从9月初一篇《一部手机失窃而揭露的窃取个人信息实现资金盗取的黑色产业链》文章开始，关于“手机盗窃引起的个人信息和财产窃取”的话题讨论持续至今。

文中指出“黑产”操作的关键：利用“短信验证码”作为目前通行的账户安全验证手段，窃取用户身份信息、账户信息，然后解锁手机，再把银行卡、信用卡、微信、支付宝等金融和网络账户内的资金洗劫一空，甚至可以“帮”你申请网贷再转出。

问题分析：复盘整个过程 揭示问题

第一阶段，获取你的身份控制权。首先，获取手机号身份控制权。盗取手机；拔出SIM卡；获取该SIM卡对应的手机号码，并拿到你的短信验证码。其次，基于手机号身份控制权获取其他应用账号控制权以及姓名、身份证号、人脸等身份信息。修改手机密码，解锁手机，获取你的手机控制权；获取你的身份信息、银行卡号。至此，违法分子已获取你的身份信息、金融账户信息，完全控制了你的手机；如果你手机内有你的照片，甚至可以模拟你的动态人脸；你的身份信息及身份控制权已被盗取，盗窃分子足以在网络世界“代位”你本人。

第二阶段，洗劫你的可见财富和信用。盗取你微信、支付宝、银行卡内的所有余额；套现并盗取你所有信用卡内的所有额度；申请并盗取网贷额度。

总结现象来看，短信验证码已经成为相当多账号安全认证的通用手段，因此，违法份子可以通过短信验证码，获取你的信息、账号和手机的控制权，然后在网络世界取代你，并将一切后果转嫁给现实世界的你。

如何解决：针对问题根源 标本兼治

深入分析上述情况原因，其根本是：在底线思维上，缺乏一种让消费者能够掌握身份控制权的安全手段。

以往，账户安全的一般原则就是用户有什么就用什么，通过增添各种用户拥有的要素交叉验证，确保是用户本人。用户拥有的这些要素可以分成信息凭证（身份号码、账户号码等）、生物凭证（人脸、指纹）和密码凭证（基于密码技术的手段）三类。

随着应用的爆炸式增长和技术的快速迭代，信息凭证和生物凭证的攻击门槛越来越低。现在账户安全的接力棒，尤其是核心的安全手段，已经在逐渐向密码凭证转移。国内，最早大规模普及的密码凭证就是二代证、U盾，但移动互联网出现后这些安全手段因普及成本高、周期长，一直不被重视。

不过，这一情况正在发生改变。一方面，个人信息安全事件、个人财富“隔空”盗取事件、网络电信诈骗事件频发，使个人用户安全意识逐渐觉醒；另一方面，管理、服务部门也在加强普及网络安全意识和基础设施。此外，随着智能手机TEE/SE的标准化和开放性，密码凭证的普及成本正在大幅度降低，其中最为典型的安全手段就是eID。

eID是以国产自主密码技术为基础、以智能安全芯片为载体，由“公民网络身份识别系统”签发给公民的网络电子身份标识。与手机短信验证码不同，eID的使用天然具备密码保护；每人只有一个有效的eID；eID安全认证是在线服务的；手机丢失后，挂失eID立即有效阻止身份被盗用和冒用，犯罪份子无法解挂。

所以，只要用户挂失eID，马上就会隔离与eID关联账户的风险，不给违法分子可乘之机。一旦充分意识到风险离我们很近，相应的解决方案（比如eID的安全认证），也就会离我们越来越近。