短信验证码识别用户身份的方式大概是在2015年底开始，3年后的今天许多人已经开始质疑其安全性，我们不时会听到因为短信验证码被恶意劫持从而造成个人信息泄露、财产损失的新闻，那么为什么时至今日我们还不能够跟短信验证码说再见呢？

实际上已经有服务商通过建立短信通道之外的安全通道来验证用户手机号码的真实性，比如Google的双因子认证服务，就是类似的套路。但是，短信通道依然被作为备用通道被保留下来了，在注册时依旧需要手机号及短信验证，这里就涉及到一个很重要的原则：可用性原则。

短信验证码之所以容易被劫持，是因为其所处的GSM通道只需要建立一个简单的2G伪基站就可以通过嗅探器截获短信内容，然后再通过中间人就可以模拟用户手机拨打电话从而获得手机号码盗取用户个人信息及财产。可能我们会奇怪，即将进入5G时代的我们为什么还会保留2G网络这么不稳定的通道，事实上截至17年我国仍有近3亿2G网络用户，就像我们手机里的网络选择只能是4G/3G/2G或是仅2G，而不能是仅4/3G一样，我们必须保证2G用户的网络可用，所以GSM通道不可能被舍弃。

在坚持可用原则的前提下，在更为安全的通道尚未建立的现实下，我们势必是不能跟短信验证码说再见的，在运营商完成网络升级完全摒弃2G网络之前，APP供应商可以通过增强验证渠道安全性来保护用户的信息财产安全。比如Mob短信验证码服务提供的语音验证功能，可以通过供应商回拨用户手机告知语音验证码的服务规避短信嗅探器的攻击，嗅探器所能截取的只能是短信内容对语音信息是无法获取的，这就能在一定程度上保证验证信息的安全性。