密码登陆,奇葩的是输入密码后还需要手机号验证,明知道路的尽头必须手机,为何还要这样做
让我想到 Microsoft 的无密码登陆是否是未来趋势?
1
guaguaguaxia1 2022-07-14 11:38:01 +08:00
发短信要钱
|
2
pkwenda 2022-07-14 11:39:33 +08:00
发短信要钱 +1
|
3
v2tudnew 2022-07-14 11:41:44 +08:00
SMS 最不安全的,不过反正必须实名,也必须 SMS 找回密码,确实没必要密码了。
|
4
orangie 2022-07-14 11:44:59 +08:00 7
1.发短信要钱,比如抠门如腾讯,QQ 的验证短信有一部分是要求用户发给腾讯,而不是腾讯发给用户;如果一上来就发短信,是可能被狂刷短信的,而且也可能被利用成‘短信轰炸机’
2.手机号是可以换的,也可能会丢失,保持时长不如邮箱和密码,有不少人不敢换手机号的原因是绑定了太多的账号 |
5
ruixue 2022-07-14 11:48:42 +08:00 1
双因素验证和单因素验证的区别,密码+短信的安全性要大于只用密码或只用短信,有些平台支持纯短信登录但是检测到环境有风险也会额外增加其他验证手段的
|
6
lujiaosama 2022-07-14 11:53:40 +08:00
验证码好贵啊, 自己搭个小的 web 服务都不敢用短信验证...
|
7
brader 2022-07-14 11:58:16 +08:00
目前很多互联网网站的账号安全是堪忧的,如果登录一直采用短信验证模式,公司成本又上升,单纯采用密码模式,安全得不到保障。
我觉得现在比较靠谱、高效、低成本的做法是:还是使用密码登录,但是加入常用设备机制,新设备需附加验证短信验证,这样子的做法,和大部分网站原有系统不冲突,改动小,当然,你信不信大部分网站还是懒得改或者没有这方面意识,你信不信 |
8
zed1018 2022-07-14 12:02:01 +08:00
无密码应该是个趋势,但是无密码不等于短信登录,微软账号主推的还是 Authenticator 推送认证
|
9
imn1 2022-07-14 12:05:19 +08:00
#4 #5 合起来是合理解释
服务方其实想要高于单个密码的安全方式,但如果直接发短信,客户端可以无限次伪装为首次登入,刷爆服务方的短信服务;所以密码这时变成了一种验证码功能,降低发送短信的频率 |
10
Kiriya 2022-07-14 12:06:52 +08:00
给客户心里安慰,自己是设了密码的
|
11
7RTDKSAK 2022-07-14 12:14:25 +08:00
先密码后短信验证码,然而短信验证码可以重置密码,所以和只有短信验证码有什么区别?
我觉得电报的设计更合理,先收短信验证码确定这手机号确实有自然人(未必是号主)持有,然后输入二步验证密码确定是不是本人(当然密码泄漏这种情况就不说了),短信验证码和二步验证密码互相独 /\立,谁也不能重置谁,顶天了就是持有手机号的自然人可以销号重开 |
12
imicksoft 2022-07-14 12:56:49 +08:00
夸克网盘网页版没有密码登录了
|
13
yuhangch 2022-07-14 14:32:35 +08:00 1
tg 就更倾向于发验证码到移动客户端,苹果直接是给你验证码到其他机器
估计也是成本考虑?谷歌倒是财大气粗动不动发短信 |
14
xingheng 2022-07-14 14:55:13 +08:00 1
手机号是为了实名认证,密码才是为了登录。
|
15
lkk 2022-07-14 15:06:52 +08:00
短信是因为网监找上门的时候公司可以规避责任,不然谁用短信啊,那么贵。
|
16
wu67 2022-07-14 15:51:45 +08:00
要钱是一方面. 另一个是因为, 验证码在发送方的服务端有记录的, 当然超时之后会不会删掉我不清楚, 反正在有效期内, 你用的这个 app 的服务提供方是能查到这个码的. 所以只要有内鬼, 你懂的.
延伸一下课外小作业, 你平时收到那些不知道是啥的平台的注册短信时, 这背后发生了什么呢? |
17
yuhaijiang2019 2022-07-14 15:52:55 +08:00
这个问题我也纳闷呢,而且非常气愤
|
18
gam2046 2022-07-14 16:05:53 +08:00
国内多数服务,密码是多余、无意义的,因为短信验证码可以重置密码。
而无密码也仅限于用户可以使用已经验证的设备,再次认证新设备。用户的第一个可信设备认证还是需要密码。 |
19
huaxing0211 2022-07-14 16:14:29 +08:00
更有些难以理解的设计,有手机验证码登录和密码登录选项,使用密码登录还必须验证手机(即使是常用设备),那这 2 个选项是凑数用的么……
|
20
lambdaq 2022-07-14 16:16:30 +08:00 5
国内最傻吊不是手机登录,最傻吊的是提供微信 or 手机登陆两个选项,你点了微信登陆,特么又让你验证手机号。。。。等于是白嫖一个微信登陆 token 了。
|
21
avv 2022-07-14 17:12:35 +08:00
@huaxing0211 这个是风控
|
22
feitxue 2022-07-14 17:22:32 +08:00
@wu67 也有可能是研发做测试。。。随便输入手机号。。。
比如现在是 2022-0714-1721 我如果需要新账号测试某个功能,可能随手输入个 15607141721 这样的手机号 也可能是 15620221721 就类似这种 |
23
airplayxcom 2022-07-14 17:27:51 +08:00
@lambdaq 哈哈哈确实
|
24
wu67 2022-07-14 17:35:48 +08:00
@feitxue 有这种情况, 但是少. 因为后续开发可能还需要用这个号码查其他的, 所以我们以前都是用自己的号码或者是公司那几台公用机, 或者直接掏测试和产品人员的手机过来(理直气壮.jpg)
|
25
SummerOrange 2022-07-14 18:10:42 +08:00
手机收验证码登录多一步操作呀。
|
26
clf 2022-07-14 18:15:07 +08:00
@wu67 我的一个手机号,没有注册过任何平台,单纯就自己私人电话使用,也只给了几个家人朋友。没有收到过任何广告、骚扰电话;唯一收到的就是不知道哪个人发的短信:“测试”,发了我好几次了
|
27
hundan 2022-07-14 18:16:04 +08:00
我平时选择密码登录是因为觉得等短信的时间太长了 即使它可能只有十秒不到
我 pc 端偏向使用密码 |
28
jmu 2022-07-14 18:49:49 +08:00
发短信要钱+1
|
29
RealJacob 2022-07-14 19:27:53 +08:00
@lambdaq 这个取决于 app 本身吧,我记得以前很多 app 选择微信登录后就没有额外的验证了。但是有的又需要单独注册
|
30
dingwen07 2022-07-14 19:44:41 +08:00
WebAuthn 才是未来
|
31
wtdd 2022-07-14 21:23:03 +08:00
因为只是借实名制互相利用要一份你的资料,并不是支持登录,
类似的很多支持微信微博邮箱等登录,但登录进去仍然需要再注册帐号和密码 |
32
cherrypi 2022-07-14 21:34:46 +08:00
真不应该要密码了,好多网站你用密码登录,也让你输入手机验证码。
|
35
agagega 2022-07-17 00:39:44 +08:00
本意可能是 2FA ,但国内这个扭曲的环境里 2FA 已经和手机短信划等号了,我也不明白为什么。
注:绑定手机号当然是实名制要求,但注册的时候关联一次就可以了。假如说我有三个认证方法( OTP 、密码、短信),那登录一次用前两个就足够了呀。 |