手机号加验证码登录短期内是保障了账号安全,用户更换手机号,或者用户挂了,这个账号的数字内容,对应的都不是同一个人了
网易云音乐因为手机账号被运营商回收,把李玟的账号复活给了一个新用户。
自己经历的产品貌似手机号也是随时能找回账密的,知道会有漏洞,但也不知道怎么处理比较好。
反正用户随意更换手机号、或者用户挂了也是小概率事件,先将就着。随着时间越来越长,用户串号的事情只会越来越多了
 |
1
f165af34d4830eeb 19 天前 via iPhone
lyft 用的方式是验证前任号主的邮箱,如果你没有对应邮箱那就过不了验证,只能开新号。
|
 |
2
sir283 19 天前  1
GitHub 跟微软的账户是手机+验证码+邮箱验证+实名验证(可选),我的老 GitHub 账号就这样找不回来了= =!
|
 |
3
kome 19 天前
不保证就是了, 我见过国内某家(大~)公司/平台(他们圈内人这么称呼的)用手机号做唯一标识符的, 不一定是, 但是从外部来看, 就是用手机做标识符的, 还涉及擅自给用户注册账号的问题.
至于我怎么怎发现的, 那就是我实名认证的账号使用的手机号 A(保号不会注销的那种), 但是实名报名的赛事(使用的手机号 B(随时会丢但是目前主力联系号码)). 然后我的账号完全查询不到我的报名信息, 客服让我用报名用的手机号登录, 然后就看到了我过往所有的报名信息以及个人信息(此账号未实名认证), 我原本还没去看过报名信息, 以为他系统故障一直没修. 这个事情在很多软件平台都存在, 手机号直接登录, 不验证身份, 就我现在在用的手机号 B, 在刚开始启用的时候, 已经看到上任号主不少的个人信息了, 不过我都重新注册就是了. |
 |
4
lscho 19 天前 via Android 1
换新设备、长期不登录多因素验证啊。。。微信和支付宝就是这样,要么老设备扫码、人脸识别、好友辅助等手段
|
 |
5
crysislinux 19 天前 via Android
就像楼上说的,app 的话可以锁定登录设备,网页的话就没办法了,所以各家干脆不要网页端或者网页端不支持登录算了。。
|
 |
6
stinkytofux 19 天前 2
引申一个题外话, 各位的 SIM 一定要打开 PIN 码锁定, 防止手机丢了 SIM 卡被别人用了. 这应该是目前手机上最大的安全风险, 很多人都没有这个意识.
|
 |
7
mschultz 19 天前
我个人感觉「仅凭手机号+验证码直接登录」,是互联网厂商为了降低用户登录/注册门槛而采取的妥协方案,似乎只有银行/微信/支付宝等比较重要的厂商,有动机做更严格的认证(如 #4 说的)。
小厂似乎没有动机为了小概率的「用户换手机/号码回收」,就主动提高全部用户登录的门槛。 作为用户能做的也就是 1️⃣尽量不要在登录认证比较简单(简陋)的小平台留存个人信息、2️⃣换手机号的时候尽量全面排查改绑旧手机号等等。 用户实名认证其实有不少不错的方案,硬要说的话,我觉得「国家网络身份认证」就算一个🤣 但只要它还不是强制的(初次配置有一定的成本,不强制的话必定难以普及),那么众多厂商一定还是会长期使用手机短信一键登录。 |
 |
8
donglinjieshi 19 天前 1
并不能保证,昨天还在抖音看到有人办了张新手机卡,用手机号登录了网易云后,是歌手李玟的账号。
|
 |
9
NewYear 19 天前
这本身是很蠢的一件事,其实经常能看到登录别人账号的情况,包括我自己都用自己的号码登录,发现是旧账号。
但是他确实很方便,只是一直没发生大事,所以就一直用这种方式。 等吧,等到有一天,出了大事,就会全面禁止了。 |
 |
10
AlexanderCarson 19 天前
保证不了,我之前有个手机号 闲着没事我试了试能不能登录以前号主的社交平台,除了 vx 抖音 像什么快手这些都登录上了,一看是个精神小伙==
|
 |
11
soulflysimple123 19 天前
otp 令牌
|
 |
12
root71370 19 天前
前段时间开了一张副卡给家人用,谁知道那张副卡之前是被老赖使用的,各种信用卡的账单还有贷款公司的催缴短信和电话,让人头大,运营商的二次焕新功能也没用,还是不断有骚扰电话短信打来,无奈只能注销又重新办了张卡。
|
 |
13
busier 19 天前 via iPhone
很蠢的政策造成的 没办法
|
 |
14
gam2046 19 天前
多数产品压根不考虑这种情况,手机号 = 人,他才不关心这个人是不是同一个呢。
而且这种概率对于大多数中小厂而言,其实并不高,绝大多数产品的用户量都不到千万,而国内十多亿人,号码二次使用者正好还是你这个产品的受众,概率就更小了。 |
 |
15
ICB 19 天前
你买了一个注册过支付宝的手机号也登陆不了原来的支付宝。
|
 |
16
usVexMownCzar 19 天前 via iPhone 1
最近办宽带,没有单宽带就办了个卡,然后天天有农行的短信通知多少钱进多少钱出😅
后面有次登陆滴滴,没注意登陆了宽带的手机号,发现是别人的账号😅 然后想着不是有二次换新的服务吗,试了下,看到给出的列表里面没有银行类的 app ,解不了🤪 大家换手机号记得把银行卡等金融服务的关联解除了,不然陌生人天天看你账户的资金出入🌚 |
 |
17
bao3 19 天前 2
今天的新闻,有网友用新手机号码注册了网易云音乐,手机号加验证码,结果进去一看,自己居然是“李玟”的官方帐户,收件箱里一堆纪念李玟的留言。
所有会用手机号加验证码登录的 app 都是傻逼,背后的产品经理是人渣。 所有没有意识到这种风险的人,为这种登录方式辩护的人,都是傻逼人渣。 建议大家多用国外号码注册国内服务,应对一下这些傻逼 app 和人渣产品经理。实在不行,就开个 8 块的小号,专门注册 |
 |
18
DeWjjj 19 天前
浏览器有指纹数据。
|
 |
19
Erroad 19 天前
很多 app 就是压根儿没考虑这个事,还没出足够恶劣的事件来推动这方面的进步罢了
|
 |
20
tunggt 19 天前 via Android
因为在中国,不需要考虑这些。
国内短信验证码之所以被发明出来,就是因为工信部的互联网强制实名制。 v2 里应该有很多人经营过论坛或者交互式 app 。如果用户乱发东西,你服务器在国内备案的话,早期是直接到机房搬机器。这东西太麻烦,后期就改成,站长提供用户 ip 等信息来免罪。再后来就到了实名制,而国内通信也强制实名,所以这东西就结合起来的。短信验证就是网站站长和 app 出了事用来甩锅的,所以只要有就行。 如果不是强制实名制,我估计国内无论是站长还是 app 开发者都更乐意用户通过邮箱注册账户。 |
 |
21
catazshadow 19 天前 via Android
所有事情都要出恶劣的事情来推动进步,也是足够恶劣了
|
 |
22
sfdev 19 天前
@tunggt 这跟实名制,手机注册还是邮箱注册有半毛钱关系?根本原因就是网易云的开发团队是一群蠢货!这是非常低级的技术问题!国内还有很多平台有这种情况,就看愿不愿意去改了。
|
 |
23
baby0w0 19 天前 via iPhone
现在有个码号平台(从运营商获取没用的手机号)的东西,对接后会把过期的手机号推送给你,然后你去解绑或者注销。
|
 |
24
sakujo 19 天前
用手机号做唯一标识其实也行,在更重要的领域再做二次验证就行了,新主人如果需要使用这个手机号找客服解绑就完了。
|
 |
25
linnsh 19 天前
最近换了手机,银行类,支付宝那些手机验证码登录后会要求人脸识别二次验证,普通 APP 就没有这层措施了
|
 |
26
1up 19 天前
不用保证,
|
 |
27
illiteracy0001 19 天前
手机号码只是用户的凭证,不能代表用户身份,想保证是同一个用户(实名、邮箱等等)是有很多解决方案的。对网易云来说这个场景不是一个重要程度很高的需求,所以没做任何风控也是合理的。它的核心场景是听音乐,就算账号随着手机号丢了对大多数人的影响很小(损失了这个账号的歌单而已),李玟的账号它首先是一个普通账号,然后是认证为一个歌手,所以这个账号在登录/注册功能上没有什么区别,只不过是因为是名人的账号可能会带来不好影响(如落在不怀好意的人手里)
|
 |
28
arrow629 19 天前
web3 交易所为了防止这个问题,一般都要双因素认证,手机号+Email ,可以通过 KYC 解绑验证方式。
|
 |
30
huyi23 19 天前
@sfdev 备案: https://beian.mps.gov.cn/#/,里面有一条:《安全评估指引》,里面有一条:用户真实身份核验及注册信息留存措施,如果你用邮箱号:用户真实身份核验不通过,除非你禁止用 gmail ,只能用国内邮箱注册,可以把这个甩锅给 qq 邮箱和网易邮箱,哈哈哈哈哈,因为 gmail 不配合国内用户真实身份核验(姓名+身份证号)
|
 |
31
smlcgx 19 天前 via iPhone
同设备登录有设备指纹或者浏览器指纹,多端登录用可信设备做验证,运营引导用户实名,用户找回账号用身份证找回,手机号当令牌相当于把自己家钥匙亲手交给别人
|
 |
32
SenLief 19 天前
网易云那个是有问题的,很明显验证漏洞。
|
 |
33
pocketz 18 天前
没人说数字身份认证吗
|
 |
34
gwbw 18 天前
@usVexMownCzar 谢谢你的提醒。农行换绑定的手机号不会同步更新短信通知的号码,我有个闲置了几年的卡前阵子才发现还在每个月扣 2 块钱短信通知费,全发到旧手机号上去了。这就去对线
|
 |
35
elevioux 18 天前
没记错的话,早期都是邮箱验证的,然后手机号绑定是后来政策实名制要求。逐步发展到现在一个手机号一个账号。
|
 |
36
Torpedo 18 天前
这个主要是为了实名认证,而不是唯一用户。
|
 |
37
kfpenn 18 天前
这种东西不应该怪运营商吗?为什么要把手机号回收再给下一个人?你的身份证会被回收吗?
|
 |
38
HotieCutie 18 天前
现在的应该网站都是手机号验证码就直接注册登录,本身就是有很大风险。我觉得应该加上设备验证,一旦换了设备,就要求验证实名信息
|
 |
39
julyclyde 18 天前
用手机登录
不等于 用手机作为 uid |
 |
40
ainyyy 18 天前
至少小红书是不保证的, 新手机号注册登录,有好多历史的发帖记录
|
Select Language