Eonval帐号的登录方式和安全思考

王志勇 发表于 2018年11月24日 07:26

从去年开始,我就采购了一些用于手机号验证的硬件设备,比如录音电话、电话交换机、GSM无线接入平台,并在去年完成把手机做成web服务器,可将手机接收到的短信,自动上传到远程的服务器上,以判断用户是否发了上行的短信。并从今年8月开始,大力开发短信验证的程序。

短信验证的上行手机号也买了一年多,端口是 +86 138100018*0 和 +852 95101*00。

最早设想使用录音电话,是为了用于帐号申诉,比如用户忘记密码,用户拨打某个号码,录音电话自动录音,并通过来电显示,来人工判断是否为同一个人。后来发现这种方式有些复杂,开发也复杂,于是改用短信上行。

但是,短信上行来验证,还有个问题,如果用户更换了手机,而忘记在平台上更改号码,当这个手机号新的主人注册时,就会把之前的用户的手机号登录刷掉,而导致之前的用户无法用原手机号登录。因此必须强制用户填写电子邮箱,来避免这种手机号过期的问题。

短信上行验证能够实现,但是会增加很多开发量。这几天突然发现,当初我为什么要采用电话录音、或短信上行验证、手机号登录呢?国外的各大平台,现在大多数都是用电子邮箱登录,比如Paypal就是最标准的帐号平台。当然,国外也有很多大平台是使用用户名、或数字编号登录,比如GoDaddy、name.com、Network Solutions等大多数域名注册商,这些反而不支持使用电子邮箱登录。

域名注册商,不支持使用电子邮箱登录,我想,有可能是因为电子邮箱在whois中是可见的,为了防止别人用穷举法来尝试登录。那么既然这样,为什么所有的域名注册商,不干脆把whois中的电子邮箱隐藏呢?很矛盾吧?难道是为了隐藏whois收费?

我当初为什么要采用电话录音、或短信上行验证、手机号登录?这种方式,其实是给很多用户,也给开发者自己带来麻烦。当初只是为了提高用户粘度,让用户有一种归属感,特别是有大量的用户会这样想:“哇,这是我的手机号,每天用手机号登录,这个帐号就是属于我个人。”例如微信、Whatsapp,现在就是强制必须用手机号注册。

随着开发的进行,我发现用手机号注册,会存在上述的这种手机号过期的问题。
特别是在中国,如果用户用手机号登录一个平台帐号,对于很多非专业用户会有极强的归属感和粘度,而对于专业用户(自身也是开发人员、技术爱好者)则对强制绑定手机号较为抵制

2011年时我开发的Orshu帐号,当时只支持用户名登录。如今,新的Eonval帐号,原先计划支持手机号、电子邮箱、用户名、用户数字ID登录。由于手机号登录存在一定问题,可能需要去掉手机号登录的功能,开发也省了很多麻烦。(其实应该只支持电子邮箱登录最为安全,但是很多用户用手机端登录可能稍难输入一点。)

在中国为什么现在很大一部分的大平台都支持手机号登录呢?这是一种技术倒退,国外不存在这种现象。因为手机号容易填写,容易记,电子邮箱比手机号难输入一点。其实,这也是由于培养用户习惯导致的。大多数非专业用户不会去考虑用户体验、安全、隐私等问题,平台是什么,就用什么。

手机号登录,确实便利,会极大地提升用户粘度、归属感、提升现实中的物理方位感,但存在一些问题。由于会提升用户粘度,也是我在开发中难以割舍的原因。

腾讯自家的QQ就是个例子,由于QQ不强制绑定手机号,所以微信的用户粘度、归属感比QQ强很多,用户把微信当作是个人的所有品,因为和手机号强烈关联。尽管QQ在各方面,都比微信专业很多,微信的使用量却比QQ大很多。

Paypal、Google也需要输入手机号,这2个平台好像从来不用这个手机号验证什么,或者将来这个手机号会有潜在用途?

0条评论:

发表评论:
名字: (*必填)
博客: (可省)

正文:

  记住信息?

王志勇:1980-09-26 (44周岁)
程序设计,前端设计。

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

与此相关的链接
自由勇专栏

Blog存档 Archives

2022年07月
2022年06月(15)
2022年05月(20)
2022年04月(16)
2022年03月(9)
2022年02月(9)
2022年01月(10)
2021年 +

2020年 +
2019年 +
2018年 +
2016年-2017年(9)
2014年06月-09月(10)
2013年 +
2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2024 auiou.com All rights reserved.
此Blog程序由王志勇编写