专家：第三方互联网支付公司普遍用短信验证码 便捷但不安全

本篇文章1881字，读完约5分钟

4月13日，上海市信息安全行业协会在市经济和信息化委员会的指导下，召开了“银行卡信息安全闭门会议”，研究针对常见窃取银行卡信息手段的防范措施。

据信息安全专家介绍，许多第三方互联网支付公司广泛使用短信验证码，但短信的安全级别不高，容易受到木马拦截、网络钓鱼、电信欺诈和渠道窃听等攻击。

短信验证码安全级别不高

上海信息安全产业协会会长谭剑锋表示，从商业密码学本身来看，世界上任何认证方法都没有破解算法攻击的案例，这是应用过程中产生的攻击漏洞。例如，u盾认证以前已被国内银行广泛使用，但u盾可能被电脑木马劫持。

“反病毒软件只能杀死已知的病毒，许多特洛伊木马是为特定目标定制的，即使反病毒软件也不能杀死它们。只要你的电脑里有木马，它就会被远程控制，而肇事者可以把u盾里的数字证书转移给自己。”谭剑锋说。

他还表示，包括手机银行在内的许多第三方互联网支付公司开始广泛使用动态手机验证码，而短信验证码因其便捷性和覆盖面广，已成为最重要的移动支付认证手段。然而，短信作为通信方式的一种固有属性，决定了其安全级别不高，容易受到木马拦截、网络钓鱼、电信欺诈和频道窃听等攻击。然而，在移动互联网场景中，诸如usbkey和otp Token等安全性较高的硬件认证设备，由于携带不便、操作复杂、兼容性差等原因，并未被用户所接受，最终导致了“安全而未用、方便而不安全”的尴尬局面。

谭剑锋表示，在现实生活中，有犯罪分子通过电子商务平台购买电信运营商提供的usim卡，即传统意义上的空卡，然后通过短信指令向电信运营商发送换卡申请，运营商将向用户使用的手机发送验证码。在此之前，犯罪分子已经用他们自己的伪基站向用户发送了网络钓鱼消息，谎称用户刚刚订阅了某个订阅栏，如果他们想取消订阅，他们必须回复收到的验证码。此时，相当多的用户会相信它，并将验证码回复给罪犯。然后，使用获得的验证码，完成空的换卡功能，罪犯手中的空卡成功转换成用户的手机号码，而用户手中的手机号码变成空.此时，用户的手机不能收发短信和打电话，但用户会错误地认为他的信号可能不好。在这么短的时间内，犯罪分子可以用手中的sim卡窃取用户的账户和密码，因为相当多的网站提供了登录手机号码和检索密码的功能。"这种损失可能会使用户破产."谭剑锋说。

建议对互联网身份认证进行统一管理

谭剑锋表示，国内第三方互联网公司将要求用户进行实名认证。进行身份验证时，用户通常需要输入他们的姓名、身份证号码和银行卡号码。这些信息会在一些非标准网站上流出，甚至在黑市上低价出售。“现在有很多数据是从互联网公司非法获得的，比例高达80%。”谭剑锋说。

对此，某银行信息安全部门负责人承认，第三方支付对银行影响很大，导致银行不得不跟进并提高其便利性，同时安全性也有不同程度的下降。

据负责人介绍，第三方的快速支付方式很多，银行没有控制权。只要在签订合同时能够对卡号和身份证进行验证，就可以通过银行预留的手机接收验证码，开启第三方支付。即使是现在，银行本身也必须尽一切努力发展快速支付。过去，网上银行的登录和转账必须通过u盾。现在，各大银行的手机银行只能用手机动态验证码来转账。“这真的不够安全，但是很方便。对于用户的需求，我们别无选择。”负责人说。

会议期间，信息安全专家建议从法律角度完善相关法律法规，从根本上保护个人隐私，并敦促企业在收集和利用用户信息的同时，加强对信息和数据的保护。在享受互联网带来的便利的同时，公众也应该保护自己的信息，如不清晰的链接和分级密码管理。

专家还建议，互联网公司不应通过信用卡、银行卡、身份证、手机等直接认证自己的真实姓名。身份认证的数据应该由一个统一的部门管理，用户可以在认证后获得一个唯一的id，然后通过ID在互联网公司开户。此时，互联网公司的实名认证只需要通过该认证获得的id，而不需要太多其他信息来保证安全性。

同时，专家也呼吁不要在互联网上使用生物认证。生物统计学代表独特性和不可更新性。简而言之，密码即使丢失也可以更改，而且生物特征信息不可能被窃取。您也可以使用国内最新的sotp技术来融合密钥和算法，解决在移动设备中存储密钥的关键问题，无需硬件认证设备，依靠网络，也无需短信，从而实现安全性和便捷性之间的平衡。

[免责声明]本文仅代表作者自己的观点，与金融行业无关。所有来自非金融网络的新闻(作品)只代表这个网络传播新闻，这并不意味着他们同意自己的观点。财务部门对文本中的陈述和意见持中立态度，并不对所含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请参考读者仅供参考，并承担全部责任。