從本人搜集的國內外十幾個案例來看。從不法分子獲得SIM卡控制權，到從銀行偷錢平均也就15分鐘左右。也就是說，一旦被劫持，等你打通銀行客服，錢很可能已經被偷了。

　　▼更安全的驗證方式：基于APP的兩步驗證

　　短信驗證碼一直是使用最廣泛的兩步驗證方法。但正如上文所述，短信驗證碼的安全隱患很多。所以銀行業很早就開始使用動態口令卡（比如網銀U盾）——一種類似于U盤的專門顯示動態驗證碼的設備。但想使用動態口令卡必須將其隨誰攜帶，便利性不佳。所以現在不少平臺都啟用了依賴于手機APP的兩步驗證，相當于把動態口令卡集成在了手機中。

　　使用手機兩步驗證APP時，用戶需要首先安裝并設置好APP，包括對需要驗證的賬戶的綁定。綁定完成后再登陸這些賬號時，兩步驗證APP就會推送動態驗證碼。用戶必須在登陸界面輸入該驗證碼才能完成登陸。當然，兩步驗證APP不僅可以用來登陸，也可用來驗證其它敏感操作。

　　大部分兩步驗證APP基于TOTP機制，不需要任何網絡連接（包括Wi-Fi），也不需要短信和SIM卡，驗證碼完全在手機本地生成。所以APP兩步驗證幾乎免疫了SIM卡劫持。

　　為什么說幾乎呢？那是因為在首次安裝兩步驗證APP時，用戶需要通過短信進行一些初始設置的驗證。但只要確保這時SIM卡不被劫持就安全了。

兩步驗證APP的驗證碼

　　另外必須要說的是兩步驗證APP只是繞開了短信驗證碼，并沒有解決SIM卡劫持的根本問題。也就是說你的SIM卡還可以被劫持。只不過不法分子不能在通過你的SIM卡威脅你的網絡和財產安全了。

　　▼兩步驗證APP的現狀

　　兩步驗證APP主要分兩類：“獨占類”和“開放類”。獨占類指只支持自家賬戶登錄的兩步驗證，比如新浪微盾。開放類則是一個純粹的兩步驗證APP，支持綁定第三方應用。這樣一個APP就能變成很多賬戶的驗證器，比如Authy 2-Factor Authentication。

Authy 2-Factor Authentication支持很多賬號

　　國外的優質開放類兩步驗證APP很多，都在這兩年流行了起來。主要是因為它們支持很多常用賬號，包括主流社交媒體、游戲、銀行、教育和醫療等平臺。

　　國內的兩步驗證APP基本都是獨占類。這樣一來每個賬戶都需要單獨裝一個APP，所以用的人很少。

　　▼結語

　　基于TOTP機制的兩步驗證APP有著比短信驗證碼高得多的安全性和相媲美的便利性，是一種能保障用戶財產安全的工具，非常值得推廣。希望國內會有信譽可靠的大公司推出開放類的兩步驗證APP，允許用戶綁定各種第三方賬戶，拋棄短信驗證碼。這樣才能把SIM卡劫持的危害降到最低。

責任編輯：王超