短信验证码：运营商在真心保障用户权益？还是规避鉴权漏洞风险？ _生活百科

某网友抱怨，在中国移动网站查询消费信息，要短信验证码登录，服务密码都不行！有好几个移动号码，其中家里老人用两个。给老人查话费还得问短信验证码。
今儿聊一聊验证码那些事儿！
简单来说，验证码分为两类：静态密码、动态密码。
运营商短信验证码即是动态密码，手机号码的服务密码即是静态密码。
手机号码的验证码涉及两类应用场景，一类是电信运营商、另一类是第三方服务提供商。

文章插图
举些例子。
你去登录中国移动网站办理业务，需要短信验证码+服务密码双码验证才可。
你去中国银行转账，输入取款密码的同时，还需要手机上收到的短信验证码，银行才给你转。
验证码到底是怎么玩的？
接下来给小伙伴们揭秘验证码的那些事儿。
自国家对手机号码实名制要求以来，短信验证码被视为唯一的最高的鉴权方式了。
运营商的所有渠道：官网、APP客户端均已关闭“手机号码+服务密码”登录方式，强迫用户只能通过“手机号码+短信验证码”登陆查询。
短信验证码的权限被视为最高，远远大于服务密码，服务密码竟然可以通过短信验证码随意修改。
运营商业务查询、变更、办理等，输入手机号码以后，触发短信验证码下发，运营商短信中心随机下发一条6位数字验证码至手机。
短信验证码具有时效性，一般是5分钟。
验证码不光是运营商所专用，在运营商大规模升级验证码使用范围及权限。
用户手机停机后无法接收到短信验证码，就无法登录运营商网站查询。
用户在国外漫游，同样无法接收到短信验证码，也无法登陆查询。
这大概是短信验证码的漏洞与弊端。

文章插图
短信验证码本身具有随意性、流动性，一定程度上不比服务密码更安全。例如手机丢了，别人捡到我手机，所以不能解锁，但是可以拔卡插入另外一部手机，就可以接收到短信验证码。
第三方服务提供商也采用了短信验证码认证的方式加强用户鉴权安全度。
绝大多数APP注册即强制要求绑定手机号码。
当你在换号的时候，肯定要考虑先换绑各种APP，再注销手机号。
这个时候，APP会给你各种刁难。
有一些APP会让你提供各种银行或运营商证明、流水信息来更改手机号绑定。
比如运营商旧号销户证明和新号开户证明，然而在改绑定的时候一般旧号还没销户，所以你拿不出，有些麻烦。
【短信验证码：运营商在真心保障用户权益？还是规避鉴权漏洞风险？】给另外一个人们最关心的领域要数银行了。
银行预留手机号码作为联系方式，是让银行在需要的时候与储户联系，但银行自以为是地觉得，只要是用户在收到银行发出的短信验证码，能准确回复，就代表是客户本人操作资金交易了。
这其中存在巨大的风险。
这也是短信验证码在金融安全领域广受人们诟病的一点。
既然短信验证码存在如此多漏洞，导致金融安全、通信安全、信息安全、个人信息存在泄密的风险。
以支付宝为代表的互联网巨头开始试水新的安全鉴权方式。
支付宝的“扫脸支付”如一阵春风横扫支付市场。
同时也为运营商安全鉴权方式提供了一种新思路。

文章插图
因此，有人说，运营商应当抛弃短信验证码这一传统鉴权认证方式，改用类似扫码认证、刷脸验证等新型安全认证技术。
也有人说，短信验证码本身没有大问题，关键在于落实过程中存在许多漏洞与衔接问题。
运营商非但不应该放弃短信验证码，相反地，应该升级短信验证码技术，打造更加安全的短信验证体系。
具体两个方面：
一是提升用户体验，短信验证码作为认证鉴权的方式，不应成为骚扰、麻烦用户频繁收发短信、跑冤枉路的借口。
革新验证码收发方式、剪除不必要验证的环节。
打造安全、快速、舒适的验证体验才是王道！
二是提升短信验证码技术，辅助利用其它验证方式，如个人身份信息认证、指纹认证等。
在短信验证码，你遇到过哪些烦人的事情？欢迎留言互动！
小彩蛋：
截止2017年10月三大运营商号段资源分配情况
移动：134、135、136、137、138、139、144、147、148、150、151、152、157、158、159、172、178、182、183、184、187、188、198（不含1349、1578）