【hqdvista的回答(34票)】:

謝邀。短信并不是最好的二次驗(yàn)證方法,，但卻是成本最低最容易實(shí)現(xiàn)的也基本靠譜的：用戶綁定性較強(qiáng),，不需要額外設(shè)備，用戶廣泛擁有,，校驗(yàn)成本極低,。短信驗(yàn)證的預(yù)設(shè)是

1）認(rèn)為用戶的手機(jī)卡是不會(huì)輕易丟失和被竊取的，和用戶綁定更緊密（相對(duì)于各種脫庫(kù)事件,，密碼泄露的概率還是比丟手機(jī)的概率大多了,，況且丟了手機(jī)可以立即去運(yùn)營(yíng)商掛失補(bǔ)卡，密碼泄露了就是泄露了）

2）認(rèn)為有手機(jī)號(hào)可以做二次驗(yàn)證的用戶是真實(shí)用戶（所以手機(jī)驗(yàn)證碼通常也會(huì)在要求比較高的場(chǎng)合被用來作反垃圾注冊(cè)）（并且能獲得更多用戶的真實(shí)信息用來...）

3）認(rèn)為運(yùn)營(yíng)商維護(hù)的通訊信道比其他的都更安全

這些預(yù)設(shè)基本上是靠譜的,，只是在智能手機(jī)普及的大環(huán)境下各類短信木馬此起彼伏,，補(bǔ)卡攻擊和無線電監(jiān)聽這些一直存在的問題也被關(guān)注和利用，短信驗(yàn)證的安全性就開始出現(xiàn)了問題,。

目前來說對(duì)于短信驗(yàn)證的威脅主要有如下三個(gè)方面：

1）智能手機(jī)平臺(tái)上的短信木馬,，這里

【支付寶大盜分析報(bào)告】可以看到一個(gè)案例。這種木馬的作用之前廣泛用于支付寶詐騙,，不法分子誘騙受害者通過二維碼下載安裝木馬,，隨后重置受害者的支付寶、淘寶賬戶盜取錢財(cái),。因?yàn)橹爸Ц秾毜闹刂妹艽a驗(yàn)證只通過短信驗(yàn)證碼,，木馬在后臺(tái)可以輕易竊取并轉(zhuǎn)發(fā)給不法分子，實(shí)現(xiàn)對(duì)受害者的賬號(hào)重置,。這類木馬編寫簡(jiǎn)單,，已經(jīng)形成了非常完整的產(chǎn)業(yè)鏈：從制馬人員到售馬、租馬,，到實(shí)施釣魚,、欺騙、洗號(hào),、轉(zhuǎn)移錢財(cái),。

在智能手機(jī)的年代，由于OS開放了短信操作和攔截的接口（Android直接提供,，iOS需要越獄）,，對(duì)于一個(gè)安裝了支付類App的智能手機(jī)且綁定賬戶的SIM卡也安裝在同一個(gè)手機(jī)的情況（絕大部分情況下是這樣），短信驗(yàn)證事實(shí)上已經(jīng)退化成了單因子驗(yàn)證,，只要智能手機(jī)被安裝了木馬那么這些驗(yàn)證體系就會(huì)全線崩潰,，攻擊者甚至可以只通過釣魚wifi全部搞定登陸密碼、支付密碼和短信驗(yàn)證,，參見諸葛老師的演示：《每周質(zhì)量報(bào)告》 20140615 移動(dòng)支付的隱憂

2）補(bǔ)卡攻擊,。之前提到了短信驗(yàn)證碼事實(shí)上是基于手機(jī)號(hào)（SIM卡/運(yùn)營(yíng)商服務(wù)）而不是手機(jī)設(shè)備,，那么如果能辦一張和受害者相同的手機(jī)號(hào)，自然就能貍貓換太子,，接受受害者的驗(yàn)證碼,，重置各種賬號(hào)。參考安卓系統(tǒng)手機(jī)綁定銀行卡易成黑客“提款卡”,，這里的薄弱環(huán)節(jié)就在運(yùn)營(yíng)商,，部分地區(qū)的運(yùn)營(yíng)商對(duì)補(bǔ)卡人員身份驗(yàn)證不嚴(yán)導(dǎo)致出現(xiàn)了補(bǔ)卡攻擊。

3）無線電監(jiān)聽,。這里主要包括GSM監(jiān)聽,，包括監(jiān)聽空中短信，直接獲取短信內(nèi)容- -b,，但這個(gè)玩法成本和范圍有限制,，相對(duì)1、2來說用在真正犯罪的情況下還比較少,。

解決方案：1的情況有很大部分其實(shí)是反木馬和系統(tǒng)開放度的問題,，目前Android在4.4之后已經(jīng)收緊了短信權(quán)限，相信在4.4普及之后情況會(huì)有一定好轉(zhuǎn),。TrustZone這些耳熟能詳方案就不提了,。

2、3其實(shí)就是對(duì)運(yùn)營(yíng)商維護(hù)的信道安全提出了質(zhì)疑,。2依賴于運(yùn)營(yíng)商的各大營(yíng)業(yè)廳加強(qiáng)安全意識(shí),，目前來說各家公司應(yīng)該是收到過公安部的通知，現(xiàn)在去營(yíng)業(yè)廳補(bǔ)卡還是盤查的比較嚴(yán)格的,。

3可以考慮使用3G、4G等更安全的信號(hào)通道,，但目前也有降維攻擊,，強(qiáng)制將用戶信號(hào)降為（2G）GSM之后進(jìn)行監(jiān)聽。這種攻擊只能期待GSM逐漸退出歷史舞臺(tái),，設(shè)備不再兼容吧,。

短信之外自然有一些更好的二次驗(yàn)證，比如OTP,、指紋甚至虹膜也都可以使用,。OTP（各種寶令、Google Authenticator,、RSA token）已經(jīng)比較普遍的,。指紋隨著具有指紋識(shí)別功能設(shè)備的普及也會(huì)流行開來，但如何在隱私和安全性上取得平衡還需要考量,。

【呂爻的回答(15票)】:

無非是手機(jī)驗(yàn)證還是郵箱驗(yàn)證,。對(duì)于大多數(shù)普通人對(duì)于大多數(shù)應(yīng)用場(chǎng)景來說還是手機(jī)驗(yàn)證安全方便,。

1、與國(guó)外的使用習(xí)慣差異,，中國(guó)用戶電子郵件使用率不高,，很多人沒有郵箱或者忘掉郵箱密碼的，這樣郵箱驗(yàn)證形同虛設(shè),。另外比起郵箱驗(yàn)證,，手機(jī)驗(yàn)證操作更傻瓜，環(huán)節(jié)更少,。

2,、使用驗(yàn)證方式盜號(hào)最常見的情況應(yīng)該是從用戶名猜到驗(yàn)證郵箱，而遭遇各種拖庫(kù)的中國(guó)網(wǎng)民常用郵箱很可能已經(jīng)密碼泄露了,。手機(jī)驗(yàn)證的話沒這個(gè)風(fēng)險(xiǎn),。

3、先撿到手機(jī),，再通過手機(jī)修改密碼,。這個(gè)主要針對(duì)網(wǎng)銀吧，否則小偷也忒無聊了…這個(gè)確實(shí)有風(fēng)險(xiǎn),，但是做的好的比如支付寶是這樣防范風(fēng)險(xiǎn)：A.客戶端建議設(shè)置圖形解鎖,，并且建議分別設(shè)置登錄密碼和交易密碼。B.PC端若不是經(jīng)常登錄的機(jī)器,，無法簡(jiǎn)單使用手機(jī)找回密碼功能,。退一步，即使不考慮這些,，丟失手機(jī)后可以第一時(shí)間掛失,，重辦號(hào)碼，起碼風(fēng)險(xiǎn)是可控的,。

【知乎用戶的回答(6票)】:

沒有絕對(duì)安全的驗(yàn)證方式,。

手機(jī)驗(yàn)證相對(duì)于傳統(tǒng)的郵箱驗(yàn)證、密保問題驗(yàn)證要安全很多,。

因?yàn)猷]箱,、密保問題是虛擬物品，郵箱密碼,、驗(yàn)證答案都具有可傳播,、可復(fù)制性質(zhì)，因此只要得知密碼,、答案即可獲得驗(yàn)證碼,。

而手機(jī)則是實(shí)物，只有手機(jī)持有人才能獲取到驗(yàn)證碼，具有地域性限制,，網(wǎng)絡(luò)上的黑手沒辦法觸及,，因此會(huì)比其它方式安全很多。

（排除手機(jī)權(quán)限設(shè)置問題導(dǎo)致短信被app竊取的情況）

以下產(chǎn)品也具有同樣的效果,，而且更安全,。

至于提主所提到的手機(jī)丟失問題。

只能說,，家門口鑰匙都還有丟失的時(shí)候……

【知乎用戶的回答(4票)】:

居然被邀請(qǐng)了,，反正也沒事，那就仔細(xì)說說吧:)

首先要說的是,，就像已經(jīng)有很多人指出的那樣,，是沒有絕對(duì)安全的。我們說xxx是安全的,，只是表明所面臨的威脅和風(fēng)險(xiǎn)在可接受的范圍內(nèi),。至于什么程度才算“可接受”則很難定義，很多時(shí)候甚至要更多地考慮情緒和感情因素,。換個(gè)角度,，也可以說，面對(duì)已經(jīng)識(shí)別的風(fēng)險(xiǎn),，如果防護(hù)的投入將超過可能的損失,，則可以認(rèn)為“可接受”了。

回到這里來,，不過換一個(gè)問題：通過手機(jī)短信驗(yàn)證身份,，能提高安全性嗎？答案是明確的,，是,。身份認(rèn)證有三個(gè)方式：你知道的，你持有的,，以及你固有的,。一般的口令密碼之類算第一類（你知道的），持有令牌通行證之類算第二類（你持有的）,，指紋虹膜等生物特征算第三類（你固有的）,。由于獲?。瘋卧斓碾y度不同,，一般認(rèn)為第一類的安全性比第二類差，第二類又比第三類差,；但需要明確的是,，如果只有其中一種都算是弱認(rèn)證，必須獨(dú)立使用兩種甚至三種才算是強(qiáng)認(rèn)證,。

普通應(yīng)用比如郵箱的認(rèn)證方式都是口令或密碼這第一類認(rèn)證,，使用短信驗(yàn)證碼則是為了提供第二類認(rèn)證,。在安全設(shè)定中，做得好的系統(tǒng)會(huì)要求關(guān)鍵修改要同時(shí)使用兩種認(rèn)證方式,，即：使用密碼登錄,，然后修改關(guān)鍵信息比如已經(jīng)注冊(cè)過的手機(jī)號(hào)，還需要先用之前的手機(jī)接收驗(yàn)證碼,；單獨(dú)獲得手機(jī)后,，是不應(yīng)該能夠登入賬戶并修改所有信息的，否則就破壞了多種認(rèn)證方式直接的獨(dú)立性,，進(jìn)而破壞了系統(tǒng)的安全性,。

這時(shí)候我們?cè)倩仡^看題目的問題，就能知道,，在沒有設(shè)計(jì)缺陷的情況下,，在密碼認(rèn)證之外添加短信認(rèn)證是同時(shí)使用了第一類和第二類認(rèn)證，也就是強(qiáng)認(rèn)證了,。在密碼設(shè)置合理（嚴(yán)格來說必須用隨機(jī)數(shù),，但最起碼不要用123456之類）、手機(jī)短信驗(yàn)證碼系統(tǒng)可靠（沒被人復(fù)制竊聽）的情況下,，安全性是有充分保證的,。即使是兩種認(rèn)證方式終有任何一種被破壞，面對(duì)一般的威脅安全性應(yīng)該也還好,。這樣來說,，可以給題主一個(gè)明確的答案：是！有更好的方法嗎,？綜合考慮成本和適用性,，暫時(shí)可能還真沒有。

一句題外話,，隨著技術(shù)進(jìn)步和操作方式的變化,，原本算是第三類的認(rèn)證方式可能變?nèi)醭傻诙悾诙惪赡茏兂傻谝活?，原本互相?dú)立的認(rèn)證方式也可能在無意間關(guān)聯(lián)起來,。和所有的安全系統(tǒng)一樣，設(shè)計(jì)驗(yàn)證系統(tǒng)必須非常小心,，充分考慮各種情況,；同時(shí)，也要始終注意,，所有安全投資的價(jià)值在于保障,，不能本末倒置。

【藏可的回答(1票)】:

沒有絕對(duì)安全的驗(yàn)證方式，手機(jī)驗(yàn)證碼是建立在將手機(jī)假設(shè)為很重要的位置和很安全的前提下的解決方案,。

【蕭紫瓶的回答(1票)】:

不安全,，因?yàn)橛械氖謾C(jī)系統(tǒng)本來就有root提權(quán)漏洞，發(fā)的驗(yàn)證短信可以被攔截的,。

【關(guān)闖生的回答(1票)】:

一直在潛水,，今天居然收到邀請(qǐng)了~~

1、首先,，安全真的是相對(duì)的,，破壞和保護(hù)安全都需要成本，當(dāng)成本過大收益自然相對(duì)變小,，因此沒有絕對(duì)的安全,。這句話在安全界是鐵的規(guī)則。

2,、手機(jī)的短信驗(yàn)證碼使用起來有兩種不同的方式,，也正好能回復(fù)這個(gè)話題。

1) 輸入用戶名,，然后點(diǎn)擊發(fā)送短信驗(yàn)證碼按鈕,，跟此賬號(hào)綁定的手機(jī)收到驗(yàn)證碼后，

然后輸入手機(jī)收到的驗(yàn)證碼,，驗(yàn)證通過,，進(jìn)入系統(tǒng)。

2）輸入用戶名,，然后再輸入密碼,，密碼正確了再出現(xiàn)或者激活發(fā)送短信驗(yàn)證碼按鈕，然后點(diǎn)擊發(fā)送短信驗(yàn)證碼按鈕,，跟此賬號(hào)綁定的手機(jī)收到驗(yàn)證碼后,，

然后輸入手機(jī)收到的驗(yàn)證碼，驗(yàn)證通過,，進(jìn)入系統(tǒng),。

3、按照上一項(xiàng)內(nèi)容看,，明顯是第二種使用方式更加安全,，可以避免手機(jī)被盜用后賬號(hào)被黑的情況。

如圖所示：我們自己設(shè)計(jì)的應(yīng)用系統(tǒng),，手機(jī)認(rèn)證,、令牌認(rèn)證的情況下密碼項(xiàng)都是必須使用的，不允許使用者自己配置,。

4,、由此可見，任何直接信任手機(jī)當(dāng)前持有者的認(rèn)證方式都是不安全的,！

至于您問的：

1,、手機(jī)這種極易丟失或被盜用的隨身設(shè)備，能擔(dān)當(dāng)這樣的重任嗎,？

使用 先輸入密碼（我們管它叫做“靜態(tài)密碼”）再獲取短信的雙重認(rèn)證方式（我們管它叫做“強(qiáng)認(rèn)證”）,，可以避免這個(gè)問題（除非你密碼泄露了~）

2、就沒有更好的辦法嗎,？

有肯定有,，只是使用上會(huì)給用戶帶來一定的不便，損害用戶體驗(yàn),。比如：手機(jī)令牌,、硬件令牌、證書（像銀行的網(wǎng)銀~）,，都很安全,。

安全是博弈后折中的結(jié)果：銀行中自己的資產(chǎn)，大家非?？粗?，所以麻煩點(diǎn)兒的使用方式也認(rèn)可了，但是您要是想在bbs上發(fā)個(gè)帖子就不想這么麻煩了~

【章俊的回答(1票)】:

個(gè)人意見：

1.手機(jī)設(shè)置好圖案解鎖,，盡量復(fù)雜一點(diǎn),。

2.SIM卡設(shè)置PIN碼，初始密碼一般是1234,，注意修改下,。這張卡插入任何手機(jī)里面，只有輸入正確的PIN碼才能使用,，輸錯(cuò)3次之后需要驗(yàn)證PUK碼,，PUK如果再輸錯(cuò)卡就報(bào)廢了。手機(jī)被偷之后請(qǐng)一直呼叫,，呼叫到?jīng)]電或者關(guān)機(jī)了你就贏了,。

【思揚(yáng)的回答(0票)】:

不安全，但沒有更好的方式,。當(dāng)前主流個(gè)人聯(lián)系當(dāng)時(shí)是三種：電子郵件,，手機(jī)，QQ/微信,。許多用戶很少用郵箱,，QQ微信屬于某家公司且更不安全，所以手機(jī)仿佛是唯一的選擇,。

從另一個(gè)角度說,，需要把操作權(quán)交給用戶,，其實(shí)網(wǎng)站在這部分可能是因?yàn)楸苊庳?zé)任而不作為，也有想獲取用戶手機(jī)號(hào)的私心,。

對(duì)于這個(gè)時(shí)代的用戶,，手機(jī)是最重要的私人物品，可以假設(shè)是私密不可丟失的,。所以應(yīng)該做好心理準(zhǔn)備：提升關(guān)注度不要隨便亂放,，設(shè)置密碼，不要隨便借給他人使用（就算借,，也不離開視線范圍）,。如果丟失，第一時(shí)間停用,。

最后,，我認(rèn)為手機(jī)號(hào)的驗(yàn)證還能存活兩年，以后會(huì)有完美的替代方案,。

【田加菲的回答(1票)】:

不安全…… 覺得想獲取你的手機(jī)號(hào)信息…… 綁定你的手機(jī)號(hào)……T_T

【劉承漢的回答(0票)】:

不安全,，尤其是有些時(shí)候app自動(dòng)讀取短信內(nèi)容時(shí)。

【羅晨的回答(0票)】:

不安全,，但比它安全的都沒它方便,。

【知乎用戶的回答(0票)】:

是的，這也是一種風(fēng)險(xiǎn),。但如樓上所說,，沒有絕對(duì)安全的方式。手機(jī)相對(duì)而言是比較貼身的東西,，當(dāng)然我個(gè)人傾向是郵箱找回密碼,，雖然繁瑣了一點(diǎn)，但遇到支付問題,，謹(jǐn)慎點(diǎn)總是好的,，所以我最后想說的是：

如果手機(jī)丟了的話，第一件事情,，就是趕緊去掛失,，再補(bǔ)辦一張卡。

【馬致遠(yuǎn)的回答(0票)】:

有兩點(diǎn)要說明,。

第一,，手機(jī)確實(shí)比郵件或其他身份驗(yàn)證要方便，但我個(gè)人認(rèn)為要求這樣做更多的原因是為了推廣實(shí)名認(rèn)證,，確保門戶網(wǎng)站的有效用戶數(shù)量,。

第二，槍總你的擔(dān)憂是多余的,。丟手機(jī)和丟賬戶沒有必然聯(lián)系,。

首先,，大部分網(wǎng)站支持手機(jī)解綁，只要你在手機(jī)丟失的時(shí)候想起來注冊(cè)了哪些涉及資金的賬戶就可以（愿意及時(shí)補(bǔ)辦手機(jī)卡的話甚至不需要去解綁）,，所以這是卡的問題,，不是手機(jī)問題。

其次,，也是最重要的一點(diǎn)，竊取賬戶和竊取手機(jī)（有時(shí)候不一定是竊,，可能只是不小心掉坑里了…）的人未必重合,，可能只是兩個(gè)完全獨(dú)立的事件而已（如果是偷手機(jī)的人通過翻查你的手機(jī)來獲取信息再進(jìn)行賬號(hào)竊取就另當(dāng)別論，但這種情況首先要怪自己手機(jī)密碼,，軟件密碼,，異地登陸確認(rèn)等安全性設(shè)置沒有搞好）。

【熊展云的回答(0票)】:

1.安全本來就是相對(duì)的,。

2.想再安全一點(diǎn),，就不要怕麻煩

在這種情況下，設(shè)置手機(jī)PIN碼或者是圖形密碼就顯得很有必要了,。

【知乎用戶的回答(0票)】:

xy.

單純從技術(shù)上來說確實(shí)不安全,，不過安全也是相對(duì)的?；ヂ?lián)網(wǎng)應(yīng)用系統(tǒng)是在他認(rèn)為可接受的風(fēng)險(xiǎn)范圍內(nèi),，為大部分用戶提供最大的易用性。題主可以選擇是否綁定,，這也是看題主是看重安全還是看重僅忘記密碼情況下的使用便利了,。

說說技術(shù)上吧，大家都知道2g手機(jī)的數(shù)據(jù)可以說幾乎是裸奔的,，利用大概10來個(gè)手機(jī)配合抓包分析,，就能截獲附近一個(gè)基站的2g手機(jī)短信的，不用說什么驗(yàn)證碼,，就連什么短信下發(fā)的門票,，消費(fèi)碼等等都能拿到。

更好的方式（可能題主說的好特指安全）也有,，但麻煩,，比如usbkey和數(shù)字證書，所以這個(gè)也就在安全性需求特別高的業(yè)務(wù)系統(tǒng)中使用,，如等保三級(jí),，網(wǎng)銀等。

【小姬的回答(0票)】:

謝邀,。

沒有絕對(duì)安全的東西,，我的手機(jī)號(hào)都曾經(jīng)被盜用過,，然后向我的同學(xué)騙錢～

安全都是相對(duì)來說的，手機(jī)驗(yàn)證這個(gè)東西如果人家想盜你號(hào),，是完全可以截取你的驗(yàn)證碼的～

如果有人盯上你了,，那所有的安全驗(yàn)證之類的東西只能算是一種心里安慰～

安全問題永遠(yuǎn)是道高一尺、魔高一丈～

【未偉的回答(0票)】:

看個(gè)人了 如果不是很重要的賬號(hào) 就可以用,。,。

原文地址:知乎