过了一个清明假期,但“注销手机号等于出卖自己”的舆情没断,反而出现了二次高潮。因为一些媒体上班了,也要跟一下这个热点。
下午,点开我的订阅号,一屏中出现了两个相关信息。《人民日报》文章《注销手机号等于出卖自己?换手机号前一定要做这件事→》,《人民邮电报》(又名“工业和信息化部新闻宣传中心”)文章《一定别忘了做这件事!变更或注销手机号码前请查询“一证通查”》。
不过,很遗憾,两篇文章都有明显的偏差。
1. “一证通查”真的有效吗?
目前“一证通查”仅支持16个头部应用,从使用量来说,这16个头部应用占到所有APP使用量的95%以上,但从APP角度来说,在数百万的APP中,这16个占比连十万分之一都不到。大量的应用注册后就很少再登陆,这使得几乎没有一个人知道自己究竟注册了多少个APP。
在诸多网络实名制注册工具中,“手机号+验证码”是最容易实现的一个,也是最被广泛使用的一个。其他网络实名方式还有,”“姓名+身份证号+人脸识别”、微信微博抖音支付宝等第三方注册工具等。“姓名+身份证号”均属于公开、半公开信息,不能单独作为实名认证工具。指纹、虹膜等生物信息,由于不能通过外部信息库验证,因此不能作为实名认证信息,而是作为认证后的辅助登陆信息。
但需注意的是,其他公司的APP,验证码并不是电信运营商发出的,运营商只是提供了短信通道,电信运营商也不知道用户究竟用“手机号+验证码”注册了多少个网站,都是哪些网站。更要命的是,并不是所有APP均支持注册用户注销,有关部门有明确规定,头部企业也执行得很好,但对海量的“长尾”应用来说,就不一定了。
2. 注销手机号有多危险?
“注销手机号等于出卖自己”,肯定是假的。否则国家就不会允许“注销手机号二次投放”了,公安部反诈中心和工信部反诈中心,也不会允许运营商将注销的手机号再次对外销售了。
①支付。无论是银行APP还是微信、支付宝等支付工具,都有比“手机号+验证码”更严格的实名认证环节,较长时间没有使用,更换了使用的终端,都会要求使用者重新实名认证。如果实名认证通不过,就很难发生支付行为。这样,获得复用手机号的用户也不能转走原使用者在银行账号中的钱。近几年,在反诈的要求下,支付工具明显提高了支付环节的安全标准,这基本上堵住了复用手机号用户接触到原号码主人资金的渠道。
②信息。由于大量网站支持“手机号+验证码”的登陆方式,因此获得复用手机号的用户,可通过“手机号+验证码”登陆之前用户注册的网站,如果在该网站存储有个人隐秘信息,就可能发生信息泄漏。不过,存储有隐秘信息的知名网站,在读取隐秘信息时,大多要求提供“姓名+身份证”等升级的安全验证信息,复用手机号的用户没有这些信息,因此,在大多数时候,不会泄露用户隐秘。
需注意的是,部分小APP对姓名、身份证号、密码等私密信息的保护力度不够,可能泄露,不法分子拿到这些信息,再加上“手机号+验证码”,就可能登陆前主人使用的多个APP,从而获取更多的信息。
但这并不可怕。因为从用户注销手机号,到运营商二次投放市场,有三个月以上的间隔期,间隔期越长,信息的价值越小,因泄密给用户带来的影响也会快速衰减。
实际想想,如果“二次放号”真有明显的漏洞,即使是远弱于“出卖自己”的小漏洞,公安部反诈中心都不会任由电信运营商不断“二次放号”。
3. 如何降低注销手机号带来的风险?
(1)针对管理部门:
①充分认识到安全级别的强弱,“身份证号、姓名、活体”高于“身份证号+姓名+手机验证码”,更高于“手机号+验证码”,前者更安全,能为后者“背书”,后者不能为前者背书。“手机号+验证码”可用于实名制登陆,但不能用于支付环节的安全验证。
②强化APP的登陆异常判定。手机号注销后的静默期,都在APP判定为异常。在主流APP软件登陆验证环节,强制要求增加登陆异常判定。判定异常时,应采用比“手机号+验证码”更安全的强化安全验证。
③减小网络实名制的范围,尽可能避免没有管理能力的团队拿到用户的实名信息。
(2)针对用户个人:
①非必须不注册APP。
②密码分级,APP分级,常用、支付相关APP,密码要采用独立的安全强度更高的密码。
③尽可能少在互联网平台存储隐秘信息,能不存就不存,能少存就少存,如必须使用,用后也应立刻删除。
④注销手机号码时,尽可能把银行、互联网支付工具的关联手机号码修改为新的自己正在使用的手机号码,以便第一时间收到官方提醒信息和验证码信息。