移动app登录和注册功能观察 - 简书
移动app登录和注册功能观察
现在在智能机上下载一个apps是再简单不过的事了，而安装完后首次打开app时，用户首先看到的就是登陆注册页了，当然，不排除有一些非账号登录的小众应用等。登陆注册页往往还会和应用引导页揉在一块，之前看到有文章说进入应用主界面前的引导页往往没有达到预期的效果，在我看来，这种硬塞式的引导，对于急着去把玩应用的用户来说，确实是有阻碍的。但我们今天只谈登陆注册流程。我收集了一些自己觉得做得各有特色，兼具代表性的app登录注册流程，同时写了点自己的看法。1、Evernote
evernote首次打开时，没有splash screen,而是直接到了登陆注册页，对于一个工具型应用，必须登录账号才能看到和编辑你的信息。值得注意的是，这里只有一个输入框，你不用纠结是注册还是登录，也就是说不用另外去分辨登录和注册的入口在哪里。输入一个账号，然后点击下一步，此时app向EverNote的服务器上传这个账号的信息，请求服务器确认是否已注册。
这里我随便拿了一个邮箱测试了下，这个账号应该是没注册过的，所以点击下一步后看到的是”创建新账户“的提示，自然的，它就会提示你给这个新账号设置一个密码。最后点击创建账户，就能进入主面板，可以开始写笔记了。同时常见的”同意服务条款和隐私条款“的复选框，我们也没看到，可以说这一步，给了我去选择的麻烦，两步直接到位，同时一句”点击创建账户，表示你同意服务条款和隐私条款“也省去了复选框的抢占焦点，让我集中注意力在唯一的一个输入框中。
当然，如果最后服务器返回的结果是这个账号已注册，那么就会出现上图，它提示你正在以该账号登录印象笔记，只要你再输入登录密码，那你就能直接登录了。可以说这个登录注册的流程处理的非常简单高效。但是我们也有必要注意这个产品本身的背景，单纯的从交互上说，登录注册流程是简单高效，但是我们还要尝试理解这样做背后的意图，为设么这么设计？我们可以直接借鉴过去吗？首先，evernote是一个笔记记录工具，作为工具型产品，本身的内容是来自用户自己生成，而且隐私性很强。所以一个简单的账号和密码就够了，它不用像一些有社交元素和个性化推荐元素的产品，需要通过在登陆注册的时候，多弄几个信息选项，来收集记录分析你的资料，从而给你推荐服务。它只要保证简单，高效和安全就行了。因此它可以只有三步，用户不用思考太多，照做就行。2、饭本(旧版本，ios）
饭本是国内的一款通过好友推荐饭店，来帮你解决吃饭问题的app。既然是以推荐和社会化关系来驱动的产品，那么它的注册应该就不能像EverNote那样简单一个账号和密码，而是会多收集一些用户信息，以便更好的完成推荐服务。
图中是饭本的登录首页，可以看到这一屏将登录和注册放在两个平级按钮上。用户输入完账号和密码后，可以选择登录或者立即注册。由于截屏离我写这篇文章有一段时间，而手机上的饭本已经更新到了新版本，所以对上图中的输入完账号和密码后的按钮交互印象不清了。可能是：app检测到文本框第一次都输入完毕，且格式无误时，立即将数据传到服务器验证，若返回的结果是该账号已注册且密码无误，则高亮登录按钮；若账号未注册，则高亮立即注册按钮，以提示用户下一步操作。同时提供了两个第三方登录入口，这是必须的，社交网络账号能大幅简化登录和注册的流程，当然，这一点严格点来看，我们得区分Android和iOS平台，因为安卓平台上应用间通信做的比ios好，比方说点击上图中的新浪微博登录，在安卓上可能就是在新页面中走一个授权的操作，但放在ios上，很有可能是弹出个小页面，你得再输入账户和密码，登录微博后再点击授权，再返回应用。我们说产品最重要的是解决问题，那么这种登录注册的设计主要是解决了什么问题呢？是更快速简单的登录注册流程，如果你用第三方账号登录的话。但是，我觉得这个问题解决的还不够好，登录和注册还是分离的，如果你中途注册到一半，厌烦了，想用第三方账号登录，还得返回上一界面---点击第三方登录按钮---授权登录---返回饭本。当然，我看了下安卓上的饭本后，那边就通过fixed tabs解决的比较好。另外就是，安卓上谷歌给的SDK比较多，而且也更开放，比如饭本拿到了一个检测用户在这个手机上的登录邮箱，然后直接将该邮箱放到登录页里，省去用户再输入一遍的麻烦。或者对于 Google+, 还有一个独特的好处就是, 如果你提供了 Google+ 登录的话, Play Store 能够提供 OTA 登录的能力, 特就是说当你的应用被安装到用户的手机上时, 就已经登录好了他的帐号, 而无需用户再去登录一遍.同时饭本的设计师@stephen dat 提到了很重要的一点，就是登录和注册的互通，简单来讲就是降低跳出率，必须要考虑到登录时能一眼看到快捷的第三方登录，注册的时候万一嫌麻烦了，能一眼看到还能用第三方登录。刚才写到我猜测的登录按钮和立即注册按钮可能的一种交互，如果深入点去想，就得计算怎样跟服务器通信，是先验证用户名，再验证密码还是用户名和密码一并提交验证？所以，登录注册的流程还真是不太简单，要考虑的细节很多。
在我输入了一个曾经在饭本上使用过的账号后，登录按钮高亮，这时比较容易就是点击登录按钮了。如果点击登录，提示密码错误也是有可能的，这时我可能就会有点捉急了，看到下面有第三方登录，很有可能就是点击新浪微博登录。
如上图所示，在iOS上用QQ登录饭本的时候，会先跳到手机QQ的界面上去，走一个授权流程。授权并登录后，再返回到饭本。可以说，是有点麻烦的。有趣的是，我在新版的饭本中看到了改善，它们加了两个网页来解决这个问题，通过网页来传递数据，这样省去了在两个应用中跳来跳去的麻烦。下面我将会讲到。3、饭本（新版，iOS)
上图是饭本的新版，跟旧版相比，简化了登录界面的元素，弱化了注册，通过对比进一步强化了第三方社交账号登录。邮箱输入框，只要检测到输入@符号，确定二字高亮，然后输完密码后点击确定，即登录。若点击立即注册，则会跳到注册界面。
昵称性别等注册信息填完后，点击确定即注册成功了。
点击第三方账号登录，qq和微博，都是在应用中嵌进了两个网页，输完账号和密码后，就到了授权登录了。跟旧版饭本相比，省去了在两个应用中跳来跳去的麻烦。4、支付宝
支付宝跟其它非阿里系app不同的是，它不提供第三方登录，一方面可能是出于安全性考虑，另一方面可能是加强自家账号的长期稳定性，从而达到跟踪和分析广大用户的数据，为大数据做准备。由于支付宝获得了访问我手机通讯录的权限，加之检测本机号码应该也不是个难题，同时我之前已经登录过一次，头像缓存在本地，所以它的登陆页，直接显示头像和手机号，只要输入密码即可登录。同时，它提供了多种登录方式，当然都是阿里系的。注册按钮在底部，支付宝的注册流程就是手机号注册，一步一屏，很简单，收到一个验证码，输入验证即可注册。这里我特别实验了下，拿已经注册过的手机号尝试注册了下，再输入完短信验证码点注册时，它弹了个窗提示该手机号已是支付宝用户，是否立即登录，点击立即登录即可跳转到最开始的登录界面，点击”换手机号注册“即重新跳到手机号注册界面。
使用手机号登录时，如果输入本机号码，则点下一步后，直接提示你输入登录密码，也就是说账号和密码输入分离开了，怎么说呢，从使用流程上来说，这样是没问题的，因为正常场景下，就是这样输入的，如果说账号和密码的输入框放在一屏，交互和提示还是不能少，但是不太好组织信息展示，所以干脆做成多屏，这对操作成本来说并没有增加多少。如果输入的不是本机号码，那么应用会提示考虑到安全性，我们将会对这个手机号进行验证，我们将发送短信验证码到这个手机上。值得一提的是，支付宝提供了多种登录方式，但只有手机号登录时，下面仍然放了用其他方式登录和注册的入口。考虑到使用支付宝的用户分布广泛，较为大众，年轻人还好，如果给上了点年纪的中年人要记住个邮箱或许会麻烦点，但手机号还是容易记住一些。
下面是支付宝的注册流程
首先，用手机号注册，填完手机号后，点下一步就到了确认短信验证码，值得注意的是，它不是在你输入一个手机号后就开始验证该号有没有注册过，而是在输入完验证码后再检测。若已注册，然后就弹出了上图的toast，换手机号注册或去登录页面。5、手机淘宝
当点击注册时，会重新走一遍输入手机号--短信验证码--检测是否已注册，若已注册，则会弹出一个toast，可点击直接登录，返回登录界面。也可以换一个手机号注册。这一点和支付宝一致。手机淘宝跟支付宝做的不太一样。首先手机淘宝的目标用户更为大众，它的登录注册界面做了两个特色功能，一个是没有密码时，用短信登录，一个是密码的明暗文切换。首先我验证了下没有密码短信登录的流程，淘宝这个登录页考虑的比较周全，常用的找回密码功能放在登录按钮左下侧，而当用户想用手机淘宝购物却发现没有注册，而注册流程自己又不清楚怎么操作时，就可以点击“没有密码?用短信登录”点击之后，首先切换到输入手机号的界面，同样，输完手机号点下一步会收到短信验证码，当输入完验证码，此时服务器会检测是否已注册，有一点我觉得淘宝做的不太好的是，在我用已注册的手机号验证时，它直接提示我"为确保账号安全，请验证您的淘宝登录密码“，这里它想表达的意思应该是我已经注册，可验证密码直接登录，用鼓励的语气，而不是莫名其妙的提示。没有试过未注册的号码，也不知道到时是怎么提示。
另外一点就是密码的明暗文切换，这里可能有以下情况：主要要考虑淘宝的用户数和用户特征，中老年用户用淘宝输到一半忘记输到哪了，有没有输错。当然，对一部分年轻人也适合，特别是家庭主妇；不用输完后，点登陆提示密码错误，导致多次登录，减小服务器压力？（YY。。。）6.EyeEMEyeEM是国外的一款图片拍照分享应用，类似instagram。它的把功能引导页和登录注册入口放在一块确实不错，很多应用在你首次打开后，是得不断左滑好几次，才能来到登录注册页，而且效果往往不好，因为用户急着看这个应用到底有什么内容，当然，这里也涉及到登陆注册的一个设计，就是在合适的时候才会跳出登录或注册窗口，平常不会干扰你参与到app中去。嗯，前面提到的饭本，借鉴了这个设计。这种应用最适合图片app,将内容，功能结合的恰到好处。
作为一款社交化的拍照分享app，接入第三方登录是必须考虑的一个问题，eyeem提供了facebook的第三方登录入口，而且将其放在了普通账号的上面，浏览顺序最先看到，做了一定的强化设计。你也可以用eyeem自家的账号登录。
如果你点击加入，就到了注册的页面。可以从上图中看到的是，如果直接注册，要输入四项内容，姓名，用户名，邮箱密码，还得上传个头像。考虑到注册流程确实稍长，所以eyeem在注册页也提供了使用facebook直接登录的入口。整体上eyeem做的比较好的一点是，它自始至终，在登录和注册页都提供了明显的第三方登录入口。7、lofter
Lofter是一个轻博客app,浏览优质内容是核心需求，社交是辅助。因此在打开app后，虽然你能看到注册和登录的两个入口，但右下角向左来回滑动的渐变箭头还是提醒你，可以左滑，左滑之后就能直接浏览lofter上显示的默认内容。这里注册的按钮用了黑色，用来强化，当用户首次安装打开lofter时，考虑到用户可能来自两方面：一是Lofter网站上已有的用户，他们要登录的话，还是可以找到登录入口的，这样登录稍弱化也是没关系的。二是从appstore上下载下来，而之前未曾注册过lofter的用户，对他们的强化注册就很有必要。总之，这跟lofter早期吸引用户注册的策略是有关系的。
当用户左滑进入浏览内容的界面时，此时如果他想评论或分享等，就会从窗口底部弹出登录和注册的引导窗口，这种设计也是有人推荐过的，因为当你浏览到喜欢的内容想继续下一步操作时，这时的引导登录或注册或许是效果比较好的；二是我们不会在你刚装完打开app时，就用麻烦的注册或登录流程来妨碍你快速浏览内容的需求；三是lofter本身就不是一个非得登录才能使用的app，未登录时的浏览默认内容也是一个需求点。
点击登录时，除了常见的邮箱/网易通行证登录外，作为一个社交化轻博客应用，使用第三方登录，借以更多的了解你是很有必要的，因此提供了微博和qq以及可能是目标用户之一的大学生常用的人人网账号。
注册这里，强化了第三方账号注册，弱化了用邮箱注册，和上面一样的道理。
8、豆瓣小组
豆瓣小组基本上和lofer是一致的，不过它一进来的首屏就是内容展示，够直接。同样是app内引导登录和注册。
注册时需要激活码，第一眼看没看明白，以为是要向好友索要，其实就是短信验证码，嗯，这里是一个网页。9、百度云
百度云提供了多种登录方式，并强化用自家账号登录，一来保证安全性，二来好管理。比如我自己就有一次不知道是串号还是账号被盗了的经历，走百度自家账号得人工申诉的过程还是效率挺高的。
登录页的右上角是注册页，这里的注册只有手机号注册，并且不需要验证码。值得一提的是百度云的登陆保护功能做得不错，PC网页上需要输入验证码才能登录，手机上使用百度云，则是先要短信回复Y验证后，才能登录。写到这，移动端的登录注册体验就写完了。总体来说，各有特点，主要还是看各自要解决的问题，和应用本身的特征。是否有社交元素，需要获取更多用户的数据？是，则提供第三方登录入口/在注册页增加几个资料选项。是否必须登录才能使用？否，则提供应用内引导登录或注册，因为未登录时浏览内容也是个需求点。做成多屏滑动切换还是单屏切换tab？需要看登录的验证流程是怎样的，像支付宝，evernote那种就做成了多屏，而百度云这种则做成了单屏。登录和注册流程如何顺畅走通？是全部填完后验证，还是填一个切换到下一项时就已经验证完毕，还是先验证完后，再决定下一项怎么显示，是提示你直接登录，还是提示可以注册。流程和交互，实现成本和操作便捷是要持续考虑的问题。
以文化心，以美启真。通过手机短信验证码验证身份，真的安全吗？ - 知乎2584被浏览187566分享邀请回答12432 条评论分享收藏感谢收起44576 条评论分享收藏感谢收起查看更多回答13 个回答被折叠（）为什么手机短信验证码需要限定时间？_爱码族
|||爱码族平台群：
爱码族-最全手机验证码平台资讯门户网站
爱码族用户群：
爱码族卡商群：需要提供手机服务密码和验证码？省友们也是一样的吗【省呗吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：78,551贴子：
需要提供手机服务密码和验证码？省友们也是一样的吗收藏
借款缺钱借款,信用额度1000-20万,10分钟完成审核,极速2小时到账,已成功借款98%.
输入了手机号码服务密码 和验证码
然后不断收到中国移动的被咨询的短信
小心银行卡，支付宝里面钱被盗，还是改密码吧~
为什么你的通话查真的多 我只查了一次
手机验证时查了一次
我也是，后来登陆移动官网修改了服务密码，太吓人了，这什么APP啊，跟流氓没俩样
马上改密码 省呗就是套取客户资料的骗子公司
呵呵服务密码你也敢填？我是到那不感觉不对，直接取消然后卸载
没事闲着注册玩玩，没想到和楼主一样遭遇，填了服务密码和验证码，收到移动查询近半年通话清单，想想都后怕，什么软件，堂而皇之窃取用户隐私，迅速改密，已经上传的资料无法追回，已经注册的账号无法注销，流氓公司早早倒闭吧
这么吓人！我的天，那我现在该怎么办
实时贷APP0抵押0担保,手机上就可以借钱,随借随还,额度100元-50万!免费申请在线申请,低门槛,高额度,费率低;高额可达500W
原来都有这个问题，我就是填了之后一直收到说查看账单，果断卸载然后所有密码都改了。
也是怪了，申请贷款要客户的手机号服务密码做什么?居然还有人给?醉了
绝对是骗子！还好上网查了一下。APP运行也不流畅！卸载！卸载！！！
一样啊，妈的，正扑街来的，小心啊好危险，我也一样，报警妈的
已卸载，但是身份证和手机号都被他知道了
应该是要看你 的手机使用情况吧。 如果是 用很多年的手机 可能给你的额度偏高一点吧
真的不要乱填手机的服务密码
这个就像个流氓软件一样！！！！
刚申请了下，结果收到17条查我通话记录的短信提醒，接着收到网上营业厅的短信评价提醒。不知道他们这个东西是搞什么的，查询应该是需要我允许吧，竟然没允许他就直接查了。取消申请都不行，坑爹的。
完善资料的时候，收到的验证码，内容是登录福建移动门户的短信验证码就觉得奇怪。在一开始入人头点头的就觉得不对劲。用其他手机录下了点头的视频。
登录百度帐号推荐应用通过手机短信验证码验证身份，真的安全吗？
我的图书馆
通过手机短信验证码验证身份，真的安全吗？
【hqdvista的回答(34票)】:
谢邀。短信并不是最好的二次验证方法，但却是成本最低最容易实现的也基本靠谱的：用户绑定性较强，不需要额外设备，用户广泛拥有，校验成本极低。短信验证的预设是
1）认为用户的卡是不会轻易丢失和被窃取的，和用户绑定更紧密（相对于各种脱库事件，密码泄露的概率还是比丢手机的概率大多了，况且丢了手机可以立即去运营商挂失补卡，密码泄露了就是泄露了）
2）认为有手机号可以做二次验证的用户是真实用户（所以手机验证码通常也会在要求比较高的场合被用来作反垃圾注册）（并且能获得更多用户的真实信息用来...）
3）认为运营商维护的通讯信道比其他的都更安全
这些预设基本上是靠谱的，只是在智能手机普及的大环境下各类短信木马此起彼伏，补卡攻击和无线电监听这些一直存在的问题也被关注和利用，短信验证的安全性就开始出现了问题。
目前来说对于短信验证的威胁主要有如下三个方面：
1）智能手机平台上的短信木马，这里可以看到一个案例。这种木马的作用之前广泛用于支付宝诈骗，不法分子诱骗受害者通过二维码下载安装木马，随后重置受害者的支付宝、淘宝账户盗取钱财。因为之前支付宝的重置密码验证只通过，木马在后台可以轻易窃取并转发给不法分子，实现对受害者的账号重置。这类木马编写简单，已经形成了非常完整的产业链：从制马人员到售马、租马，到实施钓鱼、欺骗、洗号、转移钱财。
在智能手机的年代，由于OS开放了短信操作和拦截的接口（Android直接提供，iOS需要越狱），对于一个安装了支付类App的智能手机且绑定账户的SIM卡也安装在同一个手机的情况（绝大部分情况下是这样），短信验证事实上已经退化成了单因子验证，只要智能手机被安装了木马那么这些验证体系就会全线崩溃，攻击者甚至可以只通过钓鱼wifi全部搞定登陆密码、支付密码和短信验证，参见诸葛老师的演示：
2）补卡攻击。之前提到了短信验证码事实上是基于手机号（SIM卡/运营商服务）而不是手机设备，那么如果能办一张和受害者相同的手机号，自然就能狸猫换太子，接受受害者的验证码，重置各种账号。参考，这里的薄弱环节就在运营商，部分地区的运营商对补卡人员身份验证不严导致出现了补卡攻击。
3）无线电监听。这里主要包括GSM监听，包括监听空中短信，直接获取短信内容- -b，但这个玩法成本和范围有限制，相对1、2来说用在真正犯罪的情况下还比较少。
解决方案：1的情况有很大部分其实是反木马和系统开放度的问题，目前Android在4.4之后已经收紧了短信权限，相信在4.4普及之后情况会有一定好转。TrustZone这些耳熟能详方案就不提了。
2、3其实就是对运营商维护的信道安全提出了质疑。2依赖于运营商的各大营业厅加强安全意识，目前来说各家公司应该是收到过公安部的通知，现在去营业厅补卡还是盘查的比较严格的。
3可以考虑使用3G、4G等更安全的信号通道，但目前也有降维攻击，强制将用户信号降为（2G）GSM之后进行监听。这种攻击只能期待GSM逐渐退出历史舞台，设备不再兼容吧。
短信之外自然有一些更好的二次验证，比如OTP、指纹甚至虹膜也都可以使用。OTP（各种宝令、Google Authenticator、RSA token）已经比较普遍的。指纹随着具有指纹识别功能设备的普及也会流行开来，但如何在隐私和安全性上取得平衡还需要考量。
【吕爻的回答(15票)】:
无非是手机验证还是邮箱验证。对于大多数普通人对于大多数应用场景来说还是手机验证安全方便。
1、与国外的使用习惯差异，中国用户电子邮件使用率不高，很多人没有邮箱或者忘掉邮箱密码的，这样邮箱验证形同虚设。另外比起邮箱验证，手机验证操作更傻瓜，环节更少。
2、使用验证方式盗号最常见的情况应该是从用户名猜到验证邮箱，而遭遇各种拖库的中国网民常用邮箱很可能已经密码泄露了。手机验证的话没这个风险。
3、先捡到手机，再通过手机修改密码。这个主要针对网银吧，否则小偷也忒无聊了…这个确实有风险，但是做的好的比如支付宝是这样防范风险：A.客户端建议设置图形解锁，并且建议分别设置登录密码和交易密码。B.PC端若不是经常登录的机器，无法简单使用手机找回密码功能。退一步，即使不考虑这些，丢失手机后可以第一时间挂失，重办号码，起码风险是可控的。
【知乎用户的回答(6票)】:
没有绝对安全的验证方式。
手机验证相对于传统的邮箱验证、密保问题验证要安全很多。
因为邮箱、密保问题是虚拟物品，邮箱密码、验证答案都具有可传播、可复制性质，因此只要得知密码、答案即可获得验证码。
而手机则是实物，只有手机持有人才能获取到验证码，具有地域性限制，网络上的黑手没办法触及，因此会比其它方式安全很多。
（排除手机权限设置问题导致短信被app窃取的情况）
以下产品也具有同样的效果，而且更安全。
至于提主所提到的手机丢失问题。
只能说，家门口钥匙都还有丢失的时候……
【知乎用户的回答(4票)】:
居然被邀请了，反正也没事，那就仔细说说吧:)
首先要说的是，就像已经有很多人指出的那样，是没有绝对安全的。我们说xxx是安全的，只是表明所面临的威胁和风险在可接受的范围内。至于什么程度才算“可接受”则很难定义，很多时候甚至要更多地考虑情绪和感情因素。换个角度，也可以说，面对已经识别的风险，如果防护的投入将超过可能的损失，则可以认为“可接受”了。
回到这里来，不过换一个问题：通过手机短信验证身份，能提高安全性吗？答案是明确的，是。身份认证有三个方式：你知道的，你持有的，以及你固有的。一般的口令密码之类算第一类（你知道的），持有令牌通行证之类算第二类（你持有的），指纹虹膜等生物特征算第三类（你固有的）。由于获取／伪造的难度不同，一般认为第一类的安全性比第二类差，第二类又比第三类差；但需要明确的是，如果只有其中一种都算是弱认证，必须独立使用两种甚至三种才算是强认证。
普通应用比如邮箱的认证方式都是口令或密码这第一类认证，使用短信验证码则是为了提供第二类认证。在安全设定中，做得好的系统会要求关键修改要同时使用两种认证方式，即：使用密码登录，然后修改关键信息比如已经注册过的手机号，还需要先用之前的手机接收验证码；单独获得手机后，是不应该能够登入账户并修改所有信息的，否则就破坏了多种认证方式直接的独立性，进而破坏了系统的安全性。
这时候我们再回头看题目的问题，就能知道，在没有设计缺陷的情况下，在密码认证之外添加短信认证是同时使用了第一类和第二类认证，也就是强认证了。在密码设置合理（严格来说必须用随机数，但最起码不要用123456之类）、手机短信验证码系统可靠（没被人复制窃听）的情况下，安全性是有充分保证的。即使是两种认证方式终有任何一种被破坏，面对一般的威胁安全性应该也还好。这样来说，可以给题主一个明确的答案：是！有更好的方法吗？综合考虑成本和适用性，暂时可能还真没有。
一句题外话，随着技术进步和操作方式的变化，原本算是第三类的认证方式可能变弱成第二类，第二类可能变成第一类，原本互相独立的认证方式也可能在无意间关联起来。和所有的安全系统一样，设计验证系统必须非常小心，充分考虑各种情况；同时，也要始终注意，所有安全投资的价值在于保障，不能本末倒置。
【藏可的回答(1票)】:
没有绝对安全的验证方式，手机验证码是建立在将手机假设为很重要的位置和很安全的前提下的解决方案。
【萧紫瓶的回答(1票)】:
不安全，因为有的手机系统本来就有root提权漏洞，发的验证短信可以被拦截的。
【关闯生的回答(1票)】:
一直在潜水，今天居然收到邀请了~~
1、首先，安全真的是相对的，破坏和保护安全都需要成本，当成本过大收益自然相对变小，因此没有绝对的安全。这句话在安全界是铁的规则。
2、手机的短信验证码使用起来有两种不同的方式，也正好能回复这个话题。
1) 输入用户名，然后点击发送短信验证码按钮，跟此帐号绑定的手机收到验证码后，
然后输入手机收到的验证码，验证通过，进入系统。
2）输入用户名，然后再输入密码，密码正确了再出现或者激活发送短信验证码按钮，然后点击发送短信验证码按钮，跟此帐号绑定的手机收到验证码后，
然后输入手机收到的验证码，验证通过，进入系统。
3、按照上一项内容看，明显是第二种使用方式更加安全，可以避免手机被盗用后帐号被黑的情况。
如图所示：我们自己设计的应用系统，手机认证、令牌认证的情况下密码项都是必须使用的，不允许使用者自己配置。
4、由此可见，任何直接信任手机当前持有者的认证方式都是不安全的！
至于您问的：
1、手机这种极易丢失或被盗用的随身设备，能担当这样的重任吗？
使用 先输入密码（我们管它叫做“静态密码”）再获取短信的双重认证方式（我们管它叫做“强认证”），可以避免这个问题（除非你密码泄露了~）
2、就没有更好的办法吗？
有肯定有，只是使用上会给用户带来一定的不便，损害用户体验。比如：手机令牌、硬件令牌、证书（像银行的网银~），都很安全。
安全是博弈后折中的结果：银行中自己的资产，大家非常看中，所以麻烦点儿的使用方式也认可了，但是您要是想在bbs上发个帖子就不想这么麻烦了~
【章俊的回答(1票)】:
个人意见：
1.手机设置好图案解锁，尽量复杂一点。
2.SIM卡设置PIN码，初始密码一般是1234，注意修改下。这张卡插入任何手机里面，只有输入正确的PIN码才能使用，输错3次之后需要验证PUK码，PUK如果再输错卡就报废了。手机被偷之后请一直呼叫，呼叫到没电或者关机了你就赢了。
【思扬的回答(0票)】:
不安全，但没有更好的方式。当前主流个人联系当时是三种：电子邮件，手机，QQ/微信。许多用户很少用邮箱，QQ微信属于某家公司且更不安全，所以手机仿佛是唯一的选择。
从另一个角度说，需要把操作权交给用户，其实网站在这部分可能是因为避免责任而不作为，也有想获取用户手机号的私心。
对于这个时代的用户，手机是最重要的私人物品，可以假设是私密不可丢失的。所以应该做好心理准备：提升关注度不要随便乱放，设置密码，不要随便借给他人使用（就算借，也不离开视线范围）。如果丢失，第一时间停用。
最后，我认为手机号的验证还能存活两年，以后会有完美的替代方案。
【田加菲的回答(1票)】:
不安全…… 觉得想获取你的手机号信息…… 绑定你的手机号……T_T
【劉承漢的回答(0票)】:
不安全，尤其是有些时候app自动读取短信内容时。
【罗晨的回答(0票)】:
不安全，但比它安全的都没它方便。
【知乎用户的回答(0票)】:
是的，这也是一种风险。但如楼上所说，没有绝对安全的方式。手机相对而言是比较贴身的东西，当然我个人倾向是邮箱找回密码，虽然繁琐了一点，但遇到支付问题，谨慎点总是好的，所以我最后想说的是：
如果手机丢了的话，第一件事情，就是赶紧去挂失，再补办一张卡。
【马致远的回答(0票)】:
有两点要说明。
第一，手机确实比邮件或其他身份验证要方便，但我个人认为要求这样做更多的原因是为了推广实名认证，确保门户网站的有效用户数量。
第二，枪总你的担忧是多余的。丢手机和丢账户没有必然联系。
首先，大部分网站支持手机解绑，只要你在手机丢失的时候想起来注册了哪些涉及资金的账户就可以（愿意及时补办手机卡的话甚至不需要去解绑），所以这是卡的问题，不是手机问题。
其次，也是最重要的一点，窃取账户和窃取手机（有时候不一定是窃，可能只是不小心掉坑里了…）的人未必重合，可能只是两个完全独立的事件而已（如果是偷手机的人通过翻查你的手机来获取信息再进行账号窃取就另当别论，但这种情况首先要怪自己手机密码，软件密码，异地登陆确认等安全性设置没有搞好）。
【熊展云的回答(0票)】:
1.安全本来就是相对的。
2.想再安全一点，就不要怕麻烦
在这种情况下，设置手机PIN码或者是图形密码就显得很有必要了。
【知乎用户的回答(0票)】:
单纯从技术上来说确实不安全，不过安全也是相对的。互联网应用系统是在他认为可接受的风险范围内，为大部分用户提供最大的易用性。题主可以选择是否绑定，这也是看题主是看重安全还是看重仅忘记密码情况下的使用便利了。
说说技术上吧，大家都知道2g手机的数据可以说几乎是裸奔的，利用大概10来个手机配合抓包分析，就能截获附近一个基站的2g手机短信的，不用说什么验证码，就连什么短信下发的门票，消费码等等都能拿到。
更好的方式（可能题主说的好特指安全）也有，但麻烦，比如usbkey和数字证书，所以这个也就在安全性需求特别高的业务系统中使用，如等保三级，网银等。
【小姬的回答(0票)】:
没有绝对安全的东西，我的手机号都曾经被盗用过，然后向我的同学骗钱～
安全都是相对来说的，手机验证这个东西如果人家想盗你号，是完全可以截取你的验证码的～
如果有人盯上你了，那所有的安全验证之类的东西只能算是一种心里安慰～
安全问题永远是道高一尺、魔高一丈～
【未伟的回答(0票)】:
看个人了 如果不是很重要的账号 就可以用。。
馆藏&68411
TA的推荐TA的最新馆藏
喜欢该文的人也喜欢}