V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lshero
V2EX  ›  分享发现

语音验证也不可靠了

  •  
  •   lshero · 2016-01-29 15:48:33 +08:00 · 2046 次点击
    这是一个创建于 3246 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://item.taobao.com/item.htm?spm=a230r.1.14.50.OphOIy&id=526060473793&ns=1&abbucket=20#detail

    打开某宝看到了语音验证码呼叫转移业务,突然感觉语音验证码也不怎么可靠了
    26 条回复    2016-01-29 20:52:25 +08:00
    sun2920989
        1
    sun2920989  
       2016-01-29 15:53:11 +08:00
    不想暴露自己手机号的人可能用得到.和语音验证码是否可靠有什么关系呢,抱歉没懂.
    qiuai
        2
    qiuai  
       2016-01-29 15:58:00 +08:00
    @sun2920989 啥能证明你的东西都可以走这种通道的话,那认证的你,还是你么...

    丢了号咋办...
    yeyeye
        3
    yeyeye  
       2016-01-29 15:58:54 +08:00   ❤️ 3
    看了下你的主题列表,感觉这世界恐怕没什么让你觉得靠谱的了。
    sun2920989
        4
    sun2920989  
       2016-01-29 16:01:19 +08:00
    @qiuai 这是个人问题啊,你愿意找个代理不想暴露自己的手机号就必须要承担这样的风险,与语音技术是否可靠没什么关系啦
    qiuai
        5
    qiuai  
       2016-01-29 16:29:47 +08:00
    @sun2920989 嗯.那倒也是.
    lshero
        6
    lshero  
    OP
       2016-01-29 16:52:17 +08:00
    @sun2920989
    先不论网络服务提供者验证身份是否合理,但是事实上很多网络服务需要进行身份验证。
    如今商家设置的身份验证方式都被低成本的绕过,以后是不是是否商家确保服务的对象是一个具有民事行为能力的人都需要人工核验手持身份证照片?
    使用网络服务是为了确保生活的便捷,各种各样的身份核验浪费了大量的时间和精力。
    如果有保护隐私的需求那真不应该过度依赖网络生活服务
    sun2920989
        7
    sun2920989  
       2016-01-29 16:58:00 +08:00
    @lshero 商家凭什么又要我手机号又要我照片的,必须手机号注册的网站我基本都慎重考虑是否要注册.个人感觉目前来说国内商家愿意强制手机注册,说是为了安全,实际上不就是为了发广告么...有必须注册的网站,又真的不想泄漏信息的话,买个这种服务也未尝不可吧.
    sun2920989
        8
    sun2920989  
       2016-01-29 16:59:54 +08:00
    @lshero 你是在从商家角度考虑使用什么方式来验证身份能确认这个人的身份,而我则是从用户角度来说我为什么要对一个网络服务商提供那么多的我个人信息的问题.
    lshero
        9
    lshero  
    OP
       2016-01-29 17:03:02 +08:00
    @sun2920989 商家有几千理由需要你提供你的信息,但是你只有用或者不用的选择权。不用的后果就是生活可能不方便。当然可以使用小心思绕过商家的验证,只不过感觉大家都好累的样子。
    sun2920989
        10
    sun2920989  
       2016-01-29 17:05:23 +08:00
    @lshero 商家别心怀不轨的套用用户信息自然大家都不累,何况作为一个 WP 用户,本来我就不是各种网络服务或者各种 APP 的重度使用者,而且也没觉得不方便.手动滑稽.
    cnhongwei
        11
    cnhongwei  
       2016-01-29 17:10:30 +08:00
    @sun2920989 1 、像金融支付等类型的业务,是政府规定要求做实名认证,你不实名认证,就没有办法使用这些服务。
    2 、不想暴露自己手机号可能理解,但苹果、 google 用手机做两步验证的时候,我想你没有那么反感吧,所以大部分的反感是的现在的企业对个人隐私的保护不周,像刚到车管所办个牌,马上就有退税的电话一样。所以应是立法让企业加强这方面的保护,对企业泄漏隐私的行为进行处罚及赔偿。而不是我什么身份信息都不给别人,我们不可能要求企业又方便,又安全,但应该可以要求企业重视保护隐私。
    sun2920989
        12
    sun2920989  
       2016-01-29 17:14:34 +08:00
    @cnhongwei 支付类确实是需要实名的,这个理解.ZF 加强企业对隐私的管理是应该的,但是我们不应该把所有的权利和责任都交给别人,自己注意隐私保护也是必要的,没什么名气没什么业务的小网站随便注册就要手机号要身份证的,还是要尽量避免.忘了在哪看到过,就是因为我们都把自己的权利交给了别人,才成就了家长式的一些现象.另外,我们貌似歪楼了,所有的楼层讨论的都不是语音验证安不安全的问题.......囧
    sun2920989
        13
    sun2920989  
       2016-01-29 17:15:39 +08:00
    @cnhongwei 顺便一说,两步验证十个不错的东西,前几天刚刚在项目内用上了谷歌的两步验证算法.然后楼就更歪了.
    lshero
        14
    lshero  
    OP
       2016-01-29 17:16:06 +08:00
    @sun2920989 所以现在的担心是一个手机号都不能满足身份验证的要求,以后会不会一上来就要求上传证件照片
    sun2920989
        15
    sun2920989  
       2016-01-29 17:18:14 +08:00
    @lshero 不用啊,简单粗暴.当然你一个人不用企业不在乎,但是如果所有人都有意识的抵制这种莫名其妙索要信息的要求,相信企业会改变一些策略的.不过别想了,这是不可能的.滑稽.
    lshero
        16
    lshero  
    OP
       2016-01-29 17:20:46 +08:00
    @sun2920989 继续歪,关于 OTP 你是推荐用户使用 Google Authenticator 、 FreeOTP 之类的客户端还是"洋葱"这一类更接地气的国产 APP ,后者感觉似乎易用性和用户体验更好,但是"洋葱"这一类的本身就需要提供手机号才能注册
    sun2920989
        17
    sun2920989  
       2016-01-29 17:24:10 +08:00
    @lshero 谷歌有 GoogleAuthenticator 的客户端啊,叫谷歌身份验证器貌似,WP 也有第三方的一些实现,洋葱没听说过抱歉,不过在弄 OTP 的时候有个问题,很多用户在考虑换手机的时候 OTP 客户端能不能自动同步所有的 Secret,我想和他们说的是,如果一个第三方服务保存了你所有的 Secret,你真的还用么........尤其是他们在 Secret 的备注的时候写的还那么直白,有的几乎直接写上了用户名.....
    sun2920989
        18
    sun2920989  
       2016-01-29 17:35:43 +08:00
    @lshero 搜了下洋葱,我能说我没看懂么......就看到说兼容 GoogleAuthenticator 算法了,别的没太看懂.......不过看到了 wp 客户端还是有一种淡淡的好感
    lshero
        19
    lshero  
    OP
       2016-01-29 17:39:25 +08:00
    @sun2920989 所以感觉企鹅和阿里这些虽然用 OTP 的算法自己又要费劲的做个 APP 。不过话说回来这些 OTP 是否需要开启或者关闭最终都依赖于短信验证码,可能 OTP 实践起来唯一的用处就是节约短信费用了吧。
    sun2920989
        20
    sun2920989  
       2016-01-29 17:41:32 +08:00
    @lshero 嗯 我在做的时候就感慨 阿里这种企业 用了 OTP 光短信费应该也能省不少 滑稽 自己做 APP 考虑到品牌宣传吧 或者也许算法本身做了少量修改也说不定 没用过不清楚
    lshero
        21
    lshero  
    OP
       2016-01-29 17:46:33 +08:00
    @sun2920989 就是一个身份验证的 APP 集成了面部识别,声纹验证,扫一扫二维码、动态口令之类的,提供 API 可以让你的网站迅速加入这些身份验证功能。
    同时也提供 SDK 可以让你给自己的 APP 中快速加入身份认证功能。
    看了一下客户估计还是国内的 IDC 使用的比较多
    sun2920989
        22
    sun2920989  
       2016-01-29 17:53:39 +08:00
    @lshero 思路挺别致的 不过确实之前没听说过 感觉想弄的会自己弄 不想弄的公司也不在乎二次登陆 所以推企业似乎不太好推 还是推用户吧 我看似乎网页上也在着重介绍用户使用客户端可以解决哪些问题之类的宣传
    lshero
        23
    lshero  
    OP
       2016-01-29 18:20:53 +08:00
    @sun2920989 以前 DNSPOD 创始人的作品,不过我感觉都运营了好几个月没有被百度收录感觉挺奇怪的
    SpicyCat
        24
    SpicyCat  
       2016-01-29 19:02:01 +08:00
    看标题我还以为是讲语音验证码被窃取,原来是呼叫转移啊。你自己设置了呼叫转移,然后说语音验证不安全,这不等于你把钥匙扔给别人,然后说锁不安全一样吗?
    lshero
        25
    lshero  
    OP
       2016-01-29 19:29:36 +08:00
    @SpicyCat 意思是服务提供商觉得这种方式不安全导致没准以后会换更变态的验证方式,比如干嘛都要上传证件照
    Khlieb
        26
    Khlieb  
       2016-01-29 20:52:25 +08:00
    本来就不可靠,遇到各地方言就更麻烦
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2408 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 15:59 · PVG 23:59 · LAX 07:59 · JFK 10:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.