几种“超强壮”的弱密码方案

    “111111”、“123456”等密码，是业内公认的典型弱密码。为用户的账号安全，检查用户设置密码的安全强度，并拒绝用户设置弱密码，已经是网络服务供应商普遍采用的最基础的安全策略。

    在各种各样的网络应用已经深度浸入百姓生活的今天，记住十几、二十个强密码对于绝大多数的普通网民而言，基本就是一个不可完成的任务。下面是几种“超强壮”的弱密码安全方案。

    在介绍这几种“超强壮”的弱密码安全方案之前，先介绍一下ICCID码。

    ICCID：Integrate circuit card identity 集成电路卡识别码即SIM卡卡号，相当于手机号码的身份证。 ICCID为IC卡的唯一识别号码，共有20位数字组成，其编码格式为：XXXXXX 0MFSS YYGXX XXXX。分别介绍如下： 前六位运营商代码：中国移动的为：898600；898602；898604 ，中国联通的为：898601、898606、898609，中国电信898603。

    简单讲ICCID码就是手机SIM卡的唯一身份标识。每个手机号码，都附着在一张手机SIM卡上。手机号码同ICCID码关系的真值表是：

    相同的ICCID码对应着相同的手机号码。

    不同的ICCID码，既可能是相同的电话号码，也可能是不同的电话号码。

    不同的手机号码，一定对应着不同的ICCID码。

    以手机SIM卡的ICCID码和手机的机身的IMEI号为认证标的，就可以构成一个移动终端的认证数据链。其认证真值表如下：

    验证结果1：ICCID码，不变；IMEI号，不变；验证含义：手机号码不变、手机不变。

    验证结果2：ICCID码，变；IMEI号，不变；验证含义：手机号码可能变、手机不变。

    验证结果3：ICCID码，不变；IMEI号，变；验证含义：手机号码不变、手机变。

    验证结果4：ICCID码，变；IMEI号，变；验证含义：手机号码可能变、手机变。

    一般而言，网络应用的账号密码被盗，多出现验证结果4.

    方案1：弱密码+ICCID码

    应用场景：所有移动互联网应用客户端软件。

    移动互联网应用客户端软件（APP）都是安装在手机端，且同手机号码直接关联。对绝大多数的APP而言，手机号码就是登录账号。使用“弱密码+ICCID码”的密码方案，等效于将弱密码同电话号码进行了绑定，从而构成了一个认证链。这个认证链的长度，最少就是21（1+20）位数据长度，既一个长度的弱密码+20位的ICCID码。

    使用方法就是，APP进行登录时，送到服务器端的验证信息，除了用户登录时，输入的登录密码，还包括APP读取到的手机SIM卡的ICCID码。

   安全强度分析：

    对于绝大多数的用户而言，记住有限几位的弱密码即可。对服务器而言，则是最少21位数据长度的超强密码。

    扩展使用：

    验证短信是高安全强度应用中，经常使用的一个验证手段。

   对于验证短信攻击现有的成熟方法有三大类：盗号病毒、诈骗攻击、短信嗅探术。其中短信嗅探术自诞生以来，业内到目前为止，并未找到很好的应对办法。

    “验证短信+ICCID码”既APP上报短信验证码时，同时上报ICCID码，则可以有效对抗短信嗅探、诈骗攻击。特别需要说明的是，只骗取验证码的诈骗攻击，对于对网络安全认知越少的人越有效。而对于需要骗取“验证短信+ICCID码”的诈骗攻击，则对于对网络安全认知越少的人越无效。

    对于盗号病毒，则提高了攻击方的攻击成本。因为对于采用“验证短信+ICCID码”短信验证方案的APP而言，攻击方需要做另外的外部接口或更改系统端的读取ICCID码的函数，使得更改后APP能够从“他处”读取或输入的ICCID码。而这种更改APP或系统函数的行为，无疑增大了攻击方攻击难度和暴露的风险。

    注：所谓的诈骗攻击，就是骗子利用各种话术骗取验证码。

    本方案的使用注意事项：

    本方案只能用于安卓手机或鸿蒙系统手机，苹果手机暂时不能用。因为苹果手机系统目前不对第三方开放读取ICCID码的函数。换而言之，在苹果手机上，APP无法读取ICCID码。而如果在苹果手机上同样采用ICCID码作为验证标的，则必然需要构建一个ICCID码的输入接口。这就大大降低了ICCID码作为验证标的的安全性。

    方案2：电脑端的扩展应用

    应用场景：电脑端登录、验证应用。

    任何一个网络应用，一般都有电脑端和手机端。方案1只是的应用场景为手机端。方案2-1和方案2-2是两个“弱密码+ICCID码”在电脑端使用的基础性方案。

    方案2-1：联网性扫码登录。

    手机端APP扫电脑端的登录二维码，将登录信息（“登录密码+ICCID码”）送到服务器，完成登录。

    方案2-2：非联网性扫码登录。

    用户在手机端APP上输入登录账号、密码，手机APP以登录账号、密码、ICCID码，生成加密状态的登录数据串或登录二维码，用户将登录数据串输入到电脑端的登录界面或用电脑端的摄像头读取登录二维码。

    需要特别注意的是，在方案2-2中为防止手机端操作系统或手机APP上的安全漏洞对登录过程信息的窃取、远程操控，手机APP在启动前，需先关闭所有的手机网络功能，既关闭手机流量、WiFi、蓝牙等所有网络功能，从而使得手机APP在没有网络功能的工作环境下运行。如果手机APP在启动时，检测到手机还处于联网状态，则拒绝工作直到用户关闭所有的网络功能为止。同时为了防止手机中的病毒对敏感数据（如账号、登录密码）的盗取，可将这些敏感数据的明文输入，分布到电脑端和手机端分别输入。比如登录账号，在电脑端输入一部分，手机端输入一部分，或者在服务器在电脑端显示一些数据，让用户将这些数据输入到手机APP上。这样即使手机中毒度，也只能获得一部分的账号信息，而无法获得全部登录账号信息。

    方案2-2最大的安全优点就是，可以对服务器进行反向验证。换而言之，困扰业内多年的钓鱼网站，在方案2-2中将无法遁形。困扰业界多年的撞库攻击也将失效。

    方案优点：

    方案1同现行的所有目前业内普遍采用的多因子认证方案相比，独有的方案优点就是：

    优点1：ICCID码长度够长，使用灵活。ICCID码既可以当做登录“密码”使用，也可以当成秘钥使用，更可以当成某种算法的运算参数使用。

    优点2：隐蔽性极佳。ICCID码的获取只有三个途径：途径1：运营商处获得。途径2：设备读取。途径3：手机SIM卡背后读取。对于攻击方而言，通过途径1、途径2对攻击方而言，都意味着相当大的获得风险和获得成本。而途径3获得，则攻击方必然是被攻击者身边亲近之人。这就大大增加了攻击成功后攻击人暴露的概率。

    优点3：不可抵赖性。

    ICCID码的唯一性和隐蔽性，使得以ICCID码为验证因子的多因子验证法，具有同业内普遍采用的多因子验证法，具有极高的不可抵赖性。目前业内普遍采用的多因子验证法所锁定的验证标的，泄露途径无数。这就使得网络应用账号被盗后很难从被盗的验证因子倒推出 “被盗”账号是真的“被盗”还是账号持有人同外人勾结的“自盗”。

    优点4：反制成本低。

   身份证号码、电话号码、IMEI号、MAC码等，是有安全要求等级（如网银、微信、支付宝等）的网络应用所采用的多因子验证法中必然需要验证的验证因子。这些验证因子的基本特征是稳定性极强，用户主动变更成本极高。如果以手机SIM卡的ICCID码作为多因子验证法的验证因子，则用户的变更成本基本上为“0”。以移动用户为例，一年可免费换4次新卡。而这种换卡特性，就给攻击方带来极大的不确定性，无形中大幅增加了攻击成本。

    方案2-2具有的独有优点是：

    优点1：整个操作过程，必然包含着人的操作动作。

   现在所有的登录操作，都有一个验证码的操作过程。这个一个操作过程的目的就是为了区分当时的操作人是人还是“机器人”。采用方案2-2的网络应用，在登录的过程中，永远都不要再担心进行登录操作的机器人。

   优点2：采用方案2-2的用户永远都不用记登录密码。任何以获取登录密码、登录验证码为目的的诈骗攻击都将失效。

   优点3：提供方案2-2的网络应用，采用方案2-2的用户，都将远离撞库攻击的潜在威胁。

   优点4：手机端上操作系统现在、未来的安全漏洞，对手机端的登录APP都将失去任何威胁。

   优点5：同传统的安全策略相比，方案2-2的安全策略对于用户而言，简单、粗暴但最富有成效，那就是，只要用户将安装了登录APP的手机，永远不联网，任何病毒就都不能进入，即使进入了也无法盗取全部的敏感数据。盗取到的碎片化的铭感数据，也无法传出。

    优点6：方案2-2是目前在公开渠道上能看到的唯一可同时满足由中国人民银行于2019年9月27日发布、实施的《移动金融客户端应用软件安全管理规范》（JR/T 0092-2019）的“认证信息安全、密码的设定与重置、逻辑安全设计、风险控制、组件安全、接口安全、抗攻击能力、数据安全、数据核销”等9项安全要求的安全方案。简单讲，采用方案2-2的网络应用，其终端侧的安全强度，在不用考虑终端侧的核心敏感数据泄露、键盘被人监控、操作系统安全漏洞修补、应用系统安全漏洞修补等众多安全问题的情况下，即可达到移动金融客户端需要达到的安全强度。这个安全强度，应该是在等宝2.0的三到四级安全强度。