驗(yàn)證碼能保證真的安全嗎？

這年頭，無(wú)論支付、注冊(cè)、還是登錄各種端口，哪怕是保障用戶(hù)安全的諸多舉措……驗(yàn)證碼的“參與”已經(jīng)成為必不可少”！可是……細(xì)數(shù)下來(lái)，這些年驗(yàn)證碼給我們挖的坑也挺多！這不，最近就爆出一條新聞。有不法人士利用短信攔截設(shè)備非法獲取手機(jī)號(hào)以及驗(yàn)證碼，然后轉(zhuǎn)移卡內(nèi)資金或者下單消費(fèi)，竟然成功十余起，直接造成被害人資金損失幾百元以及近萬(wàn)元不等。額……有點(diǎn)兒無(wú)法用語(yǔ)言來(lái)形容的趕腳！

話(huà)說(shuō)，就算你的驗(yàn)證碼沒(méi)有被有心人攔截，難道就能保證在驚悚的60秒過(guò)后，彼此相安無(wú)事了嗎？答案顯然是不能！這時(shí)候小編就要吐槽下自己的親身經(jīng)歷了。過(guò)節(jié)發(fā)紅包本是司空見(jiàn)慣的娛樂(lè)項(xiàng)目，不但可以小小的填充微信錢(qián)包，還能活躍節(jié)日氣氛。這不，小編剛要拿起手機(jī)準(zhǔn)備發(fā)紅包，結(jié)果……第一遍操作輸入不太成功，那就按照指令繼續(xù)操作唄，沒(méi)想到涉及金額有點(diǎn)兒大，一條短信驗(yàn)證碼“如約而至”……其實(shí)，無(wú)論是發(fā)紅包還是部分APP購(gòu)物付款，因?yàn)榻壎藗€(gè)人的銀行卡或者支付寶等，短信驗(yàn)證碼確實(shí)可以幫助保護(hù)一下下個(gè)人財(cái)產(chǎn)安全?？墒沁@條關(guān)鍵的驗(yàn)證碼短信是否可以按時(shí)收到呢？60秒的有效時(shí)間內(nèi)，不是半天收不到，就是一等就等好幾個(gè)60秒……太心塞的節(jié)奏！如果趕上過(guò)節(jié)秒殺搶購(gòu)商品，或者搶位置訂票看電影的話(huà)，那真是怎一個(gè)“急”字了得?有人會(huì)說(shuō)，短信驗(yàn)證碼還是比較容易收到的，小編想說(shuō)，就算如期收到驗(yàn)證碼，你以為在60秒的等待過(guò)程中就沒(méi)事兒發(fā)生嗎？據(jù)了解，通常釣魚(yú)網(wǎng)站會(huì)與一些被熱門(mén)使用的軟件進(jìn)行捆綁設(shè)置。當(dāng)用戶(hù)下載完某個(gè)被“無(wú)辜”捆綁的APP后，在接受短信驗(yàn)證碼的60秒等待中，木馬病毒會(huì)選擇性攔截包含驗(yàn)證碼的短信，然后就是妥妥的重置賬戶(hù)密碼以及篡改個(gè)人信息等操作，這個(gè)過(guò)程熟練到就像文章開(kāi)頭發(fā)生的新聞一樣一樣的。此外還有一種可能性。當(dāng)不法分子攔截短信成功后，很有可能會(huì)將自己偽裝成電商客服甚至是警方，然后就會(huì)出現(xiàn)一系列針對(duì)訂單退款需要回復(fù)短信驗(yàn)證碼，或者因?yàn)橹卮蠼?jīng)濟(jì)案件需要填補(bǔ)損失金額等套路……

然后……大家都懂的！如果一旦相信了這些別有用心的花言巧語(yǔ)，你的資產(chǎn)也就徹底不是你的資產(chǎn)了……滿(mǎn)臉的悲催！

當(dāng)然不排除會(huì)有一些比較嚴(yán)謹(jǐn)?shù)钠脚_(tái)服務(wù)，采用語(yǔ)音驗(yàn)證碼的方式，可是畢竟騙子歷來(lái)都是防不勝防，要是監(jiān)聽(tīng)下驗(yàn)證碼也還是比較隨意的事兒！

所以這么分析來(lái)看，看似安全的語(yǔ)音驗(yàn)證碼也是不夠“靠譜”的！小編此時(shí)真想大聲說(shuō)一句：驗(yàn)證碼帶來(lái)的坑坑，請(qǐng)跟我果斷說(shuō)“再見(jiàn)”！既然短信and語(yǔ)音驗(yàn)證碼這么多坑，那其他類(lèi)型的驗(yàn)證碼的體驗(yàn)就一定好嗎？

現(xiàn)在市面上出現(xiàn)的驗(yàn)證碼有好幾種，最常見(jiàn)的當(dāng)屬隨機(jī)的數(shù)字或者字母，例如：

但通常我們遇到是這個(gè)版本！

數(shù)字、字母的很隨機(jī)但已經(jīng)變形到“它認(rèn)識(shí)我，我不認(rèn)識(shí)它”的程度……這樣下去不但騙子看不懂，就連我也看不懂了！除了常規(guī)的“數(shù)字+字母”組合的驗(yàn)證碼外，還有一種驗(yàn)證碼也招來(lái)了大眾版的吐槽，例如：

還有這種類(lèi)型的……

簡(jiǎn)直是無(wú)法愉快的玩耍。圖片太相似，根本傻傻分不清，用于防止批量注冊(cè)的驗(yàn)證碼，人眼看起來(lái)都費(fèi)勁，何況是機(jī)器？當(dāng)然不排除還有一些類(lèi)型的驗(yàn)證碼，例如種類(lèi)繁多，不容易被惡意識(shí)別的折疊Gif動(dòng)畫(huà)驗(yàn)證碼、普及率不是很高的視頻驗(yàn)驗(yàn)證碼、有趣的行為驗(yàn)證碼以及可以給網(wǎng)站增加額外收入的廣告驗(yàn)證碼等，確實(shí)為驗(yàn)證碼自帶的“防御功能”增加了點(diǎn)兒力量，不過(guò)由于現(xiàn)實(shí)原因以及技術(shù)水平還有待于深入探討。目前到底哪些情況會(huì)蹦出惱人的驗(yàn)證碼呢？其實(shí)最初，有的網(wǎng)站或者移動(dòng)端會(huì)采取設(shè)置“次數(shù)限制”的方式來(lái)保障入口的安全。例如，用戶(hù)輸入三次錯(cuò)誤密碼之后會(huì)導(dǎo)致賬號(hào)在一定時(shí)間內(nèi)被鎖定且禁止登陸；或者在規(guī)定時(shí)間內(nèi)進(jìn)行次數(shù)限制用來(lái)規(guī)范某種行為，例如24小時(shí)等。后來(lái)由于此類(lèi)操作并不能給用戶(hù)帶來(lái)較好的體驗(yàn)，甚至還讓不法分子有機(jī)可乘。比如可能會(huì)出現(xiàn)用戶(hù)真的忘記了預(yù)設(shè)密碼，限制登錄之后造成人員流失；不法分子故意試錯(cuò)影響正常用戶(hù)的合法操作；以及采用多個(gè)賬號(hào)操作，用來(lái)突破單一賬號(hào)登錄次數(shù)限制等。其實(shí)應(yīng)對(duì)這一系列的問(wèn)題，最關(guān)鍵的一點(diǎn)就是要識(shí)別出行為操作的是人還是機(jī)器，如果是人，是不是那個(gè)應(yīng)該進(jìn)行操作的“人”！

這樣分析，其實(shí)在任何可能影響用戶(hù)體驗(yàn)或者造成接入平臺(tái)損失的地方都需要驗(yàn)證碼進(jìn)行二次校驗(yàn)。所以目前，驗(yàn)證碼主要會(huì)出現(xiàn)在注冊(cè)、登錄、找回密碼以及修改賬號(hào)中重要的個(gè)人信息等涉及個(gè)人隱私的范疇；還有最最重要的一個(gè)環(huán)節(jié)就是支付！畢竟關(guān)乎財(cái)產(chǎn)安全，多驗(yàn)證幾次也是理所應(yīng)當(dāng)?shù)摹Ｔ?huà)說(shuō)回來(lái)，驗(yàn)證的安全系數(shù)究竟有多高?談到這一點(diǎn)小編就要心塞塞一會(huì)兒了！

最近有專(zhuān)業(yè)的安全技術(shù)團(tuán)隊(duì)爆出猛料，其實(shí)手機(jī)移動(dòng)網(wǎng)絡(luò)中的漏洞是完全可以被用來(lái)攔截短信中的一次性雙因素認(rèn)證令牌，也就是人們熟知的驗(yàn)證碼。按照實(shí)際情況來(lái)看，更令人擔(dān)憂(yōu)的是，通常短信驗(yàn)證碼并不是只發(fā)送一次，因?yàn)檫@種驗(yàn)證方式最方便、通用性最強(qiáng)悍，對(duì)于敏感賬戶(hù)，如果被劫持，風(fēng)險(xiǎn)太大了，所以運(yùn)營(yíng)商需要提請(qǐng)注意哇！不過(guò)有消息稱(chēng)，似乎銀行正在著力解決這個(gè)問(wèn)題，尋求既安全還能夠保證可用性的好辦法。例如開(kāi)發(fā)個(gè)什么應(yīng)用程序或者提供關(guān)于個(gè)人身份的便攜驗(yàn)證，再或者是其他的有效發(fā)明等。短信驗(yàn)證不安全，那圖形呢？小編遺憾的告訴大家，隨著人工智能技術(shù)的發(fā)展，圖形驗(yàn)證碼也不再有安全可言了。這一切都要?dú)w功于深度學(xué)習(xí)技術(shù)在圖像處理上表現(xiàn)的如此強(qiáng)大。過(guò)去，為了防止重要信息被竊取，圖片驗(yàn)證碼都增加了背景干擾或者字體多樣化的設(shè)置等，其實(shí)就是為了提升被破解的難度段位。但這種設(shè)計(jì)僅僅著眼在圖像上，如果利用現(xiàn)在風(fēng)靡的卷積神經(jīng)網(wǎng)絡(luò)，也就是CNN技術(shù)，破解也就是分分鐘的事兒。有人會(huì)問(wèn)，CNN技術(shù)要實(shí)踐還需要帶標(biāo)記的數(shù)據(jù)吧？哪有那么多數(shù)據(jù)用于訓(xùn)練？說(shuō)到這個(gè)可就厲害了。據(jù)小編了解，關(guān)于帶標(biāo)記的數(shù)據(jù)，其獲取方式的成本還是很便宜的。網(wǎng)上有很多提供 “人工”打碼服務(wù)的服務(wù)商，基本上也就是幾分錢(qián)一張吧！真是聽(tīng)的“驚心動(dòng)魄”！驗(yàn)證碼的世界實(shí)在太復(fù)雜，能不能來(lái)點(diǎn)兒簡(jiǎn)單的？作為交互安全的重要環(huán)節(jié)之一，驗(yàn)證碼保證安全是剛需，但如果做不到“零打擾、無(wú)感覺(jué)”的話(huà)，還是……請(qǐng)問(wèn)地球人何時(shí)消滅驗(yàn)證碼？小編翹首期盼ing。沒(méi)有驗(yàn)證碼，真的可以嗎？這不，中國(guó)移動(dòng)就推出了一款便利的移動(dòng)認(rèn)證技術(shù)。旗下的一鍵登錄廣泛面向APP，不用注冊(cè)，無(wú)需鍵入密碼，手指動(dòng)一動(dòng)即可獲得授權(quán)，那叫一個(gè)便捷。

更重要的一點(diǎn)，整個(gè)過(guò)程不存在賬號(hào)密碼泄露的隱患，安全性能杠杠的，畢竟現(xiàn)在的手機(jī)號(hào)已經(jīng)可以高效代表了每個(gè)用戶(hù)的基本信息。

這項(xiàng)新發(fā)明目前已經(jīng)聯(lián)手多家企業(yè)，例如愛(ài)奇藝、獵豹清理大師、同花順炒股票等。要想體驗(yàn)無(wú)感登錄，快來(lái)了解更多吧！