2015 年開始，中國互聯網開始流行起使用短信驗證碼的方式進行用戶鑒權。短信驗證碼已經成為了中國互聯網的「標配」，甚至和其他國民級應用配合后，它幾乎已經完成了中國互聯網和國際互聯網分道揚鑣的歷史性轉折：在中國本土使用的人非城垛，但對于非中國大陸的用戶服務幾乎無法使用。

雖然被大范圍使用，但與大部分人的認知不同，短信驗證碼其實并不能提供更好的安全性。因為如果「服務商 —— 短信服務商 —— 運營商」的鏈路中任何一個環節若未使用工業級標準進行加密傳輸，或無法保證實施前向安全?(Forward Secrecy)，那么整個鏈路是不可信任的。如果短信服務商若沒有良好的安全意識，別有用心的人在此處潛伏，就會竊取驗證碼。簡單的說，由于一般的短信傳輸路徑存在過多的薄弱之處，其安全性是值得懷疑的。

?

使用短信驗證碼除了有安全性問題之外，還存在著個人信息泄露的極大風險。可能由于攜號轉網并未達成，頻繁更換手機號已成為了一種常見行為。更換手機號帶來的問題則是原有的號碼所有者經常忘記取消手機號與賬戶的綁定，不少服務甚至無法更換號碼綁定。因此，一旦號碼被再次循環利用，存心不良的攻擊者可以利用此問題針對防護不佳的平臺作出攻擊，以取得用戶資料。有些情況下，甚至可以取得足夠多的資料，進行身份盜竊?(identity theft)。

短信驗證碼對用戶隱私有很大威脅，泄露造成實際損失的例子也海內外皆有。

從用戶體驗的角度出發，任何一個產品都應需要最少代價完成「登錄」以及合規性的要求，并盡可能少的將用戶暴露在風險面之下。除了短信驗證，作為身份驗證的方式可能還有什么呢？我們有什么選項？伴隨著5G的到來，一種更安全更快捷的驗證方式也閃亮登場，這就是“一鍵免密登錄”。所謂本機號碼一鍵免密登錄就是通過運營商特有的網關認證能力，驗證待校驗手機號碼和應用所在的手機號碼一致性，從而達到和短信驗證碼登錄一樣驗證用戶身份的作用。

與傳統的登錄形式相比，免密登錄的安全指數更高，對于用戶的信息保護更好。技術角度看， 5G的普及，在技術上給免密登錄提供了更多的可能性。

是時候對短信驗證碼說再見了，可以預見，隨著用戶的安全快捷登錄需求的放大，以及企業服務用戶登錄體驗意識的增強，“一步到位”的免密認證會逐漸成為一種常態。

?

總結

以上是生活随笔為你收集整理的工信部发文启动2019网络安全防护赛，是时候对短信验证码说再见了的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。