通过手机短信验证码验证身份，真的安全吗？

一、通过手机短信验证码验证身份，真的安全吗？

谢邀。题主提的是“短信验证码”，其实这个并不是手机相关的，那下面就讨论两个方面，一个是短信验证的安全和其他的二次验证，一个是手机本身如果被盗用的情况。事实上来说，由于手机是机卡分离的设计，在及时挂失的情况下手机丢失反倒目前不是对短信验证最主要的威胁。不过如@曲小鑫提到的，在换号之前，一定要把自己绑定过手机号的服务都注销或者更换掉。。

短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是

1）认为用户的手机卡是不会轻易丢失和被窃取的，和用户绑定更紧密（相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了）

2）认为有手机号可以做二次验证的用户是真实用户（所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册）（并且能获得更多用户的真实信息用来...）

3）认为运营商维护的通讯信道比其他的都更安全

这些预设基本上是靠谱的，只是在智能手机普及的大环境下各类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。

目前来说对于短信验证的威胁主要有如下三个方面：

1）智能手机平台上的短信木马，这里

可以看到一个案例。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过短信验证码，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链：从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。

在智能手机的年代，由于OS开放了短信操作和拦截的接口（Android直接提供，iOS需要越狱），对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况（绝大部分情况下是这样），短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示：

2）补卡攻击、克隆攻击。之前提到了短信验证码事实上是基于手机号（SIM卡/运营商服务）而不是手机设备，那么如果能办一张和受害者相同的手机号（卡），自然就能狸猫换太子，接受受害者的验证码，重置各种账号。参考

，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。在早些年SIM卡构造简单的时候甚至还能直接去克隆一张卡出来。

3）无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。发一个入门教程，范围很小但是设备价钱很低：

解决方案：1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。

2、3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的通知，现在去营业厅补卡还是盘查的比较严格的。

3可以考虑使用CDMA、3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为（2G）GSM之后进行监听。这种攻击的防御主要是使用非GSM制式的通讯服务，然后坐等GSM慢慢退出历史舞台。（移动用户哭了）

短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP（各种宝令、Google Authenticator、RSA token）已经比较普遍的。指纹随着具有指纹识别功能设备的普及也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。

至于手机可能存在的失窃情况，这些二次验证方案都有对策，首先给自己的手机设置锁屏密码是必须的步骤，防止手机丢失后被直接打开使用，增加犯罪成本。至于给SIM卡设置PIN这些，似乎用的人不多，这里就不讨论了。在假定设置了不会被轻易破解的锁屏密码的情况下，具体情况具体分析

1）短信验证：攻击者可能在解不开锁屏后就直接取出SIM卡，这种情况下手机丢失后立即去营业厅或者电话挂失号码。

2）OTP类：这些基于App的验证相对来说还可靠一些，但保险起见也需要做一下吊销，以重新生成种子。

3）指纹、虹膜：这种表示压力不大。。

二、怎么知道手机短信验证码？

输入手机号，然后平台就给你发送短信验证码

三、如何获取手机短信验证码？

在保持手机通讯畅通的情况下，得到自己的短信验证码的方法如下：

1、以oppor11为例，在手机桌上打开短信。

2、打开短信后，点击通知信息。

3、接下来，点击信息。

4、在随后出现的页面里，可以看到验证码信息。

四、手机短信验证码怎么查？

下面介绍查看手机验证码的方法供参考：

1、首先找到手机中的短信功能，然后点击打开短信

2、打开页面后，下拉页面，找到验证码，然后点击打开验证码

3、打开验证码页面后，即可看到手机中收到的验证码信息

4、如果不需要，用手指长按验证码信息，在弹出来的窗口中即可删除该验证码信息。

五、手机短信验证码是什么？

手机短信验证码是通过发送验证码到手机的一种有效的验证码系统。无论是大型网站尤其是购物网站，都提供有手机短信验证码功能，可以比较准确和安全地保证购物的安全性，验证用户的正确性。 网站发到你手机上的短信里面有一串数字 那就是验证码 一般是注册或者绑定手机用的

某些验证码接入商提供手机短信验证码服务，各网站通过接口发送请求到接入商的服务器，服务器发送随机数字或字母到手机中，由接入商的服务器统一做验证码的验证。

六、怎么取消手机短信验证码？

1、择为“允许登录”。

2、或QQ，点击

3、之后点击左下角的“设置”选项。

4、在设置界面，点击“账号安全”。

5、进入之后，点击“登录保护”选项。

6、把“登录保护”功能给关闭掉。

7、关闭之前会有提示，点击“关闭”。

七、手机短信怎么拦截验证码？

可以设置陌生号码黑名单或者设置拦截关键字，可以拦截名单上号码发来的短信。。

八、如何查找本手机短信验证码？

您好，您可以按照以下步骤查找本手机短信验证码：

1. 打开手机短信应用程序。

2. 查看最近的短信列表，找到您正在等待的验证码短信。

3. 如果您无法找到验证码短信，请尝试在短信列表中搜索“验证码”、“安全代码”或“确认码”等关键词。

4. 如果您仍然无法找到验证码短信，请确保您的手机号码是正确的，并检查您是否已阻止了来自发送验证码的号码的短信。

5. 如果您使用的是智能手机，则可以尝试使用搜索功能在所有短信中搜索验证码。在搜索框中输入“验证码”或其他相关关键词即可。

6. 如果您仍然无法找到验证码短信，请联系发送验证码的网站或应用程序的客户支持团队，以获取更多帮助。

九、本手机短信验证码是多少？

您好

他人是不能查询您的手机短信验证码的，如果没有收到短信验证码，您可以点击重新获取验证码试一下。

十、QQ登录需要手机短信验证码？

工具/原料：苹果七手机，手机qq安全中心软件。

1、首先点击手机桌面中的qq安全中心。

2、然后点击屏幕左下方的第一个图标。

3、接着点击我的保护。

4、然后点击qq保护。

5、接着点击关闭手机QQ电脑、QQ登录保护开关。

6、这样操作完成，登陆qq的时候就不需要输入手机短信验证码了。