专栏首页区块链技术指北SIM 卡 PIN 码,99% 的人都忽略的细节

SIM 卡 PIN 码,99% 的人都忽略的细节

一 前言

北京时间 2 月 22 日上午,一位自称「zhoujianfu」的用户在 Reddit.com 上发帖求救,称自己刚刚丢失了 1547 个比特币和不到 6 万个比特币现金(目前总计价值 2.6 亿元),并 PO 出了自己的地址。币印创始人潘志彪对其签名进行确认,证实「地址确实是他的」。

zhoujianfu 在 Reddit 上发布的求救信息暗示,本次攻击实施方式疑似通过 SIM 卡,也就是我们常说的 SIM hack。慢雾安全团队在跟进分析后推测 zhoujianfu 使用了 Blockchain.info 在线钱包。

二 SIM 卡安全


加密货币世界,中心化和去中心化服务共存。不少中心化的服务使用了二次验证服务,包括 Google 二次验证、短信验证、邮箱验证等。用户设置了短信验证,就有可能出现 SIM hack 的可能。

那么问题来了,读者的 SIM 卡安全吗?有没有审视过自己的 SIM 卡?

在审视 SIM 卡之前,我们先了解几个概念。

第一,PIN。

1、SIM PIN(个人识别码)是一个 4-8 位密码,用于向系统验证用户; 2、手机的 PIN 是 SIM 卡内的存储单元,也是保护 SIM 卡不被盗的安全措施; 3、如果您的手机支持「PIN 安全功能」并且已激活,则每次启动手机时都需要输入 PIN 才能解锁 SIM 卡; 4、PIN 由电信运营商提供,可以重置和修改; 5、如果错误的 PIN 输入超过三次,SIM 卡和手机都将被锁定。可以通过输入 PUK 解锁; 6、如果您不知道或忘记 PIN,请联系电信运营商寻求帮助(通常,1234 或 0000 是 SIM 的默认 PIN,但仅供参考,请谨慎使用);

第二,PUK。

1、PUK(个人识别号码解锁密钥)也称为 PUC(Pin Unlock Code); 2、PUK 是一串八个不规则数字,用户无法重置或修改。 它仅在更换 SIM 卡时更改; 3、PUK 用于解锁 PIN,一些 PUK 随用户购买的 SIM 卡一起提供; 4、如果连续十次输入错误的 PUK,SIM 卡和手机将永久锁定,您必须将有效证书带到电信运营商商店重新签发新的 SIM 卡。因此,当 SIM 卡和手机被 PIN 锁定时,您需要及时联系电信运营商寻求专业协助,在简单验证用户数据后,您可以获得 PIN 或 PUK 来解锁您的 SIM 卡和手机。

第三,服务密码。

服务密码是中国移动客户的身份识别密码,由一组 6 位(神州行客户为 8 位)阿拉伯数字组成(每一位均可以是 0-9 的任一阿拉伯数字)。客户入网时自行设置或通过密码卡形式提供,客户凭服务密码可以通过中国移动各渠道获取相应的服务或产品。通过服务密码认证进行的行为,视为客户本人或客户本人授权的行为。

如今的互联网服务,已经弱化了密码,采用手机号 + 短信验证码鉴权的服务或产品越来越多。假如 SIM 卡被盗或者遗失,而且 PIN 码也是默认的 1234,短信验证码被不法用户截取,简直易如反掌。

三 实战


在了解 SIM 卡 PIN 码的重要性之后,是时候做出行动了。

注意,启用 SIM 卡 PIN 码或者修改 PIN 码,请切记提前获知 SIM 卡的 PUK 码。中国移动用户在 App 我的,我的信息,号码资料可以查询到 PUK 码。

iOS 启用 SIM PIN 码的路径为:蜂窝网络,SIM 卡 PIN 码。进入后开启「SIM 卡 PIN 码」选项,此刻会要求输入 PIN 码(中国移动默认为 1234)。开启后,立马「更改 PIN 码」,输入默认的 PIN 码,然后输入 6 位或者 8 位数字,建议使用 1Password 之类的密码软件帮助管理。Android 机型太多,读者可以阅读机型的帮助文档进行设置,在此不再赘述。

开启 PIN 码后,每次开机都会要求输入正确的 PIN 码,否则 SIM 卡不能正常运作,如下图:

四 进阶


如果读者手机卡运营商是中国移动,还可以在 安全助手 里加强安全的设置,如下图:

其中可以设置,两项登录安全,两项密保。

登录安全:

1、登录保护:开通功能后,登录中国移动网上商城,将进行二次校验确认,提高您的账户安全。 2、登录提醒:开通功能后,您登录中国移动网上商城时将会收到登录提醒短信或邮件,保障您的账户安全。

密保设置:

1、密保问题:密保问题是基础安全工具,可作为二次验证的备选方案,建议开通。 2、密保手机:绑定手机后,可直接通过短信进行安全验证、密码找回等重要操作。

强烈建议读者开启。

五 Mixin Messenger


Mixin Messenger 账号采用手机号 + 短信验证码登录。Cedric Fung 在 Mixin Messenger 的分布式 D3M-PIN 码设计方案 一文中详细阐述了 D3M-PIN 的设计。即使读者的短信验证码被黑客劫持,读者在 Mixin 钱包的资产还是相对安全的。但假如读者设置的 Mixin 钱包 PIN 码非常简单,那就存在被盗的可能。所以,为了 100% 地保障信息的隐私和资产的安全,本文提供的 SIM 安全实战还是非常有用的。

六 其他


中心化的加密货币服务,假设二次验证同时提供了 Google 二次验证、短信验证码,强烈建议读者关闭短信验证,只采用 Google 二次验证,从源头上就杜绝了 SIM hack 的可能。

七 小结


本文从 zhoujianfu 被 SIM hack 导致巨额损失说起,讲解了 SIM 安全的几个概念,并给出了 SIM 安全的实战和进阶技巧,然后提到 Mixin Messenger 的 D3M-PIN 码设计方案。

您的每一次谨慎,都是加固安全之路的基石。安全和便利往往都是相悖的,越是觉得平常的地方越有可能疏忽,希望读者能认真审视自己的 SIM 安全。

题图来自:© Prasanna Devannagari / Westworld Season 3 Trailer / clickitornot.com

本文分享自微信公众号 - 区块链技术指北(BlockchainAge),作者:温国兵

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-03-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何避免手机失窃后倾家荡产——手把手教你设置SIM卡密码(也就是PIN密码)

    近期,一篇标题为《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》的文章引发关注和热议,不法分子偷盗个人手机后,在某政务App窃取用户个人信息,进而申...

    Java架构师历程
  • 手机验证码成网络犯罪"背锅侠",我来为电信运营商鸣个冤!

    需要指出的是,这是短信验证码的价值发挥,而非义务所在!凭什么手机号码就可以验证个人信息,什么时候赋予手机号码这个职能了?验证码就能替代口令与用户意志的话,还要身...

    悲了伤的白犀牛
  • 手机被偷了该怎么办

    伪君子
  • 5G来了,需要更换SIM卡吗?

    2019年作为5G元年,随着中国5G牌照的发放,5G离我们的生活越来越近。众所周知,要想体验5G速度,换支持5G的手机是必须的。

    鲜枣课堂
  • wpa_supplicant.conf 配置文件解析(二)

    上一篇链接:https://blog.csdn.net/qq_43804080/article/details/100739897

    用户7557625
  • 打开手机的这个功能,微信支付宝不怕盗刷!

    面对层出不穷的诈骗方式和盗刷手段 支付平台也开启了各种验证模式 手机丢了不可怕 可怕的是与之绑定的各种账号 一个短信验证码 你的支付宝、微信便全落入他人手中! ...

    企鹅号小编
  • 如何挑选黑莓手机

    针对混乱的黑莓市场,新手该如何选机: 1-检查机器运营商Logo标志:检查开机和关机Logo标志,凡是机器屏幕上显示运营商Logo标志和机器外壳上运营上标志不统...

    全栈程序员站长
  • 移动支付时代的手机和app安全设置

           进入移动互联网时代,移动支付已被大多数都市上班族所接受,逛个超市如果你说不能支持支付宝或者微信支付,估计会被深深鄙视,甚至就连菜市场买菜都可以随手...

    s1mba
  • Hacking Team移动智能设备入侵途径—WAP PUSH

    0x00 概览 Hacking Team的RCS针对的系统平台覆盖面广、泄漏的源码模块众多。安恒安全研究团队发现其中的vector-rmi-master.zi...

    安恒信息
  • Nokia Booklet 3G使用指南

    在购买联通3G上网卡套餐之前,为了避免买来的usim卡不能使用,我特地先去nokia的booklet支持网站查了查帖子。结果发现有个捷克的兄弟从美国的Bestb...

    py3study
  • Android6.0锁屏源码分析之界面布局分析

    大致先介绍一下锁屏界面 Android的锁屏界面可以分为两级, 一级锁屏界面暂且称之为锁屏界面LockScreen,即平常用到的无需任何输入和验证,只需滑动解锁...

    fanfan
  • 想确保你的比特币安全?先保护好电话号码再说!

    不久前,加密数字货币投资人、Wharton FinTech 前总裁 David Gogel 先后收到了两封来自不明黑客的勒索邮件。

    区块链大本营
  • 2018年8月15日UDP编程和面向对象的TCP编程

    TCP协议:(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议 UDP协议:(U...

    武军超
  • 如何抵御MFA验证攻击

    事实证明,多因素验证(MFA)对保护用户凭据至关重要,许多公司正在采用MFA来确保访问者对其IT环境的安全访问。因此,有些攻击者可能就会设计破解和规避MFA的技...

    用户8028881
  • wpa_supplicant 的配置说明文件 wpa_supplicant.conf

    通过从客户端认证中退出,windows下的认证储存可以被使用,并且私人密匙可以通过以下格式配置: cert://substring_to_match has...

    iOSDevLog
  • 关于 webpack 你所忽略的细节(附源码分析)

    随着前端技术的火热发展,工程化,模块化和组件化的思想已逐步成为主流,与之相应的,就需要有一整套工具流可以支撑起它。

    Jintao Zhang
  • T-Mobile称:用户数据泄露由SIM卡交换攻击引起

    据 Bleeping Computer 最新消息披露,美国电信运营商 T-Mobile 发生了一起数据泄露事件,有不明数量的客户遭受了SIM交换攻击。

    FB客服
  • 一步一步教你如何解锁被盗的iPhone 6S

    即使你的iPhone6S设置了六位数的密码,甚至还设置了touch ID,但我要告诉你的是:你的手机仍然能被犯罪分子解锁。 ? 事件背景 三天前,一位苹果用户的...

    FB客服
  • 他晒了一张奶酪照片,被判入狱13年半

    家住英国利物浦的卡尔(Carl Stewart),逛超市的时候看到了一块高级奶酪。

    量子位

扫码关注云+社区

领取腾讯云代金券