为什么国产网络服务如此执拗于“短信验证码”？

这是国产的合规要求,实名制;
手机号码是最好的实名制关联工具

cac.gov.cn：你好。

TLS 加密怎么防密码泄露，早些年各个网站被脱裤脱的密码到处都是，国内又普遍不用密码管理器，一个密码满天飞，短信就是验证成本最低最安全的方式了

Know Your Customer

说一个事，上家公司为了获取更多的用户，营销部门去其他公司买了注册用户，包括手机号

只要保证 sim 卡的安全，就能保证账号的安全

@daliusu #3
TLS 把登录表单提交的信息加密了，这个环节的泄露当然可以防啊

你后句意思是国内平台想定用户都是天然呆，在温柔贴心的为用户的安全兜底，是吗？

我都无语了，回帖必须验证手机号，
第一次点短信验证，提示短信接口错误，
第二次点，提示发送间隔过短，稍后再试，
多试了几次都是间隔多短，最后直接提示 一段时间内发送过多。。。

这么大网站，就干这事？

我明白多因素验证可以加固安全性。
但是账密登录怎么就不安全了呢？

而且多因素也可以 TOTP 、通行密钥，解决方案一大堆啊
国内黑客人均破解 TOTP ，但是同时短信验证码固若金汤吗？

就很费解，国际通行的、经过充分验证的可靠方案在简中区为什么就不灵了

@70599 TOTP 本身需要一定学习成本，手机验证码本身就是一种利用通讯工具实现的极简化 F2A 。

@70599 这是政府的要求，除非你访问的网页完全不考虑商业运营

这不是安全问题， 这是政府要求注册需要实名制的问题

因为国内法规规定了你不能把手机号出借给别人用，对于平台来说，手机号验证码就一定保证是你本人操作，所以登录之后的任何违规操作由你本人负责。密码没有法律规定，密码泄露了造成损失，平台可能要担风险；但是就算手机丢了验证码泄露造成的任何后果都是你负责的。

多因素验证 ，要过等级保护基本必备。话说回来多因素验证，国际上也越来越多了吧。

实名制的原因。
有利有弊吧，好处是忘记密码的话可以轻松找回。

最近几次登录登录 google 账户都需要我打开手机上的 youtube 点击确认了，上一个这么干的还是微信

更多的原因是，这是中国绝大数民众为数不多能背下来的东西，其实我建议站里的程序员，都去一线当两天客服，当你面对无数普通用户“我账号忘记了，你帮我查一下”，“请你教教我怎么登录”的咨询的时候，你恨不得把该死账号系统给枪毙了。

“短信验证码”确实是很低成本但又相对安全的验证方式，
但最大的问题不是“短信验证码”本身，而是手机号又不是终身绑定，而是可以二次放号的。
但目前似乎并没有很好的机制来解决平台绑定手机号和手机二次放号导致身份变动的矛盾。

国外不也一样? 最基础的安全验证还是验证码 , 不管是 apple, tg , whatapp ,脸书 微软 这些, 需要账户确认的时候都要短信验证码的


平时用其他手段 这两年流行两步验证或者 passkey,国内倒是不怎么跟进 应该是和用户使用习惯有关

你所定义的安全跟政府厂商定义的安全是两回事

如果网安不查，我们公司根本不会做等保认证，也不会搞什么手机和实名

可是账号密码登录本身就是不安全呀

SMS code 是普通人不用安装专用 APP 就能实现的 MFA 方式了

@66beta #14
提交资料多少视我要使用服务内容而定，我可以自己决定做到什么程度。
而且你说的这种 KYC 流程基本上都是一次性的，而我发的主题是在说登录这个具体动作。
如果你认为你在举反例，请给一个具体例子，在完成 KYC 后，登录时还要求重新提交的。

先有手机号绑定这个合规设定，然后验证码是基于此而顺理成章的验证形式

1. 防止机器人，不管是邮箱还是直接输入名字，都很容易造成假账号泛滥，但是手机号就好多了，成本变高了
2. 简化的 2FA ，让你下载个 APP ，做 2FA ，对用户来说挺困难的，短信就简单多了
3. 合规要求
4. 傻瓜式服务客户找回密码之类信息，很多人注册个信息，一阵不用忘光了，手机号又忘不了，用手机号找回就行了。

可以去看看 reddit 的 degoogle 区，了解下业界最新动态

首先点名中国移动，贼傻逼，每个月领视频会员权益，之前直接点了领取就行，现在要发验证码，领了一个领下一个提示发送验证码过快，领 3 个硬控我 3 分多钟

国内手机号有实名认证啊，国内网站/服务强制要求用户绑定手机号。
然后盗用手机号入刑，且短信服务产业链已经很成熟，企业开发接入很方便。

被攻击盗用手机验证码的可能性小，开发难度小。
如果网站/服务需要做风险控制，发现账号登录/使用的 IP 隔了一会变了，那触发风控要求用一下短信验证码校验，很自然啊。有什么问题吗？

你站在网站/服务的角度，特别是涉及支付或者虚拟资产的，如果账号密码被盗了容易产生用户损失。

当然有写网站/服务设计产品或者交互的方式，频繁使用短信验证码啥的，可能有它们自己的考虑，也可能是单纯设计不好。

作为开发者，我觉得短信验证码是最安全的，毕竟手机号被盗的概率远低于密码被盗的概率，只要触发风控，要求短信验证码验证是最简单的办法。

至于说实名的，如果系统没有实名认证机制，那说实在手机号就和实名没啥关系，你也可以用别人的手机号注册。

很明显是上头的要求，你要想要是没有上面的监管，这些 app 要玩得多花有多花

@70599 你给家长设置过 app 就知道了，记住密码对有些人来说是个很困难的事情，记住一个强制包含大小写特殊字符的密码更是难上加难

账号密码真的不安全，不是说通信过程加密就不会泄露。
你真的不知道哪个服务/网站是不是保存了用户明文密码，且安全做的稀烂，或者内部泄露。
我从网易漏出去的密码，过了几年了，在几个国外网站都能收到说这个密码被盗用、不安全或者不唯一的提醒。

别说国内，全球大部分人都不想在不同的应用记不同的密码。

@70599 #25 短信和 email 也是 OTP 的一种啊

挺方便的，不用记密码了，找回账号也方便。个人所得税 app 那个密码我一直都记不住

很多人不同网站都用同一个简单密码，如果有人拿密码库大规模碰你的用户，损失算谁的

当然可以改进一点，比如密码如果是生成器生成的那种很长的随机密码，应该降低一点要求短信的频率。

@66beta #35
短信/email 可以视作是基本信息，和你特意提及的“国外服务 KYC 必须提交很多很多的个人资料”有什么关系
什么提交短信/email 就能过的 KYC 值得你用“那玩意儿要提交多少个人资料不”来表述

很简单 短信的安全性和方面都不错
如果能都用 f2a 就很好了

为什么擅自想定账密登录“不安全”？ 因为账密登录就是不安全啊

短信验证码在安全、成本、合规各方面是最平衡最佳的方案

技术上需要 OTP ，政策上需要实名，两者一拍即合

@DT27 远景不算大站吧，已经半死不活了

阿里云你前脚用短信验证码登录完，后脚告诉你账号有风险，让你再验证下手机号，用的还是短信验证码

第一手机号码是实名的，知道手机号就能知道是谁，第二，可以通过手机号码发营销短信。所以肯定得收集

确实，特别是我想要抓个 api 来用用，他的登录居然除了要账号密码，还需要手机验证码，导致我基本上没办法绕过这些需要手机验证码的 api 。不然可以抓很多 api 出来用用的。

你问徐金平啊，问我们敲代码的干什么

感觉验证码不如 2FA 方便，成本还低了很多；

密码模式确实容易被撞库。。很多人都只有一份密码，包括我

因为短信验证码简单、够用

黑灰产太多了

是的，我们在外国就从来不用短信验证码。

这里说的风险，不是说给你带来的风险，而是你给平台带来的风险。。。

想归因于体制就直说，不用藏着掖着

老生常谈了，更烦的是有些还必须扫码，选择了非扫码登录方式登录成功以后，还必须扫码验明身份，费这么大劲干嘛到底

@woodfizky #34 上密码管理器啊

@edinina #55 扫码？扫脸！

因为 2fa 普及度不够，而验证码是最简单直接的验证方式。我觉得并没有什么不妥，都是一种验证方式吧了。

你哪怕说一个能比短信更好的验证方式，而且能让几亿老人一看就会

典型的你以为，在 99.99%的用户眼里，验证码比其他服务都简单。

1.国内用户确实大部分都是天然呆，验证码确实可以解决很多问题

2.不要觉得所有人都像自己这么会记录账号密码，了解安全，了解各种技术原理，觉得自己了解的这些东西都是基础知识

3.国外用的方案不一定就是标准答案，另外你说的所谓的好方案也不一定就更适合咱国内

因为用手机号是做账号系统最简单直接的方式

另外，国外很多平台不也有邮箱验证吗？邮箱验证和手机验证本质就是一个东西，只是国内不怎么用邮箱而已，你咋说的国外就没有一样，动不动就《国内》《老中》《简中》

短信验证就是方便、好推广、相对来说就是安全呀。

你注册谷歌账户也要手机号验证呀

二次验证在全世界都很常见吧，我在非常用电脑上登个微软账号、谷歌账号也需要啊。

只不过国内大部分只允许短信验证了而已，TOTP 动态密码支持相对少，而国外应用还普遍支持邮箱验证，其它的没多少不同。


国内网易将军令，腾讯令牌，还有些网站或应用直接支持 TOTP 标准的。