如今，短信作为验证码是常用的身份认证方式。我们登录网站系统、App服务，主流的方式都有手机验证码登录的选项。用户预先留下了手机号，登录的时候，服务器生成一次性随机码，通过短信的方式发送给用户，用户输入验证码，就实现身份认证了。

这种方式隐藏着巨大的隐患。短信作为验证码，是最重要的机密信息，但是由于短信服务属于2G移动通信技术，在空口传输的时候，没有进行加密保护，所以短信可以被黑客采用专用设备嗅探侦听到，包括用户的手机号码，也有技术手段可以分析得到。这样，以手机号码作为用户ID，以接收到的短信作为秘密凭证，这种登录方式是可以被攻击的。现实中，发生过多起类似事件，黑客利用短信验证码的安全漏洞攻击了用户的网银支付系统，给用户造成重大损失。

实施短信验证码攻击的前提是黑客在你附近，可以从空口接收到你的短信验证码。明白了这个原理，我们其实可以采取点预防措施，比如可以注册亲人、朋友的手机号码用于接收短信验证码。这样，两部手机异地，黑客攻击就无从下手了。

当然，最终的解决方案还是要靠运营商的通信安全服务升级。5G推出的基于IP的短信业务，是进行了加密传输保护的，这就可以避免空口嗅探短信验证码的风险了。