喂，有没有想过你在互联网上的“身份证”是什么？更通俗地讲，在互联网中，什么能证明“你是你”？

当我们登录一个银行APP时，是不是只凭“用户名+口令”就可以进行查询和交易等一系列操作？显然不是那么简单，为什么？每年都有大量的网上账号密码等信息泄漏事件曝光，即使是大的在线服务商（12306、网易邮箱等）也不能幸免，银行卡信息也不例外。

因此，除了用户名密码验证，服务商会开启第二道身份验证程序，那就是短信验证码。

对的，现在回答开文我们提到的问题，“数字世界中，什么能证明你是你？”答案就是短信验证码，那个4或6位的数字。

本来，短信是一种渐渐被遗忘的通信方式，但现在这种传统的数据通信业务逐渐改变了它原来所扮演的角色，成为了用户名口令基础之上的主流身份验证方式，在安全行业被称为双因素认证。

可是，本文要强调的是，短信验证码它不安全、不安全、不安全……

短信验证码，它能代表谁？

为什么说短信验证码不安全，我们先来看看一个案例：

一年前，网络疯传的《我与工行+10086的撕逼大战》事件中，事主前后被盗转账万余元，盗取资金的不法分子能够成功的关键因素就是因为他获得了用户的短信验证码。入侵者利用事先获得的事主运营商网上营业厅的账号密码，从其短信保管箱中偷走了短信验证码。有了银行账号密码和短信验证码，入侵者轻松进行了资金盗转。当然，此类事件并不孤立，还有入侵者利用运营商的线上自助换卡业务，拿到了手机卡的权限，后续的验证码获取则不在话下。

不法分子想要偷取你的短信验证码，还有以下几种方式：

· 通过手机木马APP拦截短信验证码：本来有一些正版APP为了用户体验，采取自动读取短信而省却了用户收到验证码等信息时需要手工输入的麻烦。现在木马通常也会伪装在看起来很正常的手机软件中，以进行拦截短信甚至删除正常收到的短信内容。

· 通过空中接口拦截：这是一种更难以防范的方式，入侵者通过特殊的接收设备对手机信号进行干扰，并从基站广播的空中接口截获短信内容。

也许有人疑问，一直在强调短信验证码的风险，银行卡密码怎么会到了入侵者的手里？其实，开文也讲了那个看不见的“黑市”。前几个月的央视报道中，记者在地下黑市中很容易买了1000条银行卡信息，包括姓名、身份证号、卡号、登录密码、交易密码、银行预留手机号等，在记者随机对70条信息进行验证时，其中65条信息全部正确。所以，千万不要认为你的信息很安全，很多人“成套”的个人信息已经在地下黑色产业链中流转。

有了用户名密码，有了短信验证码，“谁都可以是你”。事实证明，这种僵化和粗暴的身份验证方式是靠不住的。

我们需要怎样的安全身份认证？

其实第一代身份认证 “账号+静态密码”仍然是一种普适性的方式，原因是它的灵活性足够高，你只要能记住就可以了。但是它的安全级别非常低，易受拖库撞库、社会工程学、口令窃取等攻击。这也是为什么包含这两项敏感资料的信息能够在黑市和地下产业链交易的重要原因。

身份认证技术演进

对于第二代身份认证也就是账号密码之上加短信验证码的方式，前面已经阐述很多，它是一种灵活性居中的简单方案，并且使用广泛，据运营商业内人士介绍，2015年中国短信验证码的市场规模已经达到了50亿元。不过正如前文所解读，它的安全性同样特别低，易受短信验证码盗取攻击。入侵者一旦拿到了短信验证码，他的后续一系列操作也意味着畅通无阻。

那么究竟有没有一种真正安全的身份认证措施？答案是有的，那就是账号密码+U盾的方式，这可以被认为是第三代身份认证方式。它的安全级别高，不易被攻击。

但是U盾是PC时代的产物，我们在电脑上操作网银转账时，通常用到U盾，它可以保障安全交易。不过，现在是移动的时代，你能想象我们在登录手机银行APP操作时要随身携带U盾吗？显然，它的使用体验极差。

那么，到底有没有一种兼顾安全性和灵活性的身份认证方式，这才是用户所需要的。

如何实现兼顾安全和灵活的新一代身份认证？

有着U盾的安全性、有着账号密码的灵活性，能不能实现这样的新一代身份认证？随着云技术、大数据技术的发展，是不是该革新下安全身份认证技术，而不是还停留着十几年前的安全体系。

近日，ZD至顶网记者注意到了北京芯盾时代科技有限公司提出的新一代身份认证体系，它主要解决三个问题：“手机设备安不安全？拿手机的人安不安全？干的事儿安不安全？”

芯盾时代创始人在接受我们的采访时表示，芯盾时代帮助金融机构、政府、互联网等各行各业建立安全认证体系，就是针对这三个环节去验证“设备”、验证“人”、验证“行为”。

芯盾身份认证框架

落实在技术上，则是利用设备认证、生物认证、大数据风控等技术，对现有的身份验证方式进行革新。

设备认证：确保用户的安全设备在操作。芯盾根据手机设备的特性，提取设备的“DNA”进行识别。一是确保是合法的设备，例如它是一个真实手机而不是入侵者利用的模拟器，它有一个安全的系统环境而不是在攻击框架下、没有安装恶意应用等；二是确保是用户的设备，也就是要识别出用户常用或绑定的设备、而不是入侵者改串号的设备。

生物认证：新验证终端或终端判断合法了，但终端前面的人呢？芯盾采用生物识别技术，基于人脸、声纹、指纹来确定“人“是合法的，生物信息的验证也就相当于银行柜台发“盾”的动作，在手机中为用户发放了一个“数字身份凭证”。

大数据风控：不法分子的行为总有各类蛛丝马迹。芯盾通过大数据行为分析，可以识别出恶意行为，及时提示风险。它是一项云服务，通过对当前设备及用户行为的分析返回风控指数，引导用户直接认证通过、进行二次认证、甚至阻断操作。

芯盾身份认证核心要素

有了这些判断，就可防范短信验证码丢失带来的风险，即使用户银行卡信息已经泄露、短信验证码被不法分子截获，该系统也能够有效识别，确保其无法进行盗转盗刷。

这种安全身份认证方式相当于有了一个“大脑”，不再是僵化和粗暴的比对认证，结合大数据分析让它学会了思考。

同时重要的是，这些安全验证的过程是在后端进行的，而不是抛给用户在前端进行复杂的操作。在保障安全的同时，对用户无感知。

写在最后：

据不完全统计，2015年基于身份认证欺诈的黑色产业链规模已过千亿，七成左右的网民个人身份信息和个人网上活动信息均遭到泄露。黑产像寄生虫一样吸附于企业，获取高额利润，同时摧毁了企业的正常业务。身份认证是业务的第一入口，也是业务安全的根基，需要通过芯盾时代这样的创新技术，准确拦截用户名密码泄露、短信验证码盗取等各类风险、为用户提供安全、免密、智能的身份认证服务。

原文发布时间为： 2016年7月11日

本文作者：陈广成

本文来自云栖社区合作伙伴至顶网，了解相关信息可以关注至顶网。