骁龙 821 加持 LG Q9 通过认证：预计明年亮相

IT 之家 11 月 17 日新闻 日前 TechCrunch 报道了一起通讯服务公司 VoxOx 的重大数据泄露事宜，由于一个重大平安破绽，数以万万盘算的短信数据遭到泄露，这其中就不乏密码重置链接、双重验证代码、送货通知等。外媒 9to5mac 以为，这起事宜凸显了苹果双重验证行动的平安性。

VoxOx 是一家位于圣地亚哥的通讯公司。这家公司的服务器缺乏密码珍爱，给了他人险些能窥探实时短信流的机遇。数据显示，VoxOx 的服务器上已有跨越 2600 万条短信。观察职员在泄露出的短信数据中发现了 booking.com、谷歌和至少两家金融服务公司的 2FA（双重验证）代码。

短信验证码的坏处

通过短信吸收验证码，是国内外用户常用的一种双重验证途径。然则 9to5mac 指出，短信自己的 SMS（短信息服务）不是一个异常平安的协议，承载短信传输的七号信令系统（SS7，Signaling System Number 7）中存在许多已知的破绽。对于短信自己，其文本新闻经常以纯文本形式举行传送（运营商可以选择使用加密，但通常不会）。 而 SMS 是一种 “存储-转发” 系统，短信在收发的行程中，会有多个节点是存储在系统上的。因此，短信的平安也就寄托在了卖力存储的公司身上。

简而言之，传统的短信验证码作为一种双重验证的手段，存在着重大的缺陷。

苹果是怎么做的呢？

苹果确实提供了短信代码选项，为了应对只有一个苹果装备的用户需求。苹果公司处置相关问题的方式主要是通过 “可信装备” 这一观点。当用户将 Apple ID 与装备关联时，该装备则会被苹果公司视为 “可信装备”。每当其他装备处置一次登录请求的时刻，这一装备就会显示出六位数的双重验证代码。

因此，苹果的方式似乎要更胜一筹。在苹果的系统中，这一验证系统由苹果接纳，苹果能完全掌控其平安协议。代码是以加密形式推送到装备上的，同时，苹果也为每个可信装备使用唯一的加密种子（seed）。

唯一的加密种子还意味着，用户可以随时从可信装备列表中删除某一装备，这之后它将不再获得授权吸收双重验证代码。因此，苹果的这一系统也比其他使用共享种子密钥的身份验证器应用更好。

苹果基于装备的双重验证系统对用户来说也更友好。与短信差别，这一系统不需要用户连接到移动数据，WiFi 环境下也可以事情，推送代码到达得也很快。相比之下，短信验证码有时会延迟几分钟、几小时甚至无法到达。

因此，若你正在使用苹果装备，通过双重认证方式珍爱 Apple ID，是一个值得思量的选择。

谷歌 Pixel 3 Lite 曝光：无刘海骁龙 670 边框感人