短信相关验证安全吗?
先回答标题里的两个问题: [出自:jiwo.org]
1.短信是否可以被无线截获?
答:理论上 GSM、CDMA、TDS 完全可以,WCDMA 一定条件下可以,LTE 不行。
2.短信验证的产品是否安全?
答:目前来说还算安全。
那么,为什么说短信验证码能被截获还说安全呢?(以下内容尽可能用浅显语句表述,不涉及到敏感内容)
我来解释一下短信可能被截获的可能性
因为每个人的身边都有若干个基站,每个基站又包括几个(一般是 3 个)小区,所以手机可以同时接收到很多个小区的信号选择其中最好(未必是信号最强)的小区驻留。对于 GSM、CDMA、TDS 这三个系统来说,最难的不是截获短信,而是要找到这个手机在哪个小区下面。手机是标准的“移动”通信,经常在几个小区之间切来切去的,而绝大多数情况下,车跟办公室里收到的小区信号也并不同。
第二个难点,是关联手机号码与空中接口的标识。手机号码并不在空中直接传播,而是用 TMSI,这是一种临时码,一次业务一变或者一段时间一变,或者是 IMSI(这个不会变,cdma 用它寻呼,个别地区的 gsm 也用)。获得这个关联的过程叫做触发,得到这个关联的过程通常叫做“上号”。
某人提到静默短信只是手段之一,但并不像 csdn 那篇博客说的那么好用(那种是玩家或者爱好者手法),一是运营商可以在核心网过滤掉此类短信或者修改为常见格式;二是 GSM 静默短信有 4×2 种,而不是文中的 2 种,一个地区通常只有 1、2 种有效;三是只统计网络的 paging 会同时收到大量的其他 TMSI,影响判断,并且寻呼多了 TMSI 可能会变的(取决于核心网参数)。
如果不做特征码关联的话,其实也可以截获短信(称之为盲收),只是需要的资源(叫通道数)多很多,十几路总要的,看网络繁忙程度。
结论是尽快升级到4G
结论:即使是 G/C/TD 手机,大多数情况下也足够安全,而据我所知,WCDMA 目前应该还没有哪个个人能实现通用场景下的实时解密,LTE 目前无法解密,更安全。
建议大家【尽量使用 4G 手机】,并将手机强制(应该是优先,国内没有全网 VOLTE)驻留在 4G 上,除了防止短信被截取外,还可以避免收到伪基站发送的诈骗短信或者带木马链接的短信。
