在详细讲述通过5个基础方法构建低成本、高效、准确的登录性认证体系之前,有必要先梳理一下当今4个最严重的安全漏洞。
是否能有效修补这4个最严重的安全漏洞,将成为检验5个基础方法的是否有效的重要检验指标。
一)1号安全漏洞:专有号码登录法
现在越来越多的网站,将个人的专有号码作为登录账号来使用。
如银行的网银普遍提供以身份证号码作为账号的登录方式。商业网站普遍提供绑定了账号的电话号码作为登录账号的登录方式。这看似为“健忘”用户(账号太多,哪个网站上的账号是哪个记不住)提供便利的“贴心”设计,在为“健忘”提供方便和便利的同时,成为了一个安全漏洞并成就了以下几种攻击手段得以有效实施。
攻击手段1)用身份证或电话号码作为探针探测在某个网站上该身份证或电话号码是否开户?
攻击手段2)用在其他网站上获得的某个身份证或电话号码所对应的登录密码,尝试者登录,这也就是俗称的撞库式攻击。
攻击手段3)对用输入错误密码的方式对某个身份证号码或电话号码的账号进行阻断式攻击。
如果这个安全漏洞不进行有效的修补,相信在不久的将来(估计现在已经有人这么开始干了)我们将会看到用“人工智能+大数据”这两项最潮流的技术对某人在什么网站开设了账号、在什么网站没有开设账号等等成果在网上叫卖。
二)2号安全漏洞:验证短信
验证短信的验证方法,基本上成为对安全等级稍有要求的网络应用的必选验证方法。但验证短信在一个小小的盗号病毒面前,毫无防守之力。被盗号病毒攻破的账号岂止千万。
当一个手机中了盗号病毒后,从理论上讲,该手机机主的所有账号对该盗号病毒的控制着而言,已经是门户大开。同时,该手机也有可能成为攻击他人账号的一个工具。
因一个盗号病毒,机主所有的银行卡惨遭血洗的案件,也不是没有发生。
三)3号安全漏洞:银行卡的非法交易
在现行的法律、法规下,银行卡只能为开设银行卡的公民所拥有和使用,禁止买卖。但在网上,叫卖开设了网银的银行卡,已经是一个公开、半公开的生意。同时,在所有的网络诈骗案中,必然也有做为作案工具的案外人的银行卡。
四)4号安全漏洞:APP上的手机失控时必然出现的安全漏洞。
现在越来越多的应用被搬到智能手机上。而这些搬上手机的应用,直接、间接、或多、或少都同机主的财物有关联。这样手机一旦失控(如被偷、被抢、没做适当处理就当二手机交易出去),则原机主在手机上的财物就处于种危险的状态。
下面图1-图5,分别为支付宝、微信、兴业银行、浦发银行、华夏银行在模拟的失控状态下(手机无卡)完成登录的状态截屏。
从本人的实验结果看,本人认为支付宝、微信的安全漏洞更大一些。因为本人分别在不是支付宝、微信账号绑定的电话号码的手机上完成了支付宝和微信的登录。
在非支付宝账号绑定的手机上,完成了几乎所有的同钱有关的操作。这些操作包括:支付、转账、抢红包、花呗还款、绑定银行卡等等操作。
在无卡状态下完成的微信登录后,进行传输图片、信息也没有任何的问题。
支付宝、微信是两家影响力、使用范围最大的两个应用,而这两个应用同钱直接相关。手机银行是今天银行系统的标配产品,且就是百姓随身携带的钱罐子。这些应用尚且有如此的安全漏洞,估计相当多的其他APP也必有4号安全漏洞吧。
图1 支付宝无SIM卡登录截屏
图2 微信无SIM卡登录截屏
图3 兴业银行手机银行无SIM卡登录截屏
图4 浦发银行手机银行无SIM卡登录截屏
图5 华夏银行手机银行无SIM卡登录截屏