V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
DaPanda
V2EX  ›  信息安全

手机登录的换号安全问题

  •  
  •   DaPanda · 2021-12-09 10:34:13 +08:00 · 3828 次点击
    这是一个创建于 1076 天前的主题,其中的信息可能已经有所发展或是发生改变。

    国内网站似乎不少都要求绑定手机才能正常使用,而绑定后又允许直接用手机接收短信登录。但手机换号的时候需要用户手动去解绑,网站注册多了难免有遗漏。但这样下一个号主就可以直接登录你的帐号了。

    这个安全漏洞还挺容易出问题的吧,但很多知名站点都不怎么在意的样子?

    29 条回复    2021-12-10 14:44:46 +08:00
    wdy3334
        1
    wdy3334  
       2021-12-09 10:39:40 +08:00   ❤️ 1
    我换号的时候有些熟悉的网站都换了,还有一些,没想起来,手机号已经注销也没法换了,然后我的新手机号竟然还可以登录高德地图,还绑定了微信免密支付(应该是别人注销的)
    ogxgo
        2
    ogxgo  
       2021-12-09 10:44:45 +08:00
    没有办法,都是这样的。我最近新办了一张电信的卡,然后直接能登录京东,上面地址显示是上海的女士。
    DaPanda
        3
    DaPanda  
    OP
       2021-12-09 10:50:46 +08:00
    @ogxgo 我也是遇到了这个问题登上了别人的账号。
    也不是我自己想登,是我试图去绑定自己新手机号时候被提示已经绑定账户了,不能再次绑定,所以我必须得登那人的账户解绑……

    话说免密登录又不是没有更好的方案
    fengjianxinghun
        4
    fengjianxinghun  
       2021-12-09 10:51:43 +08:00   ❤️ 4
    因为那些网站不是为用户考虑,是为了满足政策要求,你方便不方便安全不安全一文不值。
    Hack3rHan
        5
    Hack3rHan  
       2021-12-09 10:55:16 +08:00
    所以换号就别扔了,改个 8 元保号放着吧。
    deplivesb
        6
    deplivesb  
       2021-12-09 11:00:00 +08:00   ❤️ 1
    国家规定的而已,要不然你真当很多网站想用手机号注册?
    DaPanda
        7
    DaPanda  
    OP
       2021-12-09 11:14:02 +08:00   ❤️ 1
    @Hack3rHan 说起来这个……其实我不是主动换号……

    当年出国时候专门去联通办了保号(还是别的一个什么套餐,反正是极便宜,在海外什么都不能做只能收短信),就是因为手机号绑了太多国内服务。

    上次回国大概是两年前,为了怕停机又预存了 5 年的话费。出国以后因为国内服务用的也不多,很久才需要开机一次接收验证码短信,所以这个方案还挺方便。

    然后联通就给我惊喜了……他们不知道什么时候未经我允许给我开通了个比较贵的套餐,我猜测可能是那种免费试用但不回复 TD 就自动升级的套路。

    而我恰好差不多一年没收过验证码,就没开过那个手机。直到最近用到,才发现自己明明存了不少话费却已经在大半年前被欠费停机了。让国内家人去营业厅问才发现停机前的月套餐早就不是我当年开的那个保号的。

    然后,因为停机过久,号也没了。

    所以才又让家人办了一个新号给我绑定国内服务用。然后有了今天的事情和帖子…… 心态崩了以后进入贤者时间,也不担心自己老号是不是被别人用来登自己的京东淘宝支付宝了。生活,真是天天有惊喜,哈,哈哈
    DaPanda
        8
    DaPanda  
    OP
       2021-12-09 11:15:28 +08:00
    @deplivesb 国家规定手机实名制,网站不得不遵守,我倒是理解。
    但是不是只用手机号就够了,我觉得还是网站自己的考量吧?
    jim9606
        9
    jim9606  
       2021-12-09 11:48:09 +08:00
    因为网站没法知道号码是不是回收的。
    至于为啥全用手机登录,因为在大多数移动互联网原住民的认知中,电子邮箱和密码都是反人类的东西,手机验证码是为数不多比较可靠(限国内)、没有记忆负担的认证工具。
    有些比较重要的网站会有多因素判断,例如微信,只有手机号是登不了原号的,坏处就是不常用的人很容易登不上自己的号。
    所以一般建议注册帐户的手机号别换,双卡除了耗点电外没啥坏处。
    huxins
        10
    huxins  
       2021-12-09 11:56:25 +08:00
    @jim9606 有二次号验证的,可以查在某个时间点后有没有重新开户,三大运营商的都可以查,可能有些企业懒得接入
    JQSM
        11
    JQSM  
       2021-12-09 11:57:24 +08:00   ❤️ 1
    因为大多数中国网民只知道自己的手机号,其他什么邮箱之类的根本不懂。你如果设计一个用邮箱登录的网站,会拦掉很多用户。
    chotow
        12
    chotow  
       2021-12-09 12:15:25 +08:00 via iPhone
    手机换号还有另外一种情况,号码失效后才发现有平台忘记换怎么办?
    点名阿里云盘,没见过这么恶心人的,详情见我帖子。
    SenLief
        13
    SenLief  
       2021-12-09 12:18:28 +08:00
    这个问题确实恶心,现在只能是不换号了。留了个保号的用一段时间。
    v2tudnew
        14
    v2tudnew  
       2021-12-09 12:22:13 +08:00
    密码保管软件,注册时附加手机号,换号时批量查找挨家注销或者重新绑定。
    已经注册忘记的说明也不是很重要了。
    anxxv2
        15
    anxxv2  
       2021-12-09 14:53:27 +08:00 via iPhone
    @DaPanda 说起这个就来气 电信把我一个只拿来收验证码的号给停了 说涉嫌骚扰 非得人去本地营业厅验证。我他妈服了
    hfl1995
        16
    hfl1995  
       2021-12-09 17:06:49 +08:00
    有些网站长时间不登陆的话,即使验证了手机号验证码,他们也会增加一个收件人姓名或者其他关键信息确认才可以登陆
    testver
        17
    testver  
       2021-12-09 17:24:18 +08:00
    我有个 5 手机号码吧,不折腾,不换号,专门留 1-2 个号码来接垃圾,移动的网络又是不行,但服务我还是信的。


    号码 A ,移动全球通,8 元套餐+20 元 5G 流量,我够用了。这号留给家人、亲人、熟人、银行、证券、航空、Z/F 部门等,这个号码用了 20 多年了,不会换

    号码 B ,移动全球通,8 元套餐+10 元 2G 流量,买了个 iPhone SE 2 装着,开通移动和留言,全转语音信箱,主要留给快递,网络商城,物业,中介等,平时开静音放包里,每天晚饭后看看,有事就回电。

    号码 C ,电信卡,电信宽带的赠卡,每月 80G 免费流量和 1000 分钟通话时间,扔在老婆淘汰下来的 iPhone 7P 里,放家里,当固话用,万一打电话时用它。

    号码 D ,HK 卡,放随身路由器里,没月租,每半年充 50HKD 保号,主要接收短信,和去 HK 时装在随身路由器当流量卡,毕竟 24 HKD 全天无限流量。

    号码 E ,US 卡,买了个 pixel 4a 装着,3USD/月,没流量,100 分钟的 Wlan-call ,主要接收短信,和 google voice 绑定的实体卡。
    66beta
        18
    66beta  
       2021-12-09 17:27:04 +08:00
    绝对不是政策的问题,应对政策可以强制要求绑定手机号,但你网站不能全靠手机号啊
    unco020511
        19
    unco020511  
       2021-12-09 17:35:42 +08:00
    这个问题一直都存在,无解
    SZP1206
        20
    SZP1206  
       2021-12-09 18:59:40 +08:00
    @testver #17 方便说下 US 卡该怎么入吗?非常感谢
    testver
        21
    testver  
       2021-12-09 19:17:51 +08:00
    @SZP1206

    按这篇文章买的空白 SIM 卡,然后自己激活

    https://www.flyert.com/forum.php?mod=viewthread&tid=3786576
    skiy
        22
    skiy  
       2021-12-09 21:32:37 +08:00
    麻烦得要命。所以我现在都用笔记软件把重要的网站记起来了。但难免也是一样会忘记个别不常用的。唉。但准备以后都用一个不会再遗弃的手机号,将所有的网站都绑定过去了。
    Rh1
        23
    Rh1  
       2021-12-10 02:12:43 +08:00 via iPhone
    人也在外面,联通 5 元米粉卡用了好几年了啥问题都没有啊
    DaPanda
        24
    DaPanda  
    OP
       2021-12-10 03:21:44 +08:00
    @anxxv2 这次换了移动,希望不再有问题吧,这种事到我们这一层感觉全是玄学了

    @66beta 嗯,我也是这么理解的。感觉是网站自己选择为了便利性和用户留存牺牲了安全。

    @hfl1995 这样是好些。不过像我登录豆瓣和楼上某位提到京东这些大站都没加这种验证。甚至不少网站已经不再要求用户指定用户名了,手机号就是用户名,换言之别人用了你的老号,就相当于得到了你的全部身份。

    @Rh1 我头几年用的也没问题,不知道是哪天被改的套餐。这种半强迫升级之前在其他帖子里看到过,肯定不是一次 roll out 给所有人。只能说平时偶尔检查下是个好习惯吧。


    同意一些朋友说的,可能不少人对用户名 /邮箱+密码的组合并不熟悉,但我也挺难想象连邮箱和密码都不熟悉的人,会想到平时保存自己注册网站的列表,并在换手机号时去一个个换绑……
    DaPanda
        25
    DaPanda  
    OP
       2021-12-10 03:26:46 +08:00
    刚去看了眼自己的 1Password ,网站账号有四百多个,幸好大部分不是国内站点,不然这手动换绑真是要吐血了
    sprite82
        26
    sprite82  
       2021-12-10 09:59:12 +08:00
    @jim9606 #9 > 电子邮箱和密码都是反人类的东西
    为什么反人类
    Marionic0723
        27
    Marionic0723  
       2021-12-10 11:43:21 +08:00 via Android
    @JQSM 错!你看看十年前的网络,那时候都是邮箱注册,实名制用手机只是网站被迫的。
    jim9606
        28
    jim9606  
       2021-12-10 13:29:59 +08:00
    @sprite82 能上 V2 的人不会这样认为,但连 PC 都没有的人和那些只用微信的中老年人还真有可能是这么认为的。
    我还见过连手机号都记不住的,手机丢了就得重新建号了。
    JQSM
        29
    JQSM  
       2021-12-10 14:44:46 +08:00
    @Marionic0723
    被迫绑定手机又不等于手机号要作为登录 ID ,事实上做得细致一点网站,是会让你选择是否开启手机号登录的。然而大多数网站都简化不做这些事情。
    你也说 10 年前了,10 年来中国网民数量直接翻倍了,增量主要是下沉市场。很多人就是只有一部手机,你和他们谈 10 年前流行的邮箱???
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3144 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 13:43 · PVG 21:43 · LAX 05:43 · JFK 08:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.