V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
meisen
V2EX  ›  程序员

国内平台几乎全是手机验证登陆,为何还要设置密码?

  •  
  •   meisen · 2022-07-14 11:35:29 +08:00 · 6460 次点击
    这是一个创建于 892 天前的主题,其中的信息可能已经有所发展或是发生改变。

    密码登陆,奇葩的是输入密码后还需要手机号验证,明知道路的尽头必须手机,为何还要这样做

    让我想到 Microsoft 的无密码登陆是否是未来趋势?

    35 条回复    2022-07-17 00:39:44 +08:00
    guaguaguaxia1
        1
    guaguaguaxia1  
       2022-07-14 11:38:01 +08:00
    发短信要钱
    pkwenda
        2
    pkwenda  
       2022-07-14 11:39:33 +08:00
    发短信要钱 +1
    v2tudnew
        3
    v2tudnew  
       2022-07-14 11:41:44 +08:00
    SMS 最不安全的,不过反正必须实名,也必须 SMS 找回密码,确实没必要密码了。
    orangie
        4
    orangie  
       2022-07-14 11:44:59 +08:00   ❤️ 7
    1.发短信要钱,比如抠门如腾讯,QQ 的验证短信有一部分是要求用户发给腾讯,而不是腾讯发给用户;如果一上来就发短信,是可能被狂刷短信的,而且也可能被利用成‘短信轰炸机’
    2.手机号是可以换的,也可能会丢失,保持时长不如邮箱和密码,有不少人不敢换手机号的原因是绑定了太多的账号
    ruixue
        5
    ruixue  
       2022-07-14 11:48:42 +08:00   ❤️ 1
    双因素验证和单因素验证的区别,密码+短信的安全性要大于只用密码或只用短信,有些平台支持纯短信登录但是检测到环境有风险也会额外增加其他验证手段的
    lujiaosama
        6
    lujiaosama  
       2022-07-14 11:53:40 +08:00
    验证码好贵啊, 自己搭个小的 web 服务都不敢用短信验证...
    brader
        7
    brader  
       2022-07-14 11:58:16 +08:00
    目前很多互联网网站的账号安全是堪忧的,如果登录一直采用短信验证模式,公司成本又上升,单纯采用密码模式,安全得不到保障。

    我觉得现在比较靠谱、高效、低成本的做法是:还是使用密码登录,但是加入常用设备机制,新设备需附加验证短信验证,这样子的做法,和大部分网站原有系统不冲突,改动小,当然,你信不信大部分网站还是懒得改或者没有这方面意识,你信不信
    zed1018
        8
    zed1018  
       2022-07-14 12:02:01 +08:00
    无密码应该是个趋势,但是无密码不等于短信登录,微软账号主推的还是 Authenticator 推送认证
    imn1
        9
    imn1  
       2022-07-14 12:05:19 +08:00
    #4 #5 合起来是合理解释
    服务方其实想要高于单个密码的安全方式,但如果直接发短信,客户端可以无限次伪装为首次登入,刷爆服务方的短信服务;所以密码这时变成了一种验证码功能,降低发送短信的频率
    Kiriya
        10
    Kiriya  
       2022-07-14 12:06:52 +08:00
    给客户心里安慰,自己是设了密码的
    7RTDKSAK
        11
    7RTDKSAK  
       2022-07-14 12:14:25 +08:00
    先密码后短信验证码,然而短信验证码可以重置密码,所以和只有短信验证码有什么区别?

    我觉得电报的设计更合理,先收短信验证码确定这手机号确实有自然人(未必是号主)持有,然后输入二步验证密码确定是不是本人(当然密码泄漏这种情况就不说了),短信验证码和二步验证密码互相独 /\立,谁也不能重置谁,顶天了就是持有手机号的自然人可以销号重开
    imicksoft
        12
    imicksoft  
       2022-07-14 12:56:49 +08:00
    夸克网盘网页版没有密码登录了
    yuhangch
        13
    yuhangch  
       2022-07-14 14:32:35 +08:00   ❤️ 1
    tg 就更倾向于发验证码到移动客户端,苹果直接是给你验证码到其他机器
    估计也是成本考虑?谷歌倒是财大气粗动不动发短信
    xingheng
        14
    xingheng  
       2022-07-14 14:55:13 +08:00   ❤️ 1
    手机号是为了实名认证,密码才是为了登录。
    lkk
        15
    lkk  
       2022-07-14 15:06:52 +08:00
    短信是因为网监找上门的时候公司可以规避责任,不然谁用短信啊,那么贵。
    wu67
        16
    wu67  
       2022-07-14 15:51:45 +08:00
    要钱是一方面. 另一个是因为, 验证码在发送方的服务端有记录的, 当然超时之后会不会删掉我不清楚, 反正在有效期内, 你用的这个 app 的服务提供方是能查到这个码的. 所以只要有内鬼, 你懂的.

    延伸一下课外小作业, 你平时收到那些不知道是啥的平台的注册短信时, 这背后发生了什么呢?
    yuhaijiang2019
        17
    yuhaijiang2019  
       2022-07-14 15:52:55 +08:00
    这个问题我也纳闷呢,而且非常气愤
    gam2046
        18
    gam2046  
       2022-07-14 16:05:53 +08:00
    国内多数服务,密码是多余、无意义的,因为短信验证码可以重置密码。

    而无密码也仅限于用户可以使用已经验证的设备,再次认证新设备。用户的第一个可信设备认证还是需要密码。
    huaxing0211
        19
    huaxing0211  
       2022-07-14 16:14:29 +08:00
    更有些难以理解的设计,有手机验证码登录和密码登录选项,使用密码登录还必须验证手机(即使是常用设备),那这 2 个选项是凑数用的么……
    lambdaq
        20
    lambdaq  
       2022-07-14 16:16:30 +08:00   ❤️ 5
    国内最傻吊不是手机登录,最傻吊的是提供微信 or 手机登陆两个选项,你点了微信登陆,特么又让你验证手机号。。。。等于是白嫖一个微信登陆 token 了。
    avv
        21
    avv  
       2022-07-14 17:12:35 +08:00
    @huaxing0211 这个是风控
    feitxue
        22
    feitxue  
       2022-07-14 17:22:32 +08:00
    @wu67 也有可能是研发做测试。。。随便输入手机号。。。
    比如现在是 2022-0714-1721
    我如果需要新账号测试某个功能,可能随手输入个 15607141721 这样的手机号
    也可能是 15620221721 就类似这种
    airplayxcom
        23
    airplayxcom  
       2022-07-14 17:27:51 +08:00
    @lambdaq 哈哈哈确实
    wu67
        24
    wu67  
       2022-07-14 17:35:48 +08:00
    @feitxue 有这种情况, 但是少. 因为后续开发可能还需要用这个号码查其他的, 所以我们以前都是用自己的号码或者是公司那几台公用机, 或者直接掏测试和产品人员的手机过来(理直气壮.jpg)
    SummerOrange
        25
    SummerOrange  
       2022-07-14 18:10:42 +08:00
    手机收验证码登录多一步操作呀。
    clf
        26
    clf  
       2022-07-14 18:15:07 +08:00
    @wu67 我的一个手机号,没有注册过任何平台,单纯就自己私人电话使用,也只给了几个家人朋友。没有收到过任何广告、骚扰电话;唯一收到的就是不知道哪个人发的短信:“测试”,发了我好几次了
    hundan
        27
    hundan  
       2022-07-14 18:16:04 +08:00
    我平时选择密码登录是因为觉得等短信的时间太长了 即使它可能只有十秒不到
    我 pc 端偏向使用密码
    jmu
        28
    jmu  
       2022-07-14 18:49:49 +08:00
    发短信要钱+1
    RealJacob
        29
    RealJacob  
       2022-07-14 19:27:53 +08:00
    @lambdaq 这个取决于 app 本身吧,我记得以前很多 app 选择微信登录后就没有额外的验证了。但是有的又需要单独注册
    dingwen07
        30
    dingwen07  
       2022-07-14 19:44:41 +08:00
    WebAuthn 才是未来
    wtdd
        31
    wtdd  
       2022-07-14 21:23:03 +08:00
    因为只是借实名制互相利用要一份你的资料,并不是支持登录,
    类似的很多支持微信微博邮箱等登录,但登录进去仍然需要再注册帐号和密码
    cherrypi
        32
    cherrypi  
       2022-07-14 21:34:46 +08:00
    真不应该要密码了,好多网站你用密码登录,也让你输入手机验证码。
    ViolaH
        33
    ViolaH  
       2022-07-14 23:05:02 +08:00 via iPhone
    @yuhangch 谷歌也喜欢发验证信息到 gmail 或 YouTube 等上面
    mazhiyuan
        34
    mazhiyuan  
       2022-07-15 09:33:07 +08:00
    @lambdaq 你是窥探了我们平台的微信登录吗?
    agagega
        35
    agagega  
       2022-07-17 00:39:44 +08:00
    本意可能是 2FA ,但国内这个扭曲的环境里 2FA 已经和手机短信划等号了,我也不明白为什么。

    注:绑定手机号当然是实名制要求,但注册的时候关联一次就可以了。假如说我有三个认证方法( OTP 、密码、短信),那登录一次用前两个就足够了呀。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2573 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:59 · PVG 13:59 · LAX 21:59 · JFK 00:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.