SIM 卡 PIN 码，99% 的人都忽略的细节

目录: 区块链 | 标签: 区块链 , Blockchain , 安全 , Security , SIM | 发表时间: Mar 1, 2020.

Viewd times.

文/Robin

---

本站推广

币安是全球领先的数字货币交易平台，提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://www.binancezh.com/cn/register/?ref=11190872
邀请码: 11190872

---

这是「区块链技术指北」的第 68 篇文章。

---

北京时间 2 月 22 日上午，一位自称「zhoujianfu」的用户在 Reddit.com 上发帖求救，称自己刚刚丢失了 1547 个比特币和不到 6 万个比特币现金（目前总计价值 2.6 亿元），并 PO 出了自己的地址。币印创始人潘志彪对其签名进行确认，证实「地址确实是他的」。

zhoujianfu 在 Reddit 上发布的求救信息暗示，本次攻击实施方式疑似通过 SIM 卡，也就是我们常说的 SIM hack。慢雾安全团队在跟进分析后推测 zhoujianfu 使用了 Blockchain.info 在线钱包。

二 SIM 卡安全

---

加密货币世界，中心化和去中心化服务共存。不少中心化的服务使用了二次验证服务，包括 Google 二次验证、短信验证、邮箱验证等。用户设置了短信验证，就有可能出现 SIM hack 的可能。

题图来自：© Prasanna Devannagari / Westworld Season 3 Trailer / clickitornot.com

那么问题来了，读者的 SIM 卡安全吗？有没有审视过自己的 SIM 卡？

在审视 SIM 卡之前，我们先了解几个概念。

第一，PIN。

• SIM PIN（个人识别码）是一个 4-8 位密码，用于向系统验证用户；
• 手机的 PIN 是 SIM 卡内的存储单元，也是保护 SIM 卡不被盗的安全措施；
• 如果您的手机支持「PIN 安全功能」并且已激活，则每次启动手机时都需要输入 PIN 才能解锁 SIM 卡；
• PIN 由电信运营商提供，可以重置和修改；
• 如果错误的 PIN 输入超过三次，SIM 卡和手机都将被锁定。可以通过输入 PUK 解锁；
• 如果您不知道或忘记 PIN，请联系电信运营商寻求帮助（通常，1234 或 0000 是 SIM 的默认 PIN，但仅供参考，请谨慎使用）；

第二，PUK。

• PUK（个人识别号码解锁密钥）也称为 PUC（Pin Unlock Code）；
• PUK 是一串八个不规则数字，用户无法重置或修改。 它仅在更换 SIM 卡时更改；
• PUK 用于解锁 PIN，一些 PUK 随用户购买的 SIM 卡一起提供；
• 如果连续十次输入错误的 PUK，SIM 卡和手机将永久锁定，您必须将有效证书带到电信运营商商店重新签发新的 SIM 卡。因此，当 SIM 卡和手机被 PIN 锁定时，您需要及时联系电信运营商寻求专业协助，在简单验证用户数据后，您可以获得 PIN 或 PUK 来解锁您的 SIM 卡和手机。

第三，服务密码。

服务密码是中国移动客户的身份识别密码，由一组 6 位（神州行客户为 8 位）阿拉伯数字组成（每一位均可以是 0-9 的任一阿拉伯数字）。客户入网时自行设置或通过密码卡形式提供，客户凭服务密码可以通过中国移动各渠道获取相应的服务或产品。通过服务密码认证进行的行为，视为客户本人或客户本人授权的行为。

如今的互联网服务，已经弱化了密码，采用手机号 + 短信验证码鉴权的服务或产品越来越多。假如 SIM 卡被盗或者遗失，而且 PIN 码也是默认的 1234，短信验证码被不法用户截取，简直易如反掌。

---

在了解 SIM 卡 PIN 码的重要性之后，是时候做出行动了。

注意，启用 SIM 卡 PIN 码或者修改 PIN 码，请切记提前获知 SIM 卡的 PUK 码。中国移动用户在 App 我的，我的信息，号码资料可以查询到 PUK 码。

iOS 启用 SIM PIN 码的路径为：蜂窝网络，SIM 卡 PIN 码。进入后开启「SIM 卡 PIN 码」选项，此刻会要求输入 PIN 码（中国移动默认为 1234）。开启后，立马「更改 PIN 码」，输入默认的 PIN 码，然后输入 6 位或者 8 位数字，建议使用 1Password 之类的密码软件帮助管理。Android 机型太多，读者可以阅读机型的帮助文档进行设置，在此不再赘述。

开启 PIN 码后，每次开机都会要求输入正确的 PIN 码，否则 SIM 卡不能正常运作，如下图：

---

如果读者手机卡运营商是中国移动，还可以在 安全助手 里加强安全的设置，如下图：

其中可以设置，两项登录安全，两项密保。

登录安全：

• 登录保护：开通功能后，登录中国移动网上商城，将进行二次校验确认，提高您的账户安全。
• 登录提醒：开通功能后，您登录中国移动网上商城时将会收到登录提醒短信或邮件，保障您的账户安全。

密保设置：

• 密保问题：密保问题是基础安全工具，可作为二次验证的备选方案，建议开通。
• 密保手机：绑定手机后，可直接通过短信进行安全验证、密码找回等重要操作。

强烈建议读者开启。

五 Mixin Messenger

---

Mixin Messenger 账号采用手机号 + 短信验证码登录。Cedric Fung 在 Mixin Messenger 的分布式 D3M-PIN 码设计方案 一文中详细阐述了 D3M-PIN 的设计。即使读者的短信验证码被黑客劫持，读者在 Mixin 钱包的资产还是相对安全的。但假如读者设置的 Mixin 钱包 PIN 码非常简单，那就存在被盗的可能。所以，为了 100% 地保障信息的隐私和资产的安全，本文提供的 SIM 安全实战还是非常有用的。

---

中心化的加密货币服务，假设二次验证同时提供了 Google 二次验证、短信验证码，强烈建议读者关闭短信验证，只采用 Google 二次验证，从源头上就杜绝了 SIM hack 的可能。

---

本文从 zhoujianfu 被 SIM hack 导致巨额损失说起，讲解了 SIM 安全的几个概念，并给出了 SIM 安全的实战和进阶技巧，然后提到 Mixin Messenger 的 D3M-PIN 码设计方案。

您的每一次谨慎，都是加固安全之路的基石。安全和便利往往都是相悖的，越是觉得平常的地方越有可能疏忽，希望读者能认真审视自己的 SIM 卡安全。

---

本站推广

币安是全球领先的数字货币交易平台，提供比特币、以太坊、BNB 以及 USDT 交易。

币安注册: https://www.binancezh.com/cn/register/?ref=11190872
邀请码: 11190872

---

「区块链技术指北」同名 知识星球，二维码如下，欢迎加入。

「区块链技术指北」相关资讯渠道：

「区块链技术指北」同名知识星球，https://t.xiaomiquan.com/ZRbmaU3
官网，https://chainon.io
官方博客，https://blog.chainon.io
官方社区，https://bbs.chainon.io
Telegram Channel，https://t.me/chainone
Twitter，https://twitter.com/bcageone
Facebook，https://www.facebook.com/chainone.org
新浪微博，https://weibo.com/BlockchainAge

同时，本系列文章会在以下渠道同步更新，欢迎关注：

「区块链技术指北」同名微信公众号（微信号：BlockchainAge）
个人博客，https://dbarobin.com
知乎，https://zhuanlan.zhihu.com/robinwen
简书，https://www.jianshu.com/c/a37698a12ba9
Steemit，https://steemit.com/@robinwen
Medium，https://medium.com/@robinwan
掘金，[email protected]
EOS LIVE，https://eos.live/user/robin
币乎，https://bihu.com/people/22207

原创不易，读者可以通过如下途径打赏，虚拟货币、美元、法币均支持。

BTC: 3QboL2k5HfKjKDrEYtQAKubWCjx9CX7i8f
ERC20 Token: 0x8907B2ed72A1E2D283c04613536Fac4270C9F0b3
PayPal: https://www.paypal.me/robinwen
微信打赏二维码

–EOF–

版权声明：自由转载-非商用-非衍生-保持署名（创意共享4.0许可证）

</div