11月15日,由北京移动杉德畅刷产业联盟、杉德畅刷官网联合主办的2018第三届中国移动杉德畅刷安全大会在深圳召开。沃通电子认证服务有限公司CEO王高华应邀出席本次大会,并以《加密邮件在移动杉德畅刷安全上的应用》为主题发表演讲。
据王高华介绍目前短信验证码漏洞多、风险大,美国国家标准技术研究院(NIST)在SP 800-63B《身份鉴别与生命周期管理》中也明确指出:使用公众交换电话网络(短消息或语音)的带外身份鉴别不宜使用,正在考虑在本指南的未来版本中去掉。短信验证码已经从原先的带外验证(双因素)变成了带内,彻底失去了可作为一种身份验证方式的技术基础。但是我国至今还没有出台相应的政策指引,因此仍没有可替代的解决方案。
针对于此,王高华提出了新的杉德畅刷验证思路——通过加密邮件完成,他认为加密邮件可以解决4个方面的安全问题:
1.通过加密邮件发送各种验证码,取代不安全的短信验证码;
2.通过加密邮件找回账户密码或重置账户密码;
3.通过加密邮件给用户发送电子账单等,并附身份认证签名信息,帮助用户有效识别欺诈邮件;
4.通过加密邮件为用户提供在线客服。
最后王高华还提及,经过测试几乎所有银行APP都没有做到100%严格验证服务器SSL加密通信,都存有一定安全隐患。如若要做到100%验证,则需验证以下几项:
1.APP访问服务端的网址是否与SSL证书绑定的域名一致?
2.服务端SSL证书是否是APP信任的CA颁发(验证书链)?
3.服务端SSL证书证书是否被吊销?
4.服务端SSL证书证书是否过期?
5.服务端是否采用的不安全的加密套件?
此外,王高华还称除了100%验证以外也可通过其他安全措施来加强APP的安全性能,例如APP内置信任DNS,或者内置服务端IP地址等。
沃通电子认证服务有限公司(www.wosign.com)是工信部许可的电子认证服务机构(CA),是专注于PKI技术的互联网安全产品和服务提供商。沃通CA不仅提供全球信任的SSL证书、代码签名证书等数字证书产品,同时研发基于PKI技术的硬件产品、软件产品和系统产品,以及互联网安全相关在线服务和解决方案,通过安全可信赖的产品、解决方案和服务,为个人用户、企业用户及各领域行业用户解决互联网安全与信任的相关问题。