免密认证:从此告别手机验证码

摘要: 人类在身份验证这件事儿上,永远停不下脚步。中国电信推出的免密认证业务,就极大的提升了身份验证的体验。

早上起来,你首先找的不是灯开关,而是手机;吃完饭结账,你首先拿出的不是钱包,而是手机;忙里偷闲,你首先想到的不是电脑上网,而是手游。

进入移动互联网时代,手机有时候甚至比身份证更重要——一个手机号码绑定的各项服务可能价值不菲。

而短信应用,已经成为了各种服务验证码的聚集地。如今,各大APP要想验明你的身份,大多采用了验证码方式,这种方式可以极大地保障我们的账户安全。不过,这种身份校验的方式在使用体验上谈不上优秀。验证码的收取、输入都需要用户花费一定的时间和精力,甚至有些互联网服务提供商的应用在发送手机验证码之前,还有恼人的图形验证码。

难道除了“手机验证码”之外,就没有其他的方式证明用户的身份了吗?

免密认证:让手机号自报家门

其实最有能力改进身份校验体验的一定是各大电信运营商,因为他们掌握着全部手机号用户的实名身份信息。互联网服务提供商只需要把他们请求校验的需求反馈给运营商,运营商将判断结果反馈回服务提供商,即可完成校验。

中国电信已经开始推行这项业务了——依托电信运营商的移动数据网络,采用“通信网关取号”及 SIM 卡识别等技术。用户仅需要允许服务商应用获取本机手机号码,并通过运营商网络上传,即可完成用户身份校验。

这个过程中不仅省去用户获取验证码,输入验证码的过程,甚至能让用户直接抛弃密码。传统密码校验身份面临的问题在于,密码设置简单不好记,设置复杂记不住,尤其是对于老人而言。同时任何一种密码还有被人撞库窃取的危险——有些用户在多个平台上的密码可能是一致的,风险更大。

对于服务提供商而言,他们节省的不仅仅是发送短信费用,提升了用户体验,保障用户账户安全,由于登陆过程的简化,还能提升访客注册/登录转化率。比如,用户在使用微信登陆第三方应用时候,很有可能他还需要在第三方应用中输入手机号,获取验证码。而一旦微信和第三方应用都使用了免密认证服务,那么用户仅需点击“允许服务获取手机号码”,即可跳过输入手机号的过程,真正的实现一键登录,同时打破各个应用之间需要注册登录的壁垒。

除了免去验证码,免密认证还有什么作用?

相信现在很多用户在更换手机号码的时候,都会思量再三。

告知他人自己更换手机号码并不是一件难事,真正的困难在于旧手机号码背后绑定的一系列服务——这些都需要解绑,更换,再次绑定,尤其是对于那些注册了上百种服务的重度互联网用户而言。对于运营商而言,这也给他们“二次放号(将注销过的手机号码再次投入市场使用)”增加了不少麻烦。

电信自己开发的免密认证

当免密认证真正地普及开来之后,这一切麻烦都能迎刃而解。试想一下这样一个场景:你将自己过去的手机号注销了,在那之前却没解绑这个手机号对应的应用账号。在这种情况下,你需要通过填写和上传各种材料和申诉完成账号的找回和解绑。

有了免密认证之后,应用在经用户授权获取手机号码之后,经过移动数据上传手机号码给运营商。这时候运营商可以做出以下三个方面的反馈:

“当前设备中手机号码与绑定应用账号的号码是否一致?”

“当前设备中手机号入网时间是否晚于应用绑定手机号的时间?”

“当前应用账号绑定的手机号是否有过注销的记录?”

电信运营商将结果反馈回应用,应用服务商即可判断用户是否已经注销当前绑定号码。这样一来,你就无需再次通过繁杂的步骤,即可将应用与已注销的手机号解绑,填写绑定的新号码。整个过程花费时间可能都不需要一分钟。

同时免密认证还能为服务提供商做风险控制之用。对于服务提供商而言,用户的每一次异地登录都意味着有潜在的风险,尤其是像银行这类的金融服务。

有一天,你从北京出差到广州,急需从 ATM 机上取钱。对于银行而言,这是一次异地取款行为,风控部门会将这次行为归为“高风险动作”。

如果他们和电信运营商合作,那么当用户将银行卡插入 ATM 机的那一刻,银行方面会向电信运营商询问:用户当前是否不在北京(常驻城市),而在广州(异地)?电信运营商会通过用户的漫游情况将这个判断反馈给银行,从而使银行能解除这次异地取款的“警报”。这一过程,无需用户任何操作,银行即可完成用户身份的校验,用户甚至都不会收到异地登录取款的提醒。

“碧玉微瑕”,免密认证仍需完善

免密认证能在校验用户身份方面有许多便利和安全的地方,甚至能消灭掉所有的密码,但它目前还有一些小问题亟待解决。首先是免密认证实现的方式。要进行免密认证,用户必须处于运营商的网络环境下,也就意味着用户在进行认证的时候,需要关闭 WLAN 功能,使用蜂窝数据。

电信方面的工作人员告诉钛媒体的记者,在 iOS 平台上,免密认证的国内可以“偷跑”运营商网络——用户只要打开手机数据开关,即便是手机连上了 WLAN,免密认证的数据依然可以通过运营商网络传输。

不过,这种“鸡贼”的小技巧在 Android 平台上不一定通用。在他们的测试之中,80 多台 Android 手机仅有 70% 左右能“偷跑”数据,实现免密认证。不过,这个过程中所产生的流量数据费用中国电信方面是可以免除掉的。

“这一切与手机的 ROM 有关,”阿里巴巴支付宝方面的研发人员告诉记者,“在 Android 手机上,通过获取‘打开 WLAN 和数据开关’的权限,帮助用户实现免密认证,这个方法是可行的。但是未来 Android 手机的权限管理一定会越来越严格,这种做法终究不是用长久之计。”

“未来当 VoLTE 普及之后,所有语音和短信都是通过 IP 协议进行数据交换,那么我们可以将‘免密认证’需要的数据通过 VoLTE 通道进行传输。这样即便是用户关闭移动数据网络,或者使用 WLAN 上网,我们都能通过VoTLE及 SIM 卡证书获取其对应的身份。”中国电信综合平台开发运营中心陈献青告诉记者。

对于双卡双待用户而言,实现免密认证也会造成一定的麻烦——因为免密认证需要通过运营商数据实现。如果用户是通过主卡进行“数据上网”,那么免密认证仅能识别主卡的身份。如果需要获取副卡的身份,就需要用户将“数据上网”为切换到副卡。而且,即便是 VoLTE 普及开来,一台手机也只有一张 SIM 卡支持 VoLTE,用户还是需要进行手动切换。

总而言之,免密认证的方式减少许多身份校验带来的麻烦,提升用户账户的安全性。小米账户方面的负责人表示,他们正在一些小项目上开始试点抛弃传统密码,让用户直接通过免密认证的方式进行登录。基于用户行为,小米对于每一个账户都进行了用户画像,这样即便是用户无法进行免密认证,他们也能通过二次身份验证找回自己的账号。

不过,无论是哪一种身份校验方式都无法防止“熟人作案”。试想一下,你的男/女朋友对你的一切习惯了若指掌(前提是你有对象),TA想要通过“二次身份验证”易如反掌。

就这一层面而言,果然还是要有一个传统密码。(本文首发钛媒体,记者/唐植潇)

更多精彩内容,关注钛媒体微信号(ID:taimeiti),或者下载钛媒体App

本文系钛媒体原创,未经授权不得使用,如需获取转载授权,请点击这里
分享到:

第一时间获取TMT行业新鲜资讯和深度商业分析,请在微信公众账号中搜索「钛媒体」或者「taimeiti」,或用手机扫描左方二维码,即可获得钛媒体每日精华内容推送和最优搜索体验,并参与编辑活动。

糖直销_Orz
糖直销_Orz

爱好 ACG 关注 VR,爆料约稿请联系 zhixiaotang@tmtpost.com。

评论(11

  • 潇澎 潇澎 2017-05-02 10:57 via android

    人脸识别?

    0
    0
    回复
  • 隔壁刘老师 隔壁刘老师 2017-04-27 12:46 via weibo

    涨姿势

    0
    0
    回复
  • sean鱼 sean鱼 2017-04-26 17:23 via weibo

    理论可行,但三家很难出同一平台;好处虽多,普及之路未必能走下去。

    0
    0
    回复
  • xzavier xzavier 2017-04-26 16:00 via iphone

    首先是安全 其次才是创新

    0
    0
    回复
  • 分钟与千年 分钟与千年 2017-04-26 11:48 via weibo

    手机丢了呢

    0
    0
    回复
  • Harvey科技 Harvey科技 2017-04-26 09:47 via weibo

    好奇中国电信外包给哪家科技公司做的

    0
    0
    回复
  • 丁磊的微尘世界 丁磊的微尘世界 2017-04-26 08:55 via weibo

    我凭什么让各种网站获取我的手机号码,大部分需要手机号注册的网站我都用户小号注册,甚至放弃注册。

    1
    0
    回复
  • 王宇矗 王宇矗 2017-04-26 08:43 via weibo

    回复@王宇矗:可能用图解的方式比较容易。文章专业词汇多,又长篇大论。看不懂就没心情看了。

    0
    0
    回复
  • 王宇矗 王宇矗 2017-04-26 08:42 via weibo

    没看懂[拜拜]

    0
    0
    回复
  • 立厂三口 立厂三口 2017-04-26 08:40 via iphone

    手机号码是非常隐私的信息,除非用户允许告知,谁也不能自动获取。否则人哪里还有信息时代的隐私

    0
    0
    回复

Oh! no

您是否确认要删除该条评论吗?

分享到微信朋友圈