[[347439]]

需要指出的是，這是短信驗證碼的價值發揮，而非義務所在!憑什么手機號碼就可以驗證個人信息，什么時候賦予手機號碼這個職能了?驗證碼就能替代口令與用戶意志的話，還要身份鑒證作什么?

手機驗證碼成"背鍋俠"，我來為電信運營商鳴個冤!

近日一篇名為《一部手機失竊而揭露的竊取個人信息實現資金盜取的黑色產業鏈》的文章引起了極大關注，文中以為ID為"信息安全老駱駝"的信安老兵詳細記錄了其夫妻二人在手機丟失后與黑產對抗的每一步。

對抗的結局是黑產最終"技高一籌"，最終導致美團借貸產生5000元貸款，ETC信用卡產生各類買卡、充值等消費記錄。

為什么一個信安老兵都在跟黑產的對抗中敗下陣來呢?幾乎所有的分析文章都把矛頭指向一個關鍵點——手機短信驗證碼。顯然，按照輿論導向，這個鍋感覺要電信運營商背了。

果不其然，針對這個問題，工信部今天發表消息，稱已于 10 月 12 日約談了涉事電信企業相關負責人，要求三家基礎電信企業在服務密碼重置、解掛等涉及用戶身份的敏感環節，在方便用戶辦理業務的同時強化安全防護，加強客服人員風險防范意識培訓，警惕業務異常辦理行為。同時，工信部也提醒廣大用戶及時設置SIM卡密碼，在丟失手機后應第一時間掛失，強化安全風險意識。

從現實情況來看，當前"短信驗證碼"已經成為了所有人網絡空間身份認證的主要渠道，使用手機號+驗證碼就可以完成很多重要操作，比如快捷登錄、更改密碼、轉賬、支付、申請貸款等等操作。但是，在很多案件中，短信驗證碼完全沒有起到身份認證的作用，反而成為了黑產有機可乘的漏洞，造成用戶財產損失。

這樣看來，電信運營商背這個鍋也不是太冤枉，至少短信驗證碼作為事實上的認證工具，其安全性似乎沒達到承載人們財產安全這樣的高度。

但是，作為通信行業從業者，我還是想為電信運營商鳴下冤，因為我認為手機驗證碼沒有必要、沒有義務給用戶身份認證背書!

大概在2015年底開始，由于網信辦發布的《互聯網用戶賬號名稱管理規定》，要求某些場景下互聯網用戶需實名，從此，中國互聯網企業紛紛開始使用短信驗證碼的方式進行用戶鑒權，這是現成的最便捷的手段了。中國互聯網開始建立一個基于"短信驗證碼的身份認證"實名制網絡空間，虛假賬號、仿冒賬號等等亂象得到了整治。可以說，短信驗證碼在維護互聯網秩序做出了巨大貢獻。

但需要指出的是，這是短信驗證碼的價值發揮，而非義務所在!憑什么手機號碼就可以驗證個人信息，什么時候賦予手機號碼這個職能了?驗證碼就能替代口令與用戶意志的話，還要身份鑒證作什么?

短信驗證碼雖然能充當身份認證手段，但其實并不能做到實人、實名、實證，只能做到實名、實證。前兩個問題可以通過技術手段彌補，最后一個問題卻是短信驗證碼技術的天然缺憾。由此也引發了很多黑產犯罪事件。

事實上，我們的互聯網企業、尤其是互聯網金融企業，應該與時俱進地去更新自己系統的身份可信認證工具，比如，涉及借貸這類高風險的業務，為什么不能引入動態刷臉驗證呢?在目前已公布的金融科技創新應用中可以看到大量有關可信身份認證與大數據風控相關的應用。

都互聯網時代了，很多人的思想還停留在2G時代!

附. 普及一下手機PIN碼的設置流程吧。

SIM卡設置PIN碼后，手機開機時(比如換卡后重新開機)會要求輸入PIN碼，輸入錯誤三次之后卡將會被鎖住，相當于是增加了一道門檻。那SIM卡的PIN碼如何設置呢?

以小米手機為例(系統為MIUI12)，首先點開設置>點擊【密碼與安全】>點擊【系統安全】，這時候在"SIM卡鎖定方式"這一欄的下方就會出現你手機的電話卡，點擊進去就可以設置鎖定你的SIM卡了，同時可以進行PIN碼的修改，默認的PIN碼一般是"1234"。

本文轉載自微信公眾號「悲了傷的白犀牛」，作者悲了傷的白犀牛。轉載本文請聯系悲了傷的白犀牛公眾號。