免密码等信息的泄漏,那么验证码真的这么安全吗?验证码还有其他的技能吗?本期文章小君就聊一下手机验证码的那些事,我们接着往下看!
短信轰炸机原理
首先我们先说一下最常见的手机短信轰炸机原理,手机短信轰炸机在前几年那是非常的流行,以至于网上购物不给好评炸一下,欠钱不还炸一下,恶意竞争再炸一下,一个小小的软件能通过大量垃圾短信让手机瞬间死机,那么它是怎么做的呢?相信大家都已经猜到了,对,就是手机验证码。企业网站和App发送验证码都有一个专门的接口,而这个接口一旦泄露,就可以随意给任何手机发送验证码,如果这类的接口数量达到一个量级,通过代码统一发送,那就是名副其实的手机短信轰炸机。
手机验证码安全
在网络安全界有一句名言,叫“互联网没有绝对的安全”,后来还出了一部非常出名的电影叫“我是谁:没有绝对安全的系统”,这句话对于互联网开发行业来说最能体现,每一个研发的团队和个人在技术上参差不齐,这就导致产品在安全上也各有不同,随着注册和登录的方式逐渐转化为短信验证,相应的验证码漏洞也就出现了。我们简单地举几个关于验证码漏洞的例子。
1、使用任意人的手机号进行注册,正常的认知中,我们用自己的手机号注册,然后接收到手机验证码,填写之后就完成了注册,但是很大一部分网站并没有进行手机与验证码的捆绑验证,漏洞就这样出现了,当我们在注册页面填写了自己的手机号,然后点击获取验证码,这个时候,手机号码这一项就不允许修改了,但是如果我们把这个页面刷新或者是关闭重新打开,然后随意的填写任何一个人的手机号码,验证码这一栏输入刚才我们收到的手机验证码,点击注册,这个时候你会发现,我们用别人的手机号成功的注册了账号。
2、用自己的验证码修改别人的密码,跟上面的原理差不多,一般验证码的有效期都在五分钟内,我们先打开注册页面,如果注册了的话选择登陆页面,然后填写我们自己的手机号,获取到手机验证码,这个时候把当前页面关掉,打开修改(找回)密码这个链接,输入你要找回的手机号,这个手机号就是网站当中已经注册过的任意号码,验证码这一项就填写刚才用自己手机接收的验证码,就成功的绕过了防护机制并能成功修改别人的密码。
3、验证码诈骗,验证码诈骗是通过一些新型技术,可实时获取用户手机短信内容,进而利用各大知名银行、网站、移动支付APP存在的技术漏洞和缺陷,实现信息窃取、资金盗刷和网络诈骗等犯罪行为。他们使用了一种类似于以往发送骚扰短信的“伪基站”的GSM窃听设备,通过软件无线电设备,干扰一定范围内的3G、4G手机信号,迫使移动或联通手机通过2G GSM来通信;并配合OsmocomBB等能够破解GSM加密的软件,来实现GSM窃听,窃取范围内所有手机终端通过GSM收发的短信息,当然这种技术也在不断升级当中,具体的操作模式小君也并不能了解全部。
看到这里大家是不是对手机验证码的安全和作用有所了解了,其实现实中这类关于手机验证码的问题还有很多,小君会在后期的一些文章中继续介绍,那我们应该怎么保护自己的验证码呢?
如何保护自己的手机验证码
1、手机信号设置。中国移动的手机号码开通VoLTE,尽量选择“仅使用4G”;中国联通的手机号码选择“仅使用3G、4G”;而中国电信的手机号码,应开通VoLTE。
2、电话卡密码设置。很多人会忽略自己电话卡的密码,甚至很多人都不清楚手机卡有密码一说,手机号必须设置服务密码,服务密码切记不要与常用账户密码、支付密码相同。
3、双号分离。养成工作和家庭手机号分离的习惯,重要账号用家庭号码注册,不要用于像快递、外卖收货等,收到谋生号码索要反馈验证码行为一定要警惕、并且要拒绝回发。
4、双重验证。在一些网站、App注册中一定要进入后台之后对个人账号进行密码双重保护,不要仅使用手机短信验证码一层保护。
感谢阅读全文,喜欢小君文章的小伙伴欢迎关注我的账号,点赞、转发,我们下期再见!
关键词:一个短信就能改你密码(发短信改密码)