为什么国内网站喜欢用短信作二次验证,而不用 TOTP?

2022-05-25 18:03:29 +08:00
 liuidetmks

大网站,百度,qq, v 站这类小芝麻就不说了

10029 次点击
所在节点    程序员
74 条回复
cybird
2022-05-26 15:32:23 +08:00
@Terry05 难接受。
Wallace01
2022-05-26 15:37:31 +08:00
@GeruzoniAnsasu 短信嗅探一般都是主动登录然后想办法拿验证码吧
lyhiving
2022-05-26 15:38:36 +08:00
微信服务号的模板消息应该对于商家是成本最低的方式,短信的成本并不低。
单纯就安全方案而言,只要隔离设备都会提高安全性。

如果真的如楼主所言,每次验证要 5 块钱,那么没有网站或 app 端会用。只有不断降低的成本才有推广开来的可能。
summersun2021
2022-05-26 15:46:43 +08:00
微软、苹果、google 这三巨头不是在推行什么无密码项目吗,好像也是跟手机联动的,无感操作。只要感应到手机到旁边,任何网站都唔需要设置密码。不需要短信,不需要扫码,不需要填写用户名和邮箱,好像这样
palemoky
2022-05-26 15:54:12 +08:00
我觉得有几个原因吧:
1. 实名。网站除非达到一定规模,很难直接通过官方接口验证用户真实身份,官方十年前开始要求手机号实名,通过绑定用户手机号可以信任营业厅的实名认证结果,出现问题可以定位到真实身份,现在国内注册邮箱都要求绑定手机号
2. 短信验证简单。几乎手机是所有上网用户必备的工具,短信不需要对用户进行引导,简单方便。OTOP 虽然安全性更高,但也需要用户安装额外的软件,同时手机丢失后需要重新绑定,非常麻烦,短信方式重新补办 SIM 卡即可
3. 网站发送营销信息。现在绝大多数网站都默认手机号登录 /注册,这不仅降低了三四线人群的注册门槛,同时也方便的解决了忘记密码的问题,网站还可以在搞活动时给用户发送短信,这也导致了近几年 618 和双 11 时用户被促销短信轰炸、阿里云电话轰炸

再说短信验证的缺点:
短信验证有效期通常是十分钟左右,验证码是 4 或 6 位数字,如果网站没有做重试的上限验证,则会导致有效期内的暴力破解,黑客直接可以取得账号的 root 权限,进行修改密码等操作
neptuno
2022-05-26 16:03:32 +08:00
怎么跟我大爷大妈解释 totp ?而且这东西丢了就没了,还得用手机号校验去除 totp
stoluoyu
2022-05-26 16:11:41 +08:00
看到楼里好几位提到实名认证,小小歪个楼。我感觉现在的实名认证通过手机号有些业务要身份证,这种方式要的信息太多了,导致很多并不需要知道你是谁的应用、业务拿到了个人信息。是否应该由国家建立统一的实名认证平台,用类似于 oauth 的方式来实名,双方在信息上是解绑的,需要的时候再调取个人信息。
newaccount
2022-05-26 16:50:56 +08:00
别把自己的专业当成所有人的常识。别说 TOTP 了,就一个二次认证,就能弄傻一堆公司自己的客服,这还是一帮硕士呢。人家不做这个,不知道是很正常的。
liuidetmks
2022-05-26 17:47:13 +08:00
@lyhiving 你把我意思理解反了(我没讲清楚
我意思是 通过用户手机号发送短信的收费提高到 5 块,
新的通过 openid 发送短信收费还是 1 毛.这样新技术自然就有人用了
lyhiving
2022-05-26 18:04:06 +08:00
@liuidetmks
不管是对开发者还是对使用者,成本提高都是阻碍新技术推广的重要环节。

TOTP 仅仅是一个信钥,不知道非要搞到收费是什么意思。
现在连下个 app 都做不到,网站还要花钱发短信。
lakehylia
2022-05-26 18:04:43 +08:00
都是利益,官方要求实名,app 就当成尚方宝剑,理直气壮要求用户填手机号,然后发垃圾营销信息。
yaoyao1128
2022-05-26 20:03:48 +08:00
@stoluoyu 是的,并且韩国就是一个例子,是有三个专门的和金融相关的公司有权限认证,认证过程中分几种,不过都是跳转到这几个公司的网页
1. 通过手机 运营商 手机号 姓名 出生年月日 性别同时匹配的情况下,用户请求一个验证码,验证
2. 通过一个 ipin ,用户注册时候可以用身份证到住民中心 /公司的总部 来注册,也可以线上用共同认证书(一般都是金融机关代理专门的认证机构发行的一个电子证书,用作电子签名)
3. 外国人的话,也可以选择直接验证外国人登陆证号码(长期居住外国人的身份证,号码编排本国人身份证一样,第 7 位从本国人的 1.2.3.4 变成 5.6.7.8 )

验证通过后,这几个公司返回一个 ci (用户标识)这个标识和用户身份证绑定,和验证方无关,和网站(申请验证功能接口的公司)绑定,但是除了验证方以外网站本身是获取不到用户身份证号码
韩国现在能直接获取用户身份证号码的场景:金融相关,医院(挂号与线下就诊),药店(处方上面会记载,和医疗保险自动报销相关),行政,运营商,教育,税务(关税除外,关税是通过验证后申请一个个人通关号码用来通关,防止外泄),福祉(保险),不动产签约
其他企业 /个人禁止收集这类信息
https://www.privacy.go.kr/cmm/fms/FileDown.do?atchFileId=FILE_000000000815219&fileSn=0 相关介绍文件( 2014 版本)
ok-name.co.kr
niceid.co.kr
siren24.com
三大信用评价机构(实名认证机构)
privacy.go.kr 韩国的个人信息保护门户,主要负责教育 法律公开 举报
eprivacy.go.kr 韩国的个人信息保护服务网站,可以查询本人认证的记录,一键注销网站账户,申请查看个人信息等


国内的话,现在来看其实大多数也用的是阿里和腾讯两家……不过身份证号码和照片基本都是全面收集……
ruimz
2022-05-27 00:23:33 +08:00
@ruimz 手机号回收也是个问题。国内是至少六个月才重新放号,期间拿身份证去运营商可以捞回来。但非实名的例如美国并不是这样,因为没有办法证明原来的号是谁在用。
我对这个很有体会。我曾经在电信那里捞回来一个号;我到美国第一个号就是明显的二手号,而且前户主刚欠费不久。很多车险,卖房,快递,找人的电话短信都找到我这里来了。不光是我受影响,我相信前户主也很想找回这个号。但是很明显 TA 没有办法找回这个绑定了许多信息的号码

相信有一个国家牵头中间平台会好很多
NoKey
2022-05-27 10:09:00 +08:00
手机号能否和手机绑定,也就是手机卡插到其他手机上都不能用?没操作过。如果能绑定,那么手机实际就是个验证器了,手机号和身份证绑定了,所以一个手机号一个账号比较简单,用户也简单,不用记各种邮箱账号什么的,然后,短信验证,就跟用验证器验证一回事了,如果手机丢了,捡到手机的人首先得能解开手机才能使用,加上手机号和手机绑定,也就无法把卡拿出来插到其他手机使用了~

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855271

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX