注册必须要验证手机号还不过瘾,花费时间精力通过额外设置启用了账密登录,在登录时还是要扯什么“当前登录存在风险,需要验证手机号”
实在让人感觉非常恶心,为什么擅自想定账密登录“不安全”?
老中遍地黑客 TLS 加密不好使了?
短信验证码就很牛逼安全满级吗?
实在让人感觉非常恶心,为什么擅自想定账密登录“不安全”?
老中遍地黑客 TLS 加密不好使了?
短信验证码就很牛逼安全满级吗?
 |
1
tanxnative 23 小时 41 分钟前
这是国产的合规要求,实名制;
手机号码是最好的实名制关联工具 |
 |
2
tf2 23 小时 40 分钟前
cac.gov.cn:你好。
|
 |
3
daliusu 23 小时 39 分钟前
TLS 加密怎么防密码泄露,早些年各个网站被脱裤脱的密码到处都是,国内又普遍不用密码管理器,一个密码满天飞,短信就是验证成本最低最安全的方式了
|
 |
4
leoskey 23 小时 37 分钟前
Know Your Customer
|
 |
5
ration 23 小时 34 分钟前
说一个事,上家公司为了获取更多的用户,营销部门去其他公司买了注册用户,包括手机号
|
 |
6
usn PRO 只要保证 sim 卡的安全,就能保证账号的安全
|
 |
7
70599 OP |
 |
8
DT27 23 小时 25 分钟前
 我都无语了,回帖必须验证手机号, 第一次点短信验证,提示短信接口错误, 第二次点,提示发送间隔过短,稍后再试, 多试了几次都是间隔多短,最后直接提示 一段时间内发送过多。。。 这么大网站,就干这事? |
|
9
70599 OP 我明白多因素验证可以加固安全性。
但是账密登录怎么就不安全了呢? 而且多因素也可以 TOTP 、通行密钥,解决方案一大堆啊 国内黑客人均破解 TOTP ,但是同时短信验证码固若金汤吗? 就很费解,国际通行的、经过充分验证的可靠方案在简中区为什么就不灵了 |
 |
12
malusama 22 小时 28 分钟前
这不是安全问题, 这是政府要求注册需要实名制的问题
|
 |
13
wuxinling 22 小时 28 分钟前
因为国内法规规定了你不能把手机号出借给别人用,对于平台来说,手机号验证码就一定保证是你本人操作,所以登录之后的任何违规操作由你本人负责。密码没有法律规定,密码泄露了造成损失,平台可能要担风险;但是就算手机丢了验证码泄露造成的任何后果都是你负责的。
|
 |
14
66beta 22 小时 13 分钟前  3
多方便啊,你知道国外网站沾点钱的都要做 KYC ,那玩意儿要提交多少个人资料不
 |
 |
15
RandomJoke 22 小时 10 分钟前 1
多因素验证 ,要过等级保护基本必备。话说回来多因素验证,国际上也越来越多了吧。
|
 |
16
sunchaoylq 22 小时 10 分钟前
实名制的原因。
有利有弊吧,好处是忘记密码的话可以轻松找回。 |
 |
17
zhonghao01 22 小时 5 分钟前
最近几次登录登录 google 账户都需要我打开手机上的 youtube 点击确认了,上一个这么干的还是微信
|
 |
18
javalaw2010 22 小时 4 分钟前 10
更多的原因是,这是中国绝大数民众为数不多能背下来的东西,其实我建议站里的程序员,都去一线当两天客服,当你面对无数普通用户“我账号忘记了,你帮我查一下”,“请你教教我怎么登录”的咨询的时候,你恨不得把该死账号系统给枪毙了。
|
 |
19
AV1 22 小时 2 分钟前
“短信验证码”确实是很低成本但又相对安全的验证方式,
但最大的问题不是“短信验证码”本身,而是手机号又不是终身绑定,而是可以二次放号的。 但目前似乎并没有很好的机制来解决平台绑定手机号和手机二次放号导致身份变动的矛盾。 |
 |
20
urlk 21 小时 59 分钟前 1
国外不也一样? 最基础的安全验证还是验证码 , 不管是 apple, tg , whatapp ,脸书 微软 这些, 需要账户确认的时候都要短信验证码的
平时用其他手段 这两年流行两步验证或者 passkey,国内倒是不怎么跟进 应该是和用户使用习惯有关 |
 |
21
liubian 21 小时 59 分钟前 2
你所定义的安全跟政府厂商定义的安全是两回事
|
 |
22
rockddd 21 小时 54 分钟前
如果网安不查,我们公司根本不会做等保认证,也不会搞什么手机和实名
|
 |
23
icanfork 21 小时 53 分钟前
可是账号密码登录本身就是不安全呀
|
 |
24
luzemin 21 小时 52 分钟前 1
SMS code 是普通人不用安装专用 APP 就能实现的 MFA 方式了
|
|
25
70599 OP @66beta #14
提交资料多少视我要使用服务内容而定,我可以自己决定做到什么程度。 而且你说的这种 KYC 流程基本上都是一次性的,而我发的主题是在说登录这个具体动作。 如果你认为你在举反例,请给一个具体例子,在完成 KYC 后,登录时还要求重新提交的。 |
 |
26
docx 21 小时 49 分钟前 via iPhone
先有手机号绑定这个合规设定,然后验证码是基于此而顺理成章的验证形式
|
 |
27
somebody1 21 小时 46 分钟前
1. 防止机器人,不管是邮箱还是直接输入名字,都很容易造成假账号泛滥,但是手机号就好多了,成本变高了
2. 简化的 2FA ,让你下载个 APP ,做 2FA ,对用户来说挺困难的,短信就简单多了 3. 合规要求 4. 傻瓜式服务客户找回密码之类信息,很多人注册个信息,一阵不用忘光了,手机号又忘不了,用手机号找回就行了。 |
 |
28
Meursau1T 21 小时 46 分钟前
可以去看看 reddit 的 degoogle 区,了解下业界最新动态🤣
|
 |
29
lw10645 21 小时 43 分钟前
首先点名中国移动,贼傻逼,每个月领视频会员权益,之前直接点了领取就行,现在要发验证码,领了一个领下一个提示发送验证码过快,领 3 个硬控我 3 分多钟
|
 |
30
woodfizky 21 小时 38 分钟前
国内手机号有实名认证啊,国内网站/服务强制要求用户绑定手机号。
然后盗用手机号入刑,且短信服务产业链已经很成熟,企业开发接入很方便。 被攻击盗用手机验证码的可能性小,开发难度小。 如果网站/服务需要做风险控制,发现账号登录/使用的 IP 隔了一会变了,那触发风控要求用一下短信验证码校验,很自然啊。有什么问题吗? 你站在网站/服务的角度,特别是涉及支付或者虚拟资产的,如果账号密码被盗了容易产生用户损失。 当然有写网站/服务设计产品或者交互的方式,频繁使用短信验证码啥的,可能有它们自己的考虑,也可能是单纯设计不好。 |
 |
31
zerovoid 21 小时 34 分钟前
作为开发者,我觉得短信验证码是最安全的,毕竟手机号被盗的概率远低于密码被盗的概率,只要触发风控,要求短信验证码验证是最简单的办法。
至于说实名的,如果系统没有实名认证机制,那说实在手机号就和实名没啥关系,你也可以用别人的手机号注册。 |
 |
32
hellozzh 21 小时 33 分钟前
很明显是上头的要求,你要想要是没有上面的监管,这些 app 要玩得多花有多花
|
|
34
woodfizky 21 小时 30 分钟前
账号密码真的不安全,不是说通信过程加密就不会泄露。
你真的不知道哪个服务/网站是不是保存了用户明文密码,且安全做的稀烂,或者内部泄露。 我从网易漏出去的密码,过了几年了,在几个国外网站都能收到说这个密码被盗用、不安全或者不唯一的提醒。 别说国内,全球大部分人都不想在不同的应用记不同的密码。 |
 |
36
letwewell 21 小时 25 分钟前
挺方便的,不用记密码了,找回账号也方便。个人所得税 app 那个密码我一直都记不住
|
 |
37
june4 21 小时 23 分钟前
很多人不同网站都用同一个简单密码,如果有人拿密码库大规模碰你的用户,损失算谁的
当然可以改进一点,比如密码如果是生成器生成的那种很长的随机密码,应该降低一点要求短信的频率。 |
|
38
70599 OP @66beta #35
短信/email 可以视作是基本信息,和你特意提及的“国外服务 KYC 必须提交很多很多的个人资料”有什么关系 什么提交短信/email 就能过的 KYC 值得你用“那玩意儿要提交多少个人资料不”来表述 |
 |
39
back0893 20 小时 56 分钟前
很简单 短信的安全性和方面都不错
如果能都用 f2a 就很好了 |
 |
40
helionzzz 20 小时 49 分钟前
为什么擅自想定账密登录“不安全”? 因为账密登录就是不安全啊
|
 |
41
crytis 20 小时 6 分钟前
短信验证码在安全、成本、合规各方面是最平衡最佳的方案
|
 |
42
ixcode 19 小时 40 分钟前 1
技术上需要 OTP ,政策上需要实名,两者一拍即合
|
 |
44
FrankAdler 18 小时 56 分钟前 via Android
阿里云你前脚用短信验证码登录完,后脚告诉你账号有风险,让你再验证下手机号,用的还是短信验证码
|
 |
45
HotieCutie 18 小时 8 分钟前
第一手机号码是实名的,知道手机号就能知道是谁,第二,可以通过手机号码发营销短信。所以肯定得收集
|
 |
46
54xavier 17 小时 27 分钟前
确实,特别是我想要抓个 api 来用用,他的登录居然除了要账号密码,还需要手机验证码,导致我基本上没办法绕过这些需要手机验证码的 api 。不然可以抓很多 api 出来用用的。
|
 |
47
gorira 17 小时 14 分钟前
你问徐金平啊,问我们敲代码的干什么
|
 |
48
vialon17 17 小时 11 分钟前
感觉验证码不如 2FA 方便,成本还低了很多;
|
 |
49
ala2008 17 小时 8 分钟前
密码模式确实容易被撞库。。很多人都只有一份密码,包括我
 |
 |
50
clarkethan 14 小时 52 分钟前
因为短信验证码简单、够用
|
 |
51
Helsing 14 小时 50 分钟前 via iPhone
黑灰产太多了
|
 |
52
hefish 13 小时 18 分钟前
是的,我们在外国就从来不用短信验证码。
|
 |
53
icyalala 12 小时 40 分钟前
这里说的风险,不是说给你带来的风险,而是你给平台带来的风险。。。
|
 |
54
leonshaw 12 小时 19 分钟前 via Android
想归因于体制就直说,不用藏着掖着
|
 |
55
edinina 11 小时 55 分钟前 via iPhone
老生常谈了,更烦的是有些还必须扫码,选择了非扫码登录方式登录成功以后,还必须扫码验明身份,费这么大劲干嘛到底
|
 |
58
SenLief 4 小时 7 分钟前 via iPhone
因为 2fa 普及度不够,而验证码是最简单直接的验证方式。我觉得并没有什么不妥,都是一种验证方式吧了。
|
 |
59
fredweili 4 小时 4 分钟前
你哪怕说一个能比短信更好的验证方式,而且能让几亿老人一看就会
|
 |
60
hubaq 3 小时 16 分钟前
典型的你以为,在 99.99%的用户眼里,验证码比其他服务都简单。
|
 |
61
msaionyc 2 小时 50 分钟前
1.国内用户确实大部分都是天然呆,验证码确实可以解决很多问题
2.不要觉得所有人都像自己这么会记录账号密码,了解安全,了解各种技术原理,觉得自己了解的这些东西都是基础知识 3.国外用的方案不一定就是标准答案,另外你说的所谓的好方案也不一定就更适合咱国内 |
 |
62
xFrye 2 小时 49 分钟前
因为用手机号是做账号系统最简单直接的方式
|
|
63
msaionyc 2 小时 45 分钟前
另外,国外很多平台不也有邮箱验证吗?邮箱验证和手机验证本质就是一个东西,只是国内不怎么用邮箱而已,你咋说的国外就没有一样,动不动就《国内》《老中》《简中》
|
 |
64
kristofer 2 小时 44 分钟前
短信验证就是方便、好推广、相对来说就是安全呀。
|
 |
65
Rorysky 2 小时 29 分钟前
你注册谷歌账户也要手机号验证呀
|
 |
66
zpf124 2 小时 10 分钟前
二次验证在全世界都很常见吧,我在非常用电脑上登个微软账号、谷歌账号也需要啊。
只不过国内大部分只允许短信验证了而已,TOTP 动态密码支持相对少,而国外应用还普遍支持邮箱验证,其它的没多少不同。 国内网易将军令,腾讯令牌,还有些网站或应用直接支持 TOTP 标准的。 |
 |
68
gouli1835537132 1 小时 5 分钟前 via Android
当然是为了确定你的身份。。。
|
 |
69
frankilla 1 小时 3 分钟前
其实我想说,普通用户根本就没有你们那么多想法,甚至都不想设置密码,什么 f2a 等更是一脸懵逼,一个手机验证码登录多方便。
我建议你们程序员下沉一下普通用户或者当一段时间客服? |
 |
70
songsongqaq 58 分钟前
啊对对对 我们在外国就从来不用短信验证码。
|
 |
71
Huelse 44 分钟前
以前的互联网是不用的,但现在就连谷歌都强绑手机号了,只能说明当下互联网生态如此。
|
Select Language