建議

App及網(wǎng)站需提高短信驗(yàn)證碼安全系數(shù)

而針對網(wǎng)絡(luò)平臺(tái)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)也下發(fā)了一份《網(wǎng)絡(luò)安全實(shí)踐指南——應(yīng)對截獲短信驗(yàn)證碼實(shí)施網(wǎng)絡(luò)身份假冒攻擊的技術(shù)指引》，建議個(gè)各App、網(wǎng)站服務(wù)提供商對業(yè)務(wù)系統(tǒng)中短信驗(yàn)證碼的使用方式進(jìn)行摸底。例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗(yàn)證碼使用情況，并評估相關(guān)安全風(fēng)險(xiǎn)，優(yōu)化用戶身份驗(yàn)證措施。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)建議的方式包括：短信上行驗(yàn)證、語音通話傳輸驗(yàn)證碼、常用設(shè)備綁定、生物特征識(shí)別、動(dòng)態(tài)選擇驗(yàn)證方式等。

如短信上行驗(yàn)證具體是：提供由用戶主動(dòng)發(fā)送短信用以驗(yàn)證身份的功能，如要求用戶在規(guī)定時(shí)間內(nèi)(如 60 秒)，使用已綁定的手機(jī)號(hào)碼向移動(dòng)應(yīng)用、網(wǎng)站服務(wù)提供商指定的短信服務(wù)號(hào)碼發(fā)送指定內(nèi)容短信，移動(dòng)應(yīng)用、網(wǎng)站服務(wù)根據(jù)短信內(nèi)容對用戶身份進(jìn)行驗(yàn)證。常用設(shè)備綁定為：提供將用戶賬號(hào)與常用設(shè)備綁定的功能，原則上支付、轉(zhuǎn)賬等敏感操作只能通過該綁定設(shè)備執(zhí)行。設(shè)備綁定、更換等操作應(yīng)采用短信上行驗(yàn)證、語音通話傳輸驗(yàn)證碼等方式，并采用諸如要求用戶回答預(yù)設(shè)問題、提供注冊時(shí)填寫的相關(guān)用戶信息或核對該用戶賬號(hào)近期操作記錄等方法進(jìn)一步確認(rèn)用戶身份。

文/本報(bào)記者 溫婧