PDF《TC260-PG-20182A》

三、措施建议 建议各移动应用、网站服务提供商对业务系统中短信验 证码的使用方式进行摸底,例如在用户注册、密码找回、资 金支付等环节的短信验证码使用情况,并评估相关安全风险, 优化用户身份验证措施.以下身份验证措施,建议选用一种

3 或采用多种方式组合,加强安全性: 1.短信上行验证.提供由用户主动发送短信用以验证身 份的功能,如要求用户在规定时间内(如60 秒),使用已 绑定的手机号码向移动应用、网站服务提供商指定的短信服 务号码发送指定内容短信,移动应用、网站服务根据短信内 容对用户身份进行验证. 2.语音通话传输验证码.提供通过语音通话传输验证码 的功能,需要验证用户身份时,由用户向移动应用、网站服 务发送验证码请求,移动应用、网站服务提供商拨打用户绑 定的手机号码,以语音通话方式告知用户验证码. 3.常用设备绑定.提供将用户账号与常用设备绑定的功 能, 原则上支付、 转账等敏感操作只能通过该绑定设备执行. 设备绑定、更换等操作应采用短信上行验证、语音通话传输 验证码等方式,并采用诸如要求用户回答预设问题、提供注 册时填写的相关用户信息或核对该用户账号近期操作记录 等方法进一步确认用户身份. 4.生物特征识别.提供通过生物特征识别技术验证用户 身份的功能,采用指纹识别、人脸识别等生物特征识别技术 验证用户身份. 5.动态选择身份验证方式.提供动态选择用户身份验证 的方式,当需要验证用户身份时,移动应用、网站服务提供 商随机选择短信验证、语音通话验证、生物特征验证等方式

4 中的一种或多种,进行用户身份验证. 此外,个人用户应做好手机号、身份证号、银行卡号、 支付平台账号等敏感信息的保护.在收到来历不明的短信验 证码等异常情况时,提高警惕,及时联系相关移动应用、网 站服务提供商.