文/robin


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://www.binancezh.com/cn/register/?ref=11190872
邀请码: 11190872


这是「区块链技术指北」的第 68 篇文章。

一 前言


北京时间 2 月 22 日上午,一位自称「zhoujianfu」的用户在 Reddit.com 上发帖求救,称自己刚刚丢失了 1547 个比特币和不到 6 万个比特币现金(目前总计价值 2.6 亿元),并 PO 出了自己的地址。币印创始人潘志彪对其签名进行确认,证实「地址确实是他的」。

zhoujianfu 在 Reddit 上发布的求救信息暗示,本次攻击实施方式疑似通过 SIM 卡,也就是我们常说的 SIM hack。慢雾安全团队在跟进分析后推测 zhoujianfu 使用了 Blockchain.info 在线钱包。

二 SIM 卡安全


加密货币世界,中心化和去中心化服务共存。不少中心化的服务使用了二次验证服务,包括 Google 二次验证、短信验证、邮箱验证等。用户设置了短信验证,就有可能出现 SIM hack 的可能。

题图来自:© Prasanna Devannagari / Westworld Season 3 Trailer / clickitornot.com

那么问题来了,读者的 SIM 卡安全吗?有没有审视过自己的 SIM 卡?

在审视 SIM 卡之前,我们先了解几个概念。

第一,PIN。

  • SIM PIN(个人识别码)是一个 4-8 位密码,用于向系统验证用户;
  • 手机的 PIN 是 SIM 卡内的存储单元,也是保护 SIM 卡不被盗的安全措施;
  • 如果您的手机支持「PIN 安全功能」并且已激活,则每次启动手机时都需要输入 PIN 才能解锁 SIM 卡;
  • PIN 由电信运营商提供,可以重置和修改;
  • 如果错误的 PIN 输入超过三次,SIM 卡和手机都将被锁定。可以通过输入 PUK 解锁;
  • 如果您不知道或忘记 PIN,请联系电信运营商寻求帮助(通常,1234 或 0000 是 SIM 的默认 PIN,但仅供参考,请谨慎使用);

第二,PUK。

  • PUK(个人识别号码解锁密钥)也称为 PUC(Pin Unlock Code);
  • PUK 是一串八个不规则数字,用户无法重置或修改。 它仅在更换 SIM 卡时更改;
  • PUK 用于解锁 PIN,一些 PUK 随用户购买的 SIM 卡一起提供;
  • 如果连续十次输入错误的 PUK,SIM 卡和手机将永久锁定,您必须将有效证书带到电信运营商商店重新签发新的 SIM 卡。因此,当 SIM 卡和手机被 PIN 锁定时,您需要及时联系电信运营商寻求专业协助,在简单验证用户数据后,您可以获得 PIN 或 PUK 来解锁您的 SIM 卡和手机。

第三,服务密码。

服务密码是中国移动客户的身份识别密码,由一组 6 位(神州行客户为 8 位)阿拉伯数字组成(每一位均可以是 0-9 的任一阿拉伯数字)。客户入网时自行设置或通过密码卡形式提供,客户凭服务密码可以通过中国移动各渠道获取相应的服务或产品。通过服务密码认证进行的行为,视为客户本人或客户本人授权的行为。

如今的互联网服务,已经弱化了密码,采用手机号 + 短信验证码鉴权的服务或产品越来越多。假如 SIM 卡被盗或者遗失,而且 PIN 码也是默认的 1234,短信验证码被不法用户截取,简直易如反掌。

三 实战


在了解 SIM 卡 PIN 码的重要性之后,是时候做出行动了。

注意,启用 SIM 卡 PIN 码或者修改 PIN 码,请切记提前获知 SIM 卡的 PUK 码。中国移动用户在 App 我的,我的信息,号码资料可以查询到 PUK 码。

iOS 启用 SIM PIN 码的路径为:蜂窝网络,SIM 卡 PIN 码。进入后开启「SIM 卡 PIN 码」选项,此刻会要求输入 PIN 码(中国移动默认为 1234)。开启后,立马「更改 PIN 码」,输入默认的 PIN 码,然后输入 6 位或者 8 位数字,建议使用 1Password 之类的密码软件帮助管理。Android 机型太多,读者可以阅读机型的帮助文档进行设置,在此不再赘述。

开启 PIN 码后,每次开机都会要求输入正确的 PIN 码,否则 SIM 卡不能正常运作,如下图:

四 进阶


如果读者手机卡运营商是中国移动,还可以在 安全助手 里加强安全的设置,如下图:

其中可以设置,两项登录安全,两项密保。

登录安全:

  • 登录保护:开通功能后,登录中国移动网上商城,将进行二次校验确认,提高您的账户安全。
  • 登录提醒:开通功能后,您登录中国移动网上商城时将会收到登录提醒短信或邮件,保障您的账户安全。

密保设置:

  • 密保问题:密保问题是基础安全工具,可作为二次验证的备选方案,建议开通。
  • 密保手机:绑定手机后,可直接通过短信进行安全验证、密码找回等重要操作。

强烈建议读者开启。

五 Mixin Messenger


Mixin Messenger 账号采用手机号 + 短信验证码登录。Cedric FungMixin Messenger 的分布式 D3M-PIN 码设计方案 一文中详细阐述了 D3M-PIN 的设计。即使读者的短信验证码被黑客劫持,读者在 Mixin 钱包的资产还是相对安全的。但假如读者设置的 Mixin 钱包 PIN 码非常简单,那就存在被盗的可能。所以,为了 100% 地保障信息的隐私和资产的安全,本文提供的 SIM 安全实战还是非常有用的。

六 其他


中心化的加密货币服务,假设二次验证同时提供了 Google 二次验证、短信验证码,强烈建议读者关闭短信验证,只采用 Google 二次验证,从源头上就杜绝了 SIM hack 的可能。

七 小结


本文从 zhoujianfu 被 SIM hack 导致巨额损失说起,讲解了 SIM 安全的几个概念,并给出了 SIM 安全的实战和进阶技巧,然后提到 Mixin Messenger 的 D3M-PIN 码设计方案。

您的每一次谨慎,都是加固安全之路的基石。安全和便利往往都是相悖的,越是觉得平常的地方越有可能疏忽,希望读者能认真审视自己的 SIM 卡安全。


本站推广

币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://www.binancezh.com/cn/register/?ref=11190872
邀请码: 11190872


本博客开通了闪电网络打赏,读者可以扫描下方的闪电网络二维码进行打赏。

Bitcoin Lightning Network Donate

「区块链技术指北」同名 知识星球,二维码如下,欢迎加入。

区块链技术指北

「区块链技术指北」相关资讯渠道:

「区块链技术指北」同名知识星球,https://t.xiaomiquan.com/ZRbmaU3
官网,https://chainon.io
官方博客,https://blog.chainon.io
官方社区,https://bbs.chainon.io
Telegram Channel,https://t.me/chainone
Twitter,https://twitter.com/bcageone
Facebook,https://www.facebook.com/chainone.org
新浪微博,https://weibo.com/BlockchainAge

同时,本系列文章会在以下渠道同步更新,欢迎关注:

「区块链技术指北」同名微信公众号(微信号:BlockchainAge)
个人博客,https://dbarobin.com
知乎,https://zhuanlan.zhihu.com/robinwen
简书,https://www.jianshu.com/c/a37698a12ba9
Steemit,https://steemit.com/@robinwen
Medium,https://medium.com/@robinwan
掘金,[email protected]
EOS LIVE,https://eos.live/user/robin
币乎,https://bihu.com/people/22207

原创不易,读者可以通过如下途径打赏,虚拟货币、美元、法币均支持。

BTC: 3QboL2k5HfKjKDrEYtQAKubWCjx9CX7i8f
ERC20 Token: 0x8907B2ed72A1E2D283c04613536Fac4270C9F0b3
PayPal: https://www.paypal.me/robinwen
微信打赏二维码

Wechat

–EOF–

版权声明:自由转载-非商用-非衍生-保持署名(创意共享4.0许可证)