Q1:除了登录名与密码,为什么要考虑使用短信验证码登录?

本质还是提高可用性。

  1. 用户不方便使用自己的真正密码登录,例如在咖啡馆、图书馆或网吧。

  2. 忘记密码后重置较为繁琐,安全级别再强一点的还会遇到不允许跟历史密码重复。

  3. 节省输入密码的工作量,特别是移动设备上输入特殊字符,各种大小写字符组合并不方便。

  4. 为帐户安全增加额外验证。LastPass,1Password 或 KeePass 这样的密码管理软件各有不足。

  5. 不是所有用户都可以使用/愿意使用 Facebook 登录,但是短信具有普适性。

Q2:手机验证码有没有问题?

仅仅依靠 SMS OTP 就作为身份验证,虽然方便,但是安全性将面临很大挑战,特别是在金融行业。

业务设计的环节,存在一些比较明显的问题:

  1. 手机验证码不能定位到人。比如你搜索:How to Send and Receive Text Messages without a Phone or SMS。

  2. 手机容易被恶意软件攻击。著名案例有 ZitMo、SMS Tracker 等。

  3. 短信通道堵塞接收不到短信,或者是被拦截。

  4. 手机不在身边/无法使用,例如旅行时。

  5. 比如座机或者使用基于Web 的 (VOIP) 电话服务,就没法接收验证码。

Q3:移动端趋势?

用生物识别代替PIN、OTP。比如人脸、指纹、声音与虹膜。

英特尔身份验证包含了从个人识别码到蓝牙、地理位置与指纹识别的所有内容,直接在硬件中加强了安全强度,也可以在移动设备上应用。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(1)

英特尔®验证

Quikr

Quikr,印度最大的生活类分类信息平台。

勾选通过 OTP(One-Time Passwords)登录,不需要再输入登录名与密码。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(2)

Quikr登录页面

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(3)

Quikr 支持电话认证

USAA

服务美国军事人员的金融平台。支持三种方式:

  1. 基本的密码或PIN(来源于绑定个人信用卡的识别码)。

  2. 二次验证的手机或cybercode(一次性验证码)。

  3. 适用于APP的生物识别,包括指纹、脸部与声音。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(4)

USAA 组合登录方式

方法1:CyberCode Text

你可以理解为短信验证码。适合有手机,手机短信包月的用户。

每次登录只要用户名、密码与6位数的随机短信验证码。如果手机出了问题,一次性验证码会发到绑定的注册邮箱。

方法2:Quick Logon

适合移动端用户,包括iOS、Android、Windows Phone或 Amazon Fire Phone,安全增强包括了指纹、语言与面部识别,服务来自于 Symantec VIP 双重验证服务。也就是说就算黑客能拿到你的PIN,也需要再拿到你的手机,同时越过赛门铁克家的墙。

方法3:CyberCode Token

你可以理解为PIN 30秒随机验证码(APP密钥)。每次登录都是一个组合后的新密码。APP密钥来源于Symantec VIP 的服务。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(5)

CyberCode Token

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(6)

Token 登录方式

Yahoo

帐户泄密事件后,Yahoo也开启了两步验证。当用户从新设备登录时,通过发送安全号码到用户手机。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(7)

Yahoo 启用两步验证

同时也与APP联动,支持一次性的帐户密钥。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(8)

Yahoo 帐户密钥

Apple ID

双重认证是一种直接内建在 iOS、macOS、tvOS、watchOS 和 Apple 网站中的新服务。它使用不同的方法来对设备授信和发送验证码,而且提供了更为简化的用户体验。要使用一些具有较高安全要求的功能,必须通过双重认证。

开启双重认证后,用户需要使用密码并访问受信任设备或受信任的电话号码才能登录帐户。

  1. 牢记 Apple ID 密码。

  2. 所有设备上均使用一个设备密码。

  3. 确保受信任的电话号码始终为最新号码。

  4. 确保受信任设备的安全。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(9)

Apple ID 双重认证

如果双重认证不适用帐户,Apple 还提供了一种旧式的安全增强功能,称为两步验证。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(10)

Apple 两步验证

Facebook

除了设置密码,登录代码或者安全钥匙做二次验证。

  1. 短信验证码,如果手机遇到问题,就可以使用10个验证码,FB会提醒你打印出现线下保管,这个与苹果14 个字符的恢复密钥差不多,请将如果无法使用受信设备或忘记了密码,就用恢复密钥来重新获取访问权限。

  2. 代码生成器,通过 APP 上的代码重置密码或者登录许可验证码。

  3. 安全钥匙,U2F 的USB 或 NFC 安全钥匙。

适合台式机或者笔记本。

跟银行配给我们的U盾不一样,多少张卡多少个令牌,U2F是开放标准,一个设备就可以在所有支持该标准的认证服务。

输入用户名、密码,然后插入Key 触摸一下就可以登录认证了。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(11)

FIDO U2F Security Key

可以理解为非接触式的USB,适合没有USB接口的手机,而且仅 Android。

APP 不支持 NFC安全钥匙登录,但是如果是 Android 手机,安装了最新版 Chrome 和 Google Authenticator 就可以使用该方式,登录后进入触屏版。

短信验证登录怎么弄(如何在登录注册环节增加短信验证)(12)

Facebook Security Key

,