登錄一些綁定手機號碼的賬戶時,你會輸入一長串複雜難記的密碼,還是選擇手機短信驗證登陸呢?相信很大一部分人會選擇後者,簡單便捷還不用費腦子特意去記密碼。時間上這種方法就得追溯到15年年底,雖然是哪家公司率先引起的短信驗證浪潮,但自那之後,短信驗證幾乎成了中國網絡驗證的主流,與眾多全民性應用結合之後,對於國民來說雖然超級簡單方便易使用,但卻給非中國國籍居民帶來很大麻煩,幾乎使中國互聯網脫離了國際互聯網。
雖然方便,但是與我們想象中的安全卻有很大差距,在給我們帶來便捷的同時,也帶來安全性能太低的負面影響。如果服務商和短信服務上,以及運營商之間任何一個環節進行加密傳輸時,沒有達到工業級標準,那整個驗證流程就是建立在不安全和不可信任上的。一些違法的人會趁著短信服務商安全意識薄弱之際,潛伏竊取驗證碼進行各種不正當行為。短信驗證的使用除了其本身存在的安全問題外,還隱藏著最大的隱患——我們個人信息的洩露,比如選擇優惠更多的新運營商,在攜號轉網沒成功或者頻繁更換手機號,但是原先綁定的賬號未能及時解除綁定,就會給一些以此獲取不正當利益的人留下犯罪機會,在被他們獲得用戶資料後甚至會造成直接的財產損失。很多從事出售個人信息的公司被披露出來的就有很多,更不必說那些尚未被揭發出來的,就是因為這些,那些推銷電話、騷擾電話、垃圾短信才源源不斷送進你的手機,而這一切的源頭之一就是短信驗證時個人信息遭到了洩露。而短信驗證遭到經濟損失的案例比比皆是,近期豆瓣“獨釣寒江雪”用戶因為短信驗證漏洞損失數千元的事件,再次給我們敲醒警鐘。
對用戶來說,應該儘可能少的把個人信息透露給第三方公司,對公司來說,應該確保用戶以最簡單安全的方式登錄,雖然短信驗證已經讓很多人習以為常,但對於這種漏洞百出的驗證方法確實應該被更安全的方式取代,不合理方案的結果應該是被淘汰,而不是成為習慣溫水的青蛙。