即使是大公司,这方面的管理也未必会更规范。我知道的实际案例,其中一个就是待在四楼的老板,开会过程中随手回复二楼财务的验证码请求,然后账上就被划走了80万。事件后,反省和分析是必不可少的:
-
为什么不等会议结束了,再处理验证码的事情? -
就在楼下,财务上楼来,老板下楼去,很难么? -
为什么要用老板的手机注册这些事务性的账号? -
为什么不关注财务当时的个人状态?明知道他要离职了,还这么信任他? -
为什么不对财务人员做信息安全培训,让他能够识别系统反应的异常? -
短信验证码绝对不能告诉别人,不能有侥幸心理! -
……
至于为什么总是会忽视“不要把验证码发给别人”的警告,原因似乎也并不难找:
-
很多正式的,商务或政府的平台,并不提供机构账号的注册,只能以个人身份代办机构业务。 -
当账号数量太多,登录验证形式太多时,建立起完善的管理机制其实是一个成本和能力水平要求都很高的问题。即使是大公司,也未必能做好。 -
法人或者老板是很忙的,分身乏术。 -
老人或小孩不能顺利完成手机验证码这种复杂度的身份验证过程。 -
……
每当我面对“短信验证码为什么不能告诉别人”的时候,我的回答一般包括:
-
短信验证码告诉别人,有很大的安全隐患。运气不好,就有可能倒大霉。 -
如果不得不把验证码告诉别人,一定要在当时做到如下几点: -
确认的确有一个事情需要验证码。不论多忙,跟对方打个电话,口头确认一下是什么事,为什么需要验证码,是不是当时就需要。 -
电话中可以通过声音确认对方身份。如果实在不熟,可以微信或钉钉上问对方一个能确认身份的问题。 -
如果是在企业里,可以采用更加专业的管理方案。比如说考虑使用专用手机来注册各种账号,并交给专人管理。
就短信验证码而言,理解如下几点,并不需要深刻的技术:
-
攻击的一种方式是群发和拼概率。而我们总是有疏忽和脆弱的时候,一时倒霉,我们成为骗子眼里的万分之五。 -
攻击的另一种可能是伪造虚假的请求信息。比如你以为微信上问你要验证码的是会计,其实不是,可能只是骗子使用了会计的头像。 -
如果不得不把验证码发给别人,关键是提醒自己要A. 清醒一点,既然知道验证码高危,就看明白验证码的用处。B. 借助第二个渠道确认对方身份和事由。C. 拒绝所有含糊不清的说法,来历不明的要求。 -
把“不要发给别人”作为某种免责的方式是可以接受的。但在产品设计、安全功能、解决方案上,咱们还可以再进一步。
作者介绍
大胖,[email protected],欢迎来我的专栏,讨论,指教,纠正我的错误。
RECOMMEND
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
原文始发于微信公众号(SecUN安全村):短信验证码总有要告诉别人的时候|常识与安全·安全村
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论