建議

App及網(wǎng)站需提高短信驗證碼安全系數(shù)

而針對網(wǎng)絡平臺，全國信息安全標準化技術委員會也下發(fā)了一份《網(wǎng)絡安全實踐指南——應對截獲短信驗證碼實施網(wǎng)絡身份假冒攻擊的技術指引》，建議個各App、網(wǎng)站服務提供商對業(yè)務系統(tǒng)中短信驗證碼的使用方式進行摸底。例如在用戶注冊、密碼找回、資金支付等環(huán)節(jié)的短信驗證碼使用情況，并評估相關安全風險，優(yōu)化用戶身份驗證措施。全國信息安全標準化技術委員會建議的方式包括：短信上行驗證、語音通話傳輸驗證碼、常用設備綁定、生物特征識別、動態(tài)選擇驗證方式等。

如短信上行驗證具體是：提供由用戶主動發(fā)送短信用以驗證身份的功能，如要求用戶在規(guī)定時間內(nèi)(如 60 秒)，使用已綁定的手機號碼向移動應用、網(wǎng)站服務提供商指定的短信服務號碼發(fā)送指定內(nèi)容短信，移動應用、網(wǎng)站服務根據(jù)短信內(nèi)容對用戶身份進行驗證。常用設備綁定為：提供將用戶賬號與常用設備綁定的功能，原則上支付、轉(zhuǎn)賬等敏感操作只能通過該綁定設備執(zhí)行。設備綁定、更換等操作應采用短信上行驗證、語音通話傳輸驗證碼等方式，并采用諸如要求用戶回答預設問題、提供注冊時填寫的相關用戶信息或核對該用戶賬號近期操作記錄等方法進一步確認用戶身份。

文/本報記者 溫婧