短信不安全 Instagram正在开发独立的双重认证功能

黑客可以把你的电话号码复制到一张新的 SIM 卡上，从而将你的号码据为己有，用来重置你的密码，窃取你的 Instagram 和其他服务的账号，并拿出去售卖换取比特币。正如 Vice 旗下 Motherboard 在周二发布的一篇痛心疾首的 文章 中所详细报道的那样，Instagram 账号特别容易受到攻击，因为该应用仅支持通过短信验证码登录，一旦电话号码被劫持，相关账户的安全性立刻将为零。

不过，现在 Instagram 向 TechCrunch 证实，他们正在开发一套配合 Google Authenticator 或 Duo（注：不是谷歌的聊天工具）这类安全应用使用的非短信双重认证系统。这套系统生成的验证码无法在其他手机上显示，这样即使你的手机号码被黑客复制到新的 SIM 卡上也没有关系。

多次向 TechCrunch 爆料的消息人士黄文津（Jane Manchun Wong）通过分析 Instagram 的安卓应用发现，其 APK 代码中暗藏着升级版双重认证的原型。在此之前，黄文津的爆料已经帮助 TechCrunch 率先报道了关于 Instagram 视频通话 、Usage Insights 以及 Stories 音乐功能 的消息。

当 TechCrunch 将截图展示给 Instagram 时，后者的一位发言人说，没错，他们正在打造一项非短信双重认证，并称：“我们正在持续提升 Instagram 账号的安全性，其中就包括强化双重认证功能。”

Instagram 其实对用户账户保护一直不算特别上心，直到 2016 年才推出基于短信的两步验证，当时他们已经拥有 4 亿用户。在 2015 年 11 月，笔者写过一篇题为“说真的，Instagram 需要双重认证 ”的文章。蕾切尔·赖尔（Rachel Ryle）是笔者的一位朋友，她也是 Instagram 上颇有人气的定格动画制作人。赖尔的 Instagram 账号曾被黑客攻陷，这令她错失了一笔利润丰厚的赞助交易。Instagram 从善如流，在文章发表 3 个月后推出了基于短信的 基础版两步验证功能 。

但从那时起，SIM 卡复制和盗取也成了一个更常见的问题。黑客通常会打电话给移动运营商，使用一些社工手段冒充你的身份，或者贿赂内部员工来获取帮助，然后把你的号码移植到他们控制的 SIM 卡。正如 Motherboard 的文章所报道的那样，黑客这样做可能是为了窃取你的私密照片，偷光你的加密货币钱包，或者是转卖@t 或@Rainbow 这样的社交媒体靓号，总之他们有各种各样的动机去实施 SIM 卡移植攻击。如果你想知道应该如何保护自己的电话号码，可以参阅 这篇文章 。

但愿随着这种黑客攻击手法变得更广为人知，更多的应用能够引入非短信双重认证功能，移动运营商能够让移植手机号码变得更困难，以及用户能够采取更多措施来保护自己的账号。随着我们身份和资产的数字化程度越来越高，验证码和身份验证应用必然成为我们日常生活的组成部分，而不仅仅是门锁和家庭安全系统。