本文源于最近打算换号过程中的一点切身体会,谈一点手机绑定的安全隐患。
个人的手机绑定是一种账号安全保护服务。手机绑定账号后,可自由方便进行密码找回、密码修改等服务,号称可以让账号得到贴心、严密的保护。孰不知换号码的时候一系列的app一一解绑、重新绑定,很麻烦;尤其是旧的手机号若不再使用,应用忘记密码等情况下,还要经过一系列的申诉,更为麻烦。而且绑定手机,在提供安全保护的同时也是安全隐患所在。下面就以微信为例,谈谈手机绑定的安全隐患吧。
用户A注册了微信号X绑定了手机号M,当用户停用手机号M之后,他并没有解绑手机号M。中国移动的号码注销了之后再过一个月、两个月或者半年即可重新上市。几个月后用户B申请了手机号M,用户想把自己的微信号Y绑定手机号M的时候,发现该手机号M已被占用。于是用户B就用手机号M登录微信,找回密码,验证码通过短信的方式发送到手机号M上,用户B更改密码,设置新的密码,这几步简单的操作便成功登录了用户A的微信号X,看到微信号X的所有信息。
我觉得问题的根本原因是手机号注册、登录微信,再通过手机号找回、更改密码等等操作,所有的途径都是通过手机号,这是一个闭环。如果你有该手机号一切都很容易,所以说“手机绑定账号后,可自由方便进行密码找回、密码修改等服务”;反之倘若你没有该手机号,你反而会很麻烦。
现在微信都是通过手机号码注册,如果用户A单纯地通过手机号M注册了微信X,并没有将该微信号绑定QQ或者邮箱(我想类似的用户应该很多吧)。手机号M停用之后,倘若忘记密码,他就没有途径自己找回微信密码了(当然应该可以通过微信客服方式找回),反而拥有该手机号的用户可以轻易地重设密码。而且微信没有提供注销微信帐号的功能,尤其是这种以手机号注册用户的情况下,建议提供注销帐号的功能、抹除数据功能。
本文只是提出了微信存在的问题,很多其他应用也都可以简单地通过短信验证的方式找回密码。而且本文只是假设另一个用户注册了新的新手机号M,但是现在拦截别人的手机短信等不法行为也都存在。所以绑定手机号、通过手机号注册这是一把双刃剑,收获安全、方便的同时,其实也在丧失部分安全。所以建议各位看官提高安全意识,更换手机号码就要对原来的手机应用进行解绑;采取多种安全机制进行防护,当然也方便密码找回,比如通过邮箱注册、绑定邮箱。
最后,提一个淘宝安全的小细节。淘宝客户端设置->设备管理->可以清除其他设备的数据,类似于iCloud抹掉设备功能,这种细节服务还是比较贴心的。现在大家都在手机端装很多应用,包含有很多个人信息、万一手机丢失可以远程抹除原来手机上的信息,这还是很有必要的。
方便与安全一直是移动应用的一大追求目标,它们或者相辅相成,或者互相冲突,从手机绑定服务便可见一斑。我对手机安全并没有什么深入的研究,本文只是从一个普通终端用户的角度提出来的几点粗浅的看法。
欢迎访问我的博客:www.dzwanli.com.cn