注册必须要验证手机号还不过瘾,花费时间精力通过额外设置启用了账密登录,在登录时还是要扯什么“当前登录存在风险,需要验证手机号”
实在让人感觉非常恶心,为什么擅自想定账密登录“不安全”?
老中遍地黑客 TLS 加密不好使了?
短信验证码就很牛逼安全满级吗?
实在让人感觉非常恶心,为什么擅自想定账密登录“不安全”?
老中遍地黑客 TLS 加密不好使了?
短信验证码就很牛逼安全满级吗?
 |
1
tanxnative 4 天前
这是国产的合规要求,实名制;
手机号码是最好的实名制关联工具 |
 |
2
tf2 4 天前  1
cac.gov.cn:你好。
|
 |
3
daliusu 4 天前
TLS 加密怎么防密码泄露,早些年各个网站被脱裤脱的密码到处都是,国内又普遍不用密码管理器,一个密码满天飞,短信就是验证成本最低最安全的方式了
|
 |
4
leoskey 4 天前
Know Your Customer
|
 |
5
ration 4 天前
说一个事,上家公司为了获取更多的用户,营销部门去其他公司买了注册用户,包括手机号
|
 |
6
usn PRO 只要保证 sim 卡的安全,就能保证账号的安全
|
 |
8
DT27 4 天前
 我都无语了,回帖必须验证手机号, 第一次点短信验证,提示短信接口错误, 第二次点,提示发送间隔过短,稍后再试, 多试了几次都是间隔多短,最后直接提示 一段时间内发送过多。。。 这么大网站,就干这事? |
 |
9
70599 OP 我明白多因素验证可以加固安全性。
但是账密登录怎么就不安全了呢? 而且多因素也可以 TOTP 、通行密钥,解决方案一大堆啊 国内黑客人均破解 TOTP ,但是同时短信验证码固若金汤吗? 就很费解,国际通行的、经过充分验证的可靠方案在简中区为什么就不灵了 |
 |
12
malusama 4 天前
这不是安全问题, 这是政府要求注册需要实名制的问题
|
 |
13
wuxinling 4 天前
因为国内法规规定了你不能把手机号出借给别人用,对于平台来说,手机号验证码就一定保证是你本人操作,所以登录之后的任何违规操作由你本人负责。密码没有法律规定,密码泄露了造成损失,平台可能要担风险;但是就算手机丢了验证码泄露造成的任何后果都是你负责的。
|
 |
14
66beta 4 天前 3
多方便啊,你知道国外网站沾点钱的都要做 KYC ,那玩意儿要提交多少个人资料不
 |
 |
15
RandomJoke 4 天前 1
多因素验证 ,要过等级保护基本必备。话说回来多因素验证,国际上也越来越多了吧。
|
 |
16
sunchaoylq 4 天前
实名制的原因。
有利有弊吧,好处是忘记密码的话可以轻松找回。 |
 |
17
zhonghao01 4 天前
最近几次登录登录 google 账户都需要我打开手机上的 youtube 点击确认了,上一个这么干的还是微信
|
 |
18
javalaw2010 4 天前 14
更多的原因是,这是中国绝大数民众为数不多能背下来的东西,其实我建议站里的程序员,都去一线当两天客服,当你面对无数普通用户“我账号忘记了,你帮我查一下”,“请你教教我怎么登录”的咨询的时候,你恨不得把该死账号系统给枪毙了。
|
 |
19
AV1 4 天前
“短信验证码”确实是很低成本但又相对安全的验证方式,
但最大的问题不是“短信验证码”本身,而是手机号又不是终身绑定,而是可以二次放号的。 但目前似乎并没有很好的机制来解决平台绑定手机号和手机二次放号导致身份变动的矛盾。 |
 |
20
urlk 4 天前 1
国外不也一样? 最基础的安全验证还是验证码 , 不管是 apple, tg , whatapp ,脸书 微软 这些, 需要账户确认的时候都要短信验证码的
平时用其他手段 这两年流行两步验证或者 passkey,国内倒是不怎么跟进 应该是和用户使用习惯有关 |
 |
21
liubian 4 天前 2
你所定义的安全跟政府厂商定义的安全是两回事
|
 |
22
rockddd 4 天前
如果网安不查,我们公司根本不会做等保认证,也不会搞什么手机和实名
|
 |
23
icanfork 4 天前
可是账号密码登录本身就是不安全呀
|
 |
24
luzemin 4 天前 1
SMS code 是普通人不用安装专用 APP 就能实现的 MFA 方式了
|
|
25
70599 OP @66beta #14
提交资料多少视我要使用服务内容而定,我可以自己决定做到什么程度。 而且你说的这种 KYC 流程基本上都是一次性的,而我发的主题是在说登录这个具体动作。 如果你认为你在举反例,请给一个具体例子,在完成 KYC 后,登录时还要求重新提交的。 |
 |
26
docx 4 天前 via iPhone
先有手机号绑定这个合规设定,然后验证码是基于此而顺理成章的验证形式
|
 |
27
somebody1 4 天前
1. 防止机器人,不管是邮箱还是直接输入名字,都很容易造成假账号泛滥,但是手机号就好多了,成本变高了
2. 简化的 2FA ,让你下载个 APP ,做 2FA ,对用户来说挺困难的,短信就简单多了 3. 合规要求 4. 傻瓜式服务客户找回密码之类信息,很多人注册个信息,一阵不用忘光了,手机号又忘不了,用手机号找回就行了。 |
 |
28
Meursau1T 4 天前
可以去看看 reddit 的 degoogle 区,了解下业界最新动态🤣
|
 |
29
lw10645 4 天前
首先点名中国移动,贼傻逼,每个月领视频会员权益,之前直接点了领取就行,现在要发验证码,领了一个领下一个提示发送验证码过快,领 3 个硬控我 3 分多钟
|
 |
30
woodfizky 4 天前
国内手机号有实名认证啊,国内网站/服务强制要求用户绑定手机号。
然后盗用手机号入刑,且短信服务产业链已经很成熟,企业开发接入很方便。 被攻击盗用手机验证码的可能性小,开发难度小。 如果网站/服务需要做风险控制,发现账号登录/使用的 IP 隔了一会变了,那触发风控要求用一下短信验证码校验,很自然啊。有什么问题吗? 你站在网站/服务的角度,特别是涉及支付或者虚拟资产的,如果账号密码被盗了容易产生用户损失。 当然有写网站/服务设计产品或者交互的方式,频繁使用短信验证码啥的,可能有它们自己的考虑,也可能是单纯设计不好。 |
 |
31
zerovoid 4 天前
作为开发者,我觉得短信验证码是最安全的,毕竟手机号被盗的概率远低于密码被盗的概率,只要触发风控,要求短信验证码验证是最简单的办法。
至于说实名的,如果系统没有实名认证机制,那说实在手机号就和实名没啥关系,你也可以用别人的手机号注册。 |
 |
32
hellozzh 4 天前
很明显是上头的要求,你要想要是没有上面的监管,这些 app 要玩得多花有多花
|
|
34
woodfizky 4 天前
账号密码真的不安全,不是说通信过程加密就不会泄露。
你真的不知道哪个服务/网站是不是保存了用户明文密码,且安全做的稀烂,或者内部泄露。 我从网易漏出去的密码,过了几年了,在几个国外网站都能收到说这个密码被盗用、不安全或者不唯一的提醒。 别说国内,全球大部分人都不想在不同的应用记不同的密码。 |
 |
36
letwewell 4 天前
挺方便的,不用记密码了,找回账号也方便。个人所得税 app 那个密码我一直都记不住
|
 |
37
june4 4 天前
很多人不同网站都用同一个简单密码,如果有人拿密码库大规模碰你的用户,损失算谁的
当然可以改进一点,比如密码如果是生成器生成的那种很长的随机密码,应该降低一点要求短信的频率。 |
|
38
70599 OP @66beta #35
短信/email 可以视作是基本信息,和你特意提及的“国外服务 KYC 必须提交很多很多的个人资料”有什么关系 什么提交短信/email 就能过的 KYC 值得你用“那玩意儿要提交多少个人资料不”来表述 |
 |
39
back0893 4 天前
很简单 短信的安全性和方面都不错
如果能都用 f2a 就很好了 |
 |
40
helionzzz 4 天前
为什么擅自想定账密登录“不安全”? 因为账密登录就是不安全啊
|
 |
41
crytis 4 天前
短信验证码在安全、成本、合规各方面是最平衡最佳的方案
|
 |
42
ixcode 4 天前 1
技术上需要 OTP ,政策上需要实名,两者一拍即合
|
 |
44
FrankAdler 4 天前 via Android
阿里云你前脚用短信验证码登录完,后脚告诉你账号有风险,让你再验证下手机号,用的还是短信验证码
|
 |
45
HotieCutie 4 天前
第一手机号码是实名的,知道手机号就能知道是谁,第二,可以通过手机号码发营销短信。所以肯定得收集
|
 |
46
54xavier 4 天前
确实,特别是我想要抓个 api 来用用,他的登录居然除了要账号密码,还需要手机验证码,导致我基本上没办法绕过这些需要手机验证码的 api 。不然可以抓很多 api 出来用用的。
|
 |
47
gorira 4 天前
你问徐金平啊,问我们敲代码的干什么
|
 |
48
vialon17 4 天前
感觉验证码不如 2FA 方便,成本还低了很多;
|
 |
49
ala2008 4 天前
密码模式确实容易被撞库。。很多人都只有一份密码,包括我
 |
 |
50
clarkethan 4 天前
因为短信验证码简单、够用
|
 |
51
Helsing 4 天前 via iPhone
黑灰产太多了
|
 |
52
hefish 4 天前
是的,我们在外国就从来不用短信验证码。
|
 |
53
icyalala 4 天前
这里说的风险,不是说给你带来的风险,而是你给平台带来的风险。。。
|
 |
54
leonshaw 4 天前 via Android
想归因于体制就直说,不用藏着掖着
|
 |
55
edinina 4 天前 via iPhone
老生常谈了,更烦的是有些还必须扫码,选择了非扫码登录方式登录成功以后,还必须扫码验明身份,费这么大劲干嘛到底
|
 |
58
SenLief 3 天前 via iPhone
因为 2fa 普及度不够,而验证码是最简单直接的验证方式。我觉得并没有什么不妥,都是一种验证方式吧了。
|
 |
59
fredweili 3 天前
你哪怕说一个能比短信更好的验证方式,而且能让几亿老人一看就会
|
 |
60
hubaq 3 天前
典型的你以为,在 99.99%的用户眼里,验证码比其他服务都简单。
|
 |
61
msaionyc 3 天前
1.国内用户确实大部分都是天然呆,验证码确实可以解决很多问题
2.不要觉得所有人都像自己这么会记录账号密码,了解安全,了解各种技术原理,觉得自己了解的这些东西都是基础知识 3.国外用的方案不一定就是标准答案,另外你说的所谓的好方案也不一定就更适合咱国内 |
 |
62
xFrye 3 天前
因为用手机号是做账号系统最简单直接的方式
|
|
63
msaionyc 3 天前
另外,国外很多平台不也有邮箱验证吗?邮箱验证和手机验证本质就是一个东西,只是国内不怎么用邮箱而已,你咋说的国外就没有一样,动不动就《国内》《老中》《简中》
|
 |
64
kristofer 3 天前
短信验证就是方便、好推广、相对来说就是安全呀。
|
 |
65
Rorysky 3 天前
你注册谷歌账户也要手机号验证呀
|
 |
66
zpf124 3 天前
二次验证在全世界都很常见吧,我在非常用电脑上登个微软账号、谷歌账号也需要啊。
只不过国内大部分只允许短信验证了而已,TOTP 动态密码支持相对少,而国外应用还普遍支持邮箱验证,其它的没多少不同。 国内网易将军令,腾讯令牌,还有些网站或应用直接支持 TOTP 标准的。 |
 |
68
gouli1835537132 3 天前 via Android
当然是为了确定你的身份。。。
|
 |
69
frankilla 3 天前
其实我想说,普通用户根本就没有你们那么多想法,甚至都不想设置密码,什么 f2a 等更是一脸懵逼,一个手机验证码登录多方便。
我建议你们程序员下沉一下普通用户或者当一段时间客服? |
 |
70
songsongqaq 3 天前
啊对对对 我们在外国就从来不用短信验证码。
|
 |
71
Huelse 3 天前
以前的互联网是不用的,但现在就连谷歌都强绑手机号了,只能说明当下互联网生态如此。
|
 |
72
kingstar718 3 天前
这算不错的了,起码是发短信验证码给你,网易腾讯之流,还得你发验证码给他们,短信钱是不出的
 |
 |
74
Chengnan049 3 天前
@songsongqaq 说的是现在有密码登录也必须短信验证的,国内很难找到能直接登录的
|
|
75
Chengnan049 3 天前
@javalaw2010 那这不是提供了两种方式么,那些能记住密码的又得收短信,那我还设置干啥
|
 |
76
lscho 3 天前 via Android
因为短信验证码就是最适合用户自助完成注册加找回密码的方式,没有之一。
普通用户忘记密码的概率太大了,密码他都记不住,还指望他记住其他什么东西 |
|
77
lscho 3 天前 via Android
其次,有些敏感操作场景使用验证码并一定是为了安全,而是为了责任区分。
比如涉及到资金交易授权,web 端除了用短信验证码,还有什么能快速确认是用户本人在操作呢?毕竟丢了手机,还被人解锁看到短信验证码的概率几乎为 0 |
 |
78
500 3 天前
@kingstar718 这样做一方面是节省了发短信费用,另一方面是防止虚拟手机号注册,如阿里小号,还有其他的类似只能接收短信不能发短信的虚拟手机号服务,由此衍生的一类专门的接码服务。微信注册是要用户发短信验证的,拦住了此类用户
|
 |
79
ryd994 3 天前 via Android
|
 |
80
dmanbu 2 天前
我现在看见短信验证码、手机扫码就想吐
|
 |
81
gpt5 2 天前
非国产网络服务我也都用短信验证啊,每次打开 2fa 的应用太麻烦了😊
|
 |
82
lysf0515 2 天前
网易邮箱也是个垃圾,登录提示我存在风险,改密码还需要发短信验证
 |
 |
83
jackOff 2 天前
这是对于大众来说心智负担最低的校验手段,你让普通人用密码管理器、2fa 软件还是有点嫌弃麻烦的,有的人就是不喜欢安装额外软件,更别说国内今年搞的网证登录 app ,一堆人抵触情绪拉满了
|
|
84
jackOff 2 天前
而短信校验就本来应当承担身份校验的属性,只能说三大运营商搞了太多灰产业务导致短信的可信度开始下降
|
 |
86
julyclyde 2 天前
TOTP app ,大部分人其实都不会用吧
古代银行还用过刮刮卡之类的,都是在简化门槛 |
 |
87
MoRanjiang 1 天前
主要是怕用户发表言论之后以“账号被盗”为名脱罪。
|
Select Language