V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Chan6
V2EX  ›  问与答

如今的手机短信验证是不是泛滥了?

  •  
  •   Chan6 · 2018-07-29 08:07:52 +08:00 via iPhone · 5430 次点击
    这是一个创建于 2311 天前的主题,其中的信息可能已经有所发展或是发生改变。
    什么都用短信验证,没有用户名、密码也可以完成登陆。

    为什么国内没有开放的二次验证 APP 大量应用?尤其是银行,sim 卡劫持在技术上是没有太高难度的,换号光是跑银行柜台就能搞死人,极为不便。国外如 Google 家的二次验证工具就支持很多社交工具和各种服务。
    44 条回复    2018-07-31 11:54:07 +08:00
    wplct
        1
    wplct  
       2018-07-29 08:40:01 +08:00
    国家规定啊,没办法啊
    mason961125
        2
    mason961125  
       2018-07-29 08:44:21 +08:00 via iPhone
    讲个笑话,国内普通用户会用 Google。
    orangeade
        3
    orangeade  
       2018-07-29 08:46:58 +08:00 via Android   ❤️ 2
    @mason961125 不了解技术就乱喷可不是好习惯,Google 采用的两步验证是开放协议,有开源实现,国外的 github, 微软等都支持,国内一些安全令牌类的应用也支持这个协议
    tyfulcrum
        4
    tyfulcrum  
       2018-07-29 08:52:02 +08:00
    有些银行会用密码器,相当于硬件版的二次验证应用。
    互联网企业恐怕更倾向于给你手机上再安个应用而不是用现成的验证应用,BAT 三家的两步验证器都是如此。
    lmmortal
        5
    lmmortal  
       2018-07-29 09:02:00 +08:00 via iPhone
    @orangeade 技术是开放的不假 但我在安卓上就找不到不需要 play 就可以用的两步验证客户端
    ouqihang
        6
    ouqihang  
       2018-07-29 09:06:31 +08:00
    谁家都弄一个二次验证,装一个 app,好了又会有人抱怨想在网页上登个录都要装 app,现在谁家都弄个扫码登录作为优先登录方式已经不方便。有通用验证协议有咋样,但你认为他们会采用?魔改一下通用协议自家登录器只对应自家服务。
    Sylv
        7
    Sylv  
       2018-07-29 09:06:53 +08:00 via iPhone   ❤️ 1
    实名制要求的。
    Chan6
        8
    Chan6  
    OP
       2018-07-29 09:12:01 +08:00
    @tyfulcrum 多年以前用过工行的密码器,那真是难用到泪奔,即使服务稍好的招行也只支持 Windows 系统。BAT 三家私心太重。
    @mason961125 我没有说一定是 Google,而是支持开放协议的,多种服务都可以使用,例如 Google 家的验证器。
    @wplct 可能是因为更方便定位追踪到个人。
    ouqihang
        9
    ouqihang  
       2018-07-29 09:12:13 +08:00
    现在的问题是手机短信的权限太大了,已经有取代密码的趋势,把什么都绑死在手机号码上,如果号码丢失,就寸步难行。
    yingfengi
        10
    yingfengi  
       2018-07-29 09:18:11 +08:00 via Android
    因为简单粗暴,只要和一台短信猫对接就能做认证了
    ctsed
        11
    ctsed  
       2018-07-29 09:26:23 +08:00 via Android
    我以为你说 v2
    TimePPT
        12
    TimePPT  
       2018-07-29 09:38:24 +08:00 via iPhone
    抛开别的不说,银行强制走国密标准的,你让用 Google 开源协议不现实
    g531956119
        13
    g531956119  
       2018-07-29 09:38:53 +08:00 via Android
    @lmmortal 微软家的验证器应用被你吃了吗…
    Zeonjl
        14
    Zeonjl  
       2018-07-29 09:42:35 +08:00 via Android
    手机实名的,你懂
    lmmortal
        15
    lmmortal  
       2018-07-29 10:42:26 +08:00 via iPhone
    @g531956119 你下载一个试试看要不要 play 服务…
    honeycomb
        16
    honeycomb  
       2018-07-29 10:57:29 +08:00 via Android
    @Chan6 开放协议就是 totp,u2f 那一套。
    但这些东西在国内不流行。

    内地除了网易邮箱,阿里云以外还有谁在用 totp ?
    dototototo
        17
    dototototo  
       2018-07-29 11:10:59 +08:00 via Android   ❤️ 1
    @lmmortal 如果觉得在商店里的缺了 Play 服务的不行: https://staging.f-droid.org/search?q=totp&lang=en
    tetsai
        18
    tetsai  
       2018-07-29 11:43:02 +08:00
    我觉得应该有一个国家级网站,搞一个身份验证接口,直接对接公安的那种,假如有企业需要就跳 api,api 用他的方式验证我是本人,然后吧一个统一识别码给企业,或者企业给用户申请真实信息,但是申请一定是要可以拒绝的,不是拒绝就连启动都不能启动的(微信傻逼玩意儿我说的就是你)
    nciyuan
        19
    nciyuan  
       2018-07-29 12:13:39 +08:00 via Android
    @tetsai 参考一下目前市面上的身份证 api,调用一次就几块钱......别的 api 都是调用 1 千次 /1 万次多少钱
    caomu
        20
    caomu  
       2018-07-29 12:36:33 +08:00 via Android
    其实国内几家大站都有推自己的二次认证 app,就是都不兼容,一个站要下一个,我还是选择短信好了。。。
    laydown
        21
    laydown  
       2018-07-29 12:41:16 +08:00
    @tetsai telegram 正在弄什么护照功能,看起来可能和你说的差不多,但国内是无望了。
    imn1
        22
    imn1  
       2018-07-29 13:01:15 +08:00
    authy 一定要用 play 服务么?一直用带 play 手机,不知道啊
    authy 可以在桌面系统+chrome 使用

    国内不是没有,微博有个什么盾,网易有个将军令,但有什么实际作用不知道
    imn1
        23
    imn1  
       2018-07-29 13:10:43 +08:00
    另外那些扫码验证也相当于安全验证,跟 twitter 的 app 验证类似
    原理就是在可信设备发出一个许可,只是如#20 所说,这种方式每家都要装个 APP,很烦
    silencefent
        24
    silencefent  
       2018-07-29 15:30:11 +08:00
    @tetsai 涉嫌行政垄断
    SPACELAN
        25
    SPACELAN  
       2018-07-29 15:39:51 +08:00
    我用的是 lastpass 的两步验证工具,也是兼容的
    formose
        26
    formose  
       2018-07-29 16:05:08 +08:00
    国外 google authenticator 二步验证流行,国内手机号码短信验证泛滥成灾,哪种比较容易受攻击不用多说了吧?
    实名制的天朝怎么会愿意让你随便脱离手机号码这一绝佳~~~
    sephinh
        27
    sephinh  
       2018-07-29 16:39:44 +08:00 via iPhone
    @Chan6 #8 Android 都能魔改成安卓,还有啥规范是不敢破的
    omowyh
        28
    omowyh  
       2018-07-29 16:50:25 +08:00
    tg 要实名,商家只是想要你的手机号,安全?你想多了。
    lmmortal
        29
    lmmortal  
       2018-07-29 18:11:31 +08:00 via iPhone
    @dototototo 很棒 谢谢你专门抽时间放了个链接😄
    gary36
        30
    gary36  
       2018-07-29 18:31:34 +08:00 via Android
    现在短信也只有收验证码的功能了,其他全是广告
    LukeChien
        31
    LukeChien  
       2018-07-29 22:16:15 +08:00 via Android
    DNSPod 创始人吴洪生的项目:洋葱,国产的兼容 Google 验证器,已经倒闭了
    icylogic
        32
    icylogic  
       2018-07-30 00:35:42 +08:00 via iPad
    国外的服务我基本都选择开 authy 2fa。其实国内是走了另一个方向,第三方登录,也就是微信登录,或者是扫码登录。
    crab
        33
    crab  
       2018-07-30 01:07:00 +08:00
    @formose 大部分有两部验证的都支持手机短信重置
    shiina
        34
    shiina  
       2018-07-30 04:36:11 +08:00
    @tyfulcrum #4 太真实了,国内的主流是单独搞出一个认证 APP 来,然后这个认证 APP 里面又能塞好多东西
    artoostark
        35
    artoostark  
       2018-07-30 08:10:46 +08:00
    @tetsai CTID 网证了解一下。
    yksoft1
        36
    yksoft1  
       2018-07-30 08:49:24 +08:00
    等将来电信的纯 VoLTE 可用了( 4G only ),拿个专用机装上,就基本不用担心短信被空中窃听的问题了。
    koalli
        37
    koalli  
       2018-07-30 09:34:57 +08:00
    除了短信好像没有别的特别可靠能拿来当作身份识别的东西。Google 的二次验证方式,不说国家能不能让这些银行去接入 Google 的东西,就是银行这种对数据比较敏感的机构也不可能敢把自己的业务去跟一个别家的工具来绑定啊。支付宝微信支付一类的天生跟银行就是对立关系的,银行也不大可能去接入这两家的业务。未来如果真的有可能的话,我觉得只能是国家这一级别的机构也好公司也好,出一个验证的方式然后让这些公司强制执行来接入这个东西。当然执行的难度有多大是另外一件事了,而且现有的这种二次验证机制实际上还是不够安全。
    liaoyaoheng
        38
    liaoyaoheng  
       2018-07-30 09:44:34 +08:00
    升级 3,4G,禁用 2G 网络,即可解决短信中间人攻击
    whattheh3ll
        39
    whattheh3ll  
       2018-07-30 11:14:01 +08:00
    @koalli #37 Google 的验证器根本不用接入 Google,就是一个离线的验证方式而已。只要银行(或者网站)实现了这种协议,用户想用 Google 还是微软、Authy,还是自己弄一个验证器都是一样的。
    NSAtools
        40
    NSAtools  
       2018-07-30 11:30:30 +08:00
    以前收件箱里面都存满了浪漫的回忆
    现在收件箱里面堆满了各种验证码
    input2output
        41
    input2output  
       2018-07-30 11:52:31 +08:00
    google authenticator 二步验证, 一般我都是导到 Authy 里面, 一样的用
    sampeng
        42
    sampeng  
       2018-07-30 11:54:48 +08:00
    恼火的真的不是安全性。还是注册任何地方的会员,我都要多一个收垃圾短信 /电话的机会。真的感觉是集齐 10 个会员,送一个免费垃圾短息啊。。。
    koalli
        43
    koalli  
       2018-07-31 10:31:40 +08:00
    @whattheh3ll 从你使用这几个 App 绑定你的账号的时候,就无可避免的泄露了你的数据。你当 Google,微软做慈善给我们维护这几个 App ?你当隐私政策写着玩的?
    whattheh3ll
        44
    whattheh3ll  
       2018-07-31 11:54:07 +08:00
    @koalli #43 我并没有说一定要用他们的,只是基于自己是不是信任去选择。银行也可以联合开发一个(上个回复的最后一段)。

    我的原意只是这种东西是通用的,并不需要去接入谁。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5688 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 07:36 · PVG 15:36 · LAX 23:36 · JFK 02:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.