如今的手机短信验证是不是泛滥了？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2312 天前的主题，其中的信息可能已经有所发展或是发生改变。

什么都用短信验证，没有用户名、密码也可以完成登陆。

为什么国内没有开放的二次验证 APP 大量应用？尤其是银行，sim 卡劫持在技术上是没有太高难度的，换号光是跑银行柜台就能搞死人，极为不便。国外如 Google 家的二次验证工具就支持很多社交工具和各种服务。

验证

短信

换号

工具

44 条回复 • 2018-07-31 11:54:07 +08:00

wplct

2018-07-29 08:40:01 +08:00

国家规定啊，没办法啊

mason961125

2018-07-29 08:44:21 +08:00 via iPhone

讲个笑话，国内普通用户会用 Google。

orangeade

2018-07-29 08:46:58 +08:00 via Android

@mason961125 不了解技术就乱喷可不是好习惯，Google 采用的两步验证是开放协议，有开源实现，国外的 github, 微软等都支持，国内一些安全令牌类的应用也支持这个协议

tyfulcrum

2018-07-29 08:52:02 +08:00

有些银行会用密码器，相当于硬件版的二次验证应用。
互联网企业恐怕更倾向于给你手机上再安个应用而不是用现成的验证应用，BAT 三家的两步验证器都是如此。

lmmortal

2018-07-29 09:02:00 +08:00 via iPhone

@orangeade 技术是开放的不假但我在安卓上就找不到不需要 play 就可以用的两步验证客户端

ouqihang

2018-07-29 09:06:31 +08:00

谁家都弄一个二次验证，装一个 app，好了又会有人抱怨想在网页上登个录都要装 app，现在谁家都弄个扫码登录作为优先登录方式已经不方便。有通用验证协议有咋样，但你认为他们会采用？魔改一下通用协议自家登录器只对应自家服务。

Sylv

2018-07-29 09:06:53 +08:00 via iPhone

实名制要求的。

Chan6

2018-07-29 09:12:01 +08:00

@tyfulcrum 多年以前用过工行的密码器，那真是难用到泪奔，即使服务稍好的招行也只支持 Windows 系统。BAT 三家私心太重。
@mason961125 我没有说一定是 Google，而是支持开放协议的，多种服务都可以使用，例如 Google 家的验证器。
@wplct 可能是因为更方便定位追踪到个人。

ouqihang

2018-07-29 09:12:13 +08:00

现在的问题是手机短信的权限太大了，已经有取代密码的趋势，把什么都绑死在手机号码上，如果号码丢失，就寸步难行。

yingfengi

2018-07-29 09:18:11 +08:00 via Android

因为简单粗暴，只要和一台短信猫对接就能做认证了

ctsed

2018-07-29 09:26:23 +08:00 via Android

我以为你说 v2

TimePPT

2018-07-29 09:38:24 +08:00 via iPhone

抛开别的不说，银行强制走国密标准的，你让用 Google 开源协议不现实

g531956119

2018-07-29 09:38:53 +08:00 via Android

@lmmortal 微软家的验证器应用被你吃了吗…

Zeonjl

2018-07-29 09:42:35 +08:00 via Android

手机实名的，你懂

lmmortal

2018-07-29 10:42:26 +08:00 via iPhone

@g531956119 你下载一个试试看要不要 play 服务…

honeycomb

2018-07-29 10:57:29 +08:00 via Android

@Chan6 开放协议就是 totp，u2f 那一套。
但这些东西在国内不流行。

内地除了网易邮箱，阿里云以外还有谁在用 totp ？

dototototo

2018-07-29 11:10:59 +08:00 via Android

@lmmortal 如果觉得在商店里的缺了 Play 服务的不行： https://staging.f-droid.org/search?q=totp&lang=en

tetsai

2018-07-29 11:43:02 +08:00

我觉得应该有一个国家级网站，搞一个身份验证接口，直接对接公安的那种，假如有企业需要就跳 api，api 用他的方式验证我是本人，然后吧一个统一识别码给企业，或者企业给用户申请真实信息，但是申请一定是要可以拒绝的，不是拒绝就连启动都不能启动的（微信傻逼玩意儿我说的就是你）

nciyuan

2018-07-29 12:13:39 +08:00 via Android

@tetsai 参考一下目前市面上的身份证 api，调用一次就几块钱......别的 api 都是调用 1 千次 /1 万次多少钱

caomu

2018-07-29 12:36:33 +08:00 via Android

其实国内几家大站都有推自己的二次认证 app，就是都不兼容，一个站要下一个，我还是选择短信好了。。。

laydown

2018-07-29 12:41:16 +08:00

@tetsai telegram 正在弄什么护照功能，看起来可能和你说的差不多，但国内是无望了。

imn1

2018-07-29 13:01:15 +08:00

authy 一定要用 play 服务么？一直用带 play 手机，不知道啊
authy 可以在桌面系统+chrome 使用

国内不是没有，微博有个什么盾，网易有个将军令，但有什么实际作用不知道

imn1

2018-07-29 13:10:43 +08:00

另外那些扫码验证也相当于安全验证，跟 twitter 的 app 验证类似
原理就是在可信设备发出一个许可，只是如#20 所说，这种方式每家都要装个 APP，很烦

silencefent

2018-07-29 15:30:11 +08:00

@tetsai 涉嫌行政垄断

SPACELAN

2018-07-29 15:39:51 +08:00

我用的是 lastpass 的两步验证工具，也是兼容的

formose

2018-07-29 16:05:08 +08:00

国外 google authenticator 二步验证流行，国内手机号码短信验证泛滥成灾，哪种比较容易受攻击不用多说了吧？
实名制的天朝怎么会愿意让你随便脱离手机号码这一绝佳~~~

sephinh

2018-07-29 16:39:44 +08:00 via iPhone

@Chan6 #8 Android 都能魔改成安卓，还有啥规范是不敢破的

omowyh

2018-07-29 16:50:25 +08:00

tg 要实名，商家只是想要你的手机号，安全？你想多了。

lmmortal

2018-07-29 18:11:31 +08:00 via iPhone

@dototototo 很棒谢谢你专门抽时间放了个链接😄

gary36

2018-07-29 18:31:34 +08:00 via Android

现在短信也只有收验证码的功能了，其他全是广告

LukeChien

2018-07-29 22:16:15 +08:00 via Android

DNSPod 创始人吴洪生的项目:洋葱，国产的兼容 Google 验证器，已经倒闭了

icylogic

2018-07-30 00:35:42 +08:00 via iPad

国外的服务我基本都选择开 authy 2fa。其实国内是走了另一个方向，第三方登录，也就是微信登录，或者是扫码登录。

crab

2018-07-30 01:07:00 +08:00

@formose 大部分有两部验证的都支持手机短信重置

shiina

2018-07-30 04:36:11 +08:00

@tyfulcrum #4 太真实了，国内的主流是单独搞出一个认证 APP 来，然后这个认证 APP 里面又能塞好多东西

artoostark

2018-07-30 08:10:46 +08:00

@tetsai CTID 网证了解一下。

yksoft1

2018-07-30 08:49:24 +08:00

等将来电信的纯 VoLTE 可用了（ 4G only ），拿个专用机装上，就基本不用担心短信被空中窃听的问题了。

koalli

2018-07-30 09:34:57 +08:00

除了短信好像没有别的特别可靠能拿来当作身份识别的东西。Google 的二次验证方式，不说国家能不能让这些银行去接入 Google 的东西，就是银行这种对数据比较敏感的机构也不可能敢把自己的业务去跟一个别家的工具来绑定啊。支付宝微信支付一类的天生跟银行就是对立关系的，银行也不大可能去接入这两家的业务。未来如果真的有可能的话，我觉得只能是国家这一级别的机构也好公司也好，出一个验证的方式然后让这些公司强制执行来接入这个东西。当然执行的难度有多大是另外一件事了，而且现有的这种二次验证机制实际上还是不够安全。