随着服务越来越依赖网络,很多人都懒得记密码,用短信里发的链接直接登录成了一种习惯。不论是找工作、买保险还是请家政,只需要知道手机号,点一下链接就能进去。不过这种看似方便的做法背后藏着大隐患。 新墨西哥大学、亚利桑那大学、路易斯安那大学的几个教授,还有Circle公司的专家凑在一块儿搞了个研究,结果吓了一跳:原来这种验证方式设计得有大问题,几千万人的隐私可能直接暴露在外面。 问题出在那个网址的链接上。很多服务商发出来的Token(令牌)太简单了,随机性不强,这就叫“低熵”。黑客不需要什么高技术,只要手里有个普通设备,猜一猜链接后面的字母就能试别的账号。有些服务商的链接甚至能管用好几年。 为了看看这事有多普遍,团队弄来了超过3300万条短信里的网址,总共挑出了3.23亿个独立的URL来分析。结果发现,在调查的177个在线服务里,有125个(接近8成)是存在漏洞的。一旦被攻破,用户的社保号、生日、银行账户和信用评分这些核心信息就全没了。 论文的第一作者穆罕默德·丹麦说,用户确实要小心别乱点,但受影响的名单里有不少拥有百万用户的大平台。对普通老百姓来说,想防都防不住,这锅主要得服务提供商背。 更让人生气的是,服务商的反应太慢了。研究人员给150家受影响的公司发了信,结果只有18家搭理人,最后真正修好漏洞的只有7家。这说明很多公司只顾着赚钱和省事,压根没把安全当回事。 为了活命,现在有些讲究隐私的平台开始改了路子。他们改用那种发邮箱里的“魔术链接”,生成的链接不但随机性高,还只能用一次,一般也就是24小时有效期。这就把方便和安全平衡得更好了。 这次研究就是一记警钟。在方便和安全之间,确实很难两全。短信免密的漏洞这么多,不光是技术有毛病,更是对公司责任感的拷问。现在法律越来越严了,企业必须把安全放在第一位。大家也别太信任那些“免密”服务了。 最后咱们还是得呼吁一下监管部门和行业大佬一起使劲儿,弄出一套更结实、更靠谱的数字认证系统,才能把咱们上网的底裤给捂严实了。