11月17日消息，在过去的五年里，SIM卡交换诈骗已经成为对物联网（IoT）设备最常见的攻击之一，有证据显示，任何拥有手机的人都有风险。来自国家欺诈报告中心Action Fraud的数据显示，自2015年以来，此类骗局的受害者人数激增了400%，并给英国消费者造成了超过1000万英镑的损失。

近年来，基于短信的一次性密码（OTP）越来越受欢迎。这是大家熟悉的认证方式，服务提供商（如银行或电子邮件提供商）向用户的移动设备发送一个临时代码，要求在指定时间内提交。

这种系统提供了一种双因素认证的水平，除了用户密码之外，还希望能够提供安全性。短信OTP受欢迎的主要原因之一是其对用户的友好性，用户无需预先安装额外的应用程序就能对应用程序或交易进行认证。

    一个日益严重的威胁  

然而，短信一次性口令存在一些重大的安全问题。除了用户在旅行中可能收不到短信时出现的挑战外，他们还容易受到SIM卡交换、恶意软件和SS7（信号系统7）攻击。

为了进行SIM卡交换攻击，犯罪分子会冒充受害者到移动供应商处（通常使用公共信息），并将他们的电话号码切换到属于攻击者的新移动设备（和SIM卡）上。一旦发生这种情况，任何基于短信的OTP都会被发送给攻击者，他现在拥有受害者的电话号码。然后，他们就可以访问受害者的账户。

    防止基于SIM卡的攻击  

对于寻求更好的方法来防止SIM卡交换攻击的企业来说，可以使用一种更好的认证方法，利用设备本身的 "秘密"，而不仅仅是电话号码。在这种情况下，由于手机内的秘密是需要作为认证过程的一部分，所以接管受害者的电话号码不会帮助攻击者伪造身份。

有几种解决方案使用本地存储的秘密，包括软件一次性密码令牌和软令牌SDK（软件开发工具包）。然而，这些解决方案受到不同的攻击载体的影响：秘密可以被恶意软件从用户的移动设备中窃取，然后被攻击者在其他地方使用，以冒充用户的设备。

因此，更好的解决方案是需要一个本地的秘密（这样SIM卡交换对攻击者没有用），同时提供强大的保护，防止该秘密被恶意软件窃取。传统的解决方案需要专用的硬件（如一次性密码令牌或智能卡），这在可用性方面存在非常大的挑战。一种更好的方法是使用加密认证的安全软件。

基于安全的多方计算(MPC)，密码认证通过将密码密钥和秘密分成多个部分，并在移动设备和服务器之间共享，来保护密码密钥和秘密不被窃取。密码密钥部分永远不会在任何地方、任何时间组合在一起--防止被盗的机会。如果攻击者只窃取了加密密钥的一部分，即所谓的密钥份额，如果没有其余的份额，该密钥份额就毫无用处。此外，密钥份额经常是随机的，因此攻击者必须在基本相同的时间盗取两个份额才能学到任何东西。

考虑到用户的移动设备和企业的服务器之间有很强的隔离性，这是很困难的。其结果是一个纯软件的解决方案，结合了可用性和高安全性。