SIM 卡 PIN 碼，99% 的人都忽略的細節

2020 年 3 月 4 日
筆記

一前言

北京時間 2 月 22 日上午，一位自稱「zhoujianfu」的用戶在 Reddit.com 上發帖求救，稱自己剛剛丟失了 1547 個比特幣和不到 6 萬個比特幣現金（目前總計價值 2.6 億元），並 PO 出了自己的地址。幣印創始人潘志彪對其簽名進行確認，證實「地址確實是他的」。

zhoujianfu 在 Reddit 上發布的求救資訊暗示，本次攻擊實施方式疑似通過 SIM 卡，也就是我們常說的 SIM hack。慢霧安全團隊在跟進分析後推測 zhoujianfu 使用了 Blockchain.info 在線錢包。

二 SIM 卡安全

加密貨幣世界，中心化和去中心化服務共存。不少中心化的服務使用了二次驗證服務，包括 Google 二次驗證、簡訊驗證、郵箱驗證等。用戶設置了簡訊驗證，就有可能出現 SIM hack 的可能。

那麼問題來了，讀者的 SIM 卡安全嗎？有沒有審視過自己的 SIM 卡？

在審視 SIM 卡之前，我們先了解幾個概念。

第一，PIN。

1、SIM PIN（個人識別碼）是一個 4-8 位密碼，用於向系統驗證用戶； 2、手機的 PIN 是 SIM 卡內的存儲單元，也是保護 SIM 卡不被盜的安全措施； 3、如果您的手機支援「PIN 安全功能」並且已激活，則每次啟動手機時都需要輸入 PIN 才能解鎖 SIM 卡； 4、PIN 由電信運營商提供，可以重置和修改； 5、如果錯誤的 PIN 輸入超過三次，SIM 卡和手機都將被鎖定。可以通過輸入 PUK 解鎖； 6、如果您不知道或忘記 PIN，請聯繫電信運營商尋求幫助（通常，1234 或 0000 是 SIM 的默認 PIN，但僅供參考，請謹慎使用）；

第二，PUK。

1、PUK（個人識別號碼解鎖密鑰）也稱為 PUC（Pin Unlock Code）； 2、PUK 是一串八個不規則數字，用戶無法重置或修改。它僅在更換 SIM 卡時更改； 3、PUK 用於解鎖 PIN，一些 PUK 隨用戶購買的 SIM 卡一起提供； 4、如果連續十次輸入錯誤的 PUK，SIM 卡和手機將永久鎖定，您必須將有效證書帶到電信運營商商店重新簽發新的 SIM 卡。因此，當 SIM 卡和手機被 PIN 鎖定時，您需要及時聯繫電信運營商尋求專業協助，在簡單驗證用戶數據後，您可以獲得 PIN 或 PUK 來解鎖您的 SIM 卡和手機。

第三，服務密碼。

服務密碼是中國移動客戶的身份識別密碼，由一組 6 位（神州行客戶為 8 位）阿拉伯數字組成（每一位均可以是 0-9 的任一阿拉伯數字）。客戶入網時自行設置或通過密碼卡形式提供，客戶憑服務密碼可以通過中國移動各渠道獲取相應的服務或產品。通過服務密碼認證進行的行為，視為客戶本人或客戶本人授權的行為。

如今的互聯網服務，已經弱化了密碼，採用手機號 + 簡訊驗證碼鑒權的服務或產品越來越多。假如 SIM 卡被盜或者遺失，而且 PIN 碼也是默認的 1234，簡訊驗證碼被不法用戶截取，簡直易如反掌。

三實戰

在了解 SIM 卡 PIN 碼的重要性之後，是時候做出行動了。

注意，啟用 SIM 卡 PIN 碼或者修改 PIN 碼，請切記提前獲知 SIM 卡的 PUK 碼。中國移動用戶在 App 我的，我的資訊，號碼資料可以查詢到 PUK 碼。

iOS 啟用 SIM PIN 碼的路徑為：蜂窩網路，SIM 卡 PIN 碼。進入後開啟「SIM 卡 PIN 碼」選項，此刻會要求輸入 PIN 碼（中國移動默認為 1234）。開啟後，立馬「更改 PIN 碼」，輸入默認的 PIN 碼，然後輸入 6 位或者 8 位數字，建議使用 1Password 之類的密碼軟體幫助管理。Android 機型太多，讀者可以閱讀機型的幫助文檔進行設置，在此不再贅述。

開啟 PIN 碼後，每次開機都會要求輸入正確的 PIN 碼，否則 SIM 卡不能正常運作，如下圖：

四進階

如果讀者手機卡運營商是中國移動，還可以在安全助手里加強安全的設置，如下圖：

其中可以設置，兩項登錄安全，兩項密保。

登錄安全：

1、登錄保護：開通功能後，登錄中國移動網上商城，將進行二次校驗確認，提高您的賬戶安全。 2、登錄提醒：開通功能後，您登錄中國移動網上商城時將會收到登錄提醒簡訊或郵件，保障您的賬戶安全。

密保設置：

1、密保問題：密保問題是基礎安全工具，可作為二次驗證的備選方案，建議開通。 2、密保手機：綁定手機後，可直接通過簡訊進行安全驗證、密碼找回等重要操作。

強烈建議讀者開啟。

五 Mixin Messenger

Mixin Messenger 帳號採用手機號 + 簡訊驗證碼登錄。Cedric Fung 在 Mixin Messenger 的分散式 D3M-PIN 碼設計方案一文中詳細闡述了 D3M-PIN 的設計。即使讀者的簡訊驗證碼被黑客劫持，讀者在 Mixin 錢包的資產還是相對安全的。但假如讀者設置的 Mixin 錢包 PIN 碼非常簡單，那就存在被盜的可能。所以，為了 100% 地保障資訊的隱私和資產的安全，本文提供的 SIM 安全實戰還是非常有用的。

六其他

中心化的加密貨幣服務，假設二次驗證同時提供了 Google 二次驗證、簡訊驗證碼，強烈建議讀者關閉簡訊驗證，只採用 Google 二次驗證，從源頭上就杜絕了 SIM hack 的可能。

七小結

本文從 zhoujianfu 被 SIM hack 導致巨額損失說起，講解了 SIM 安全的幾個概念，並給出了 SIM 安全的實戰和進階技巧，然後提到 Mixin Messenger 的 D3M-PIN 碼設計方案。

您的每一次謹慎，都是加固安全之路的基石。安全和便利往往都是相悖的，越是覺得平常的地方越有可能疏忽，希望讀者能認真審視自己的 SIM 安全。

題圖來自：© Prasanna Devannagari / Westworld Season 3 Trailer / clickitornot.com