为什么国产网络服务如此执拗于“短信验证码”？

这是国产的合规要求,实名制;
手机号码是最好的实名制关联工具

cac.gov.cn：你好。

TLS 加密怎么防密码泄露，早些年各个网站被脱裤脱的密码到处都是，国内又普遍不用密码管理器，一个密码满天飞，短信就是验证成本最低最安全的方式了

Know Your Customer

说一个事，上家公司为了获取更多的用户，营销部门去其他公司买了注册用户，包括手机号

只要保证 sim 卡的安全，就能保证账号的安全

@daliusu #3
TLS 把登录表单提交的信息加密了，这个环节的泄露当然可以防啊

你后半句意思是国内平台想定用户都是天然呆，在温柔贴心的为用户的安全兜底，是吗？

我都无语了，回帖必须验证手机号，
第一次点短信验证，提示短信接口错误，
第二次点，提示发送间隔过短，稍后再试，
多试了几次都是间隔多短，最后直接提示 一段时间内发送过多。。。

这么大网站，就干这事？

我明白多因素验证可以加固安全性。
但是账密登录怎么就不安全了呢？

而且多因素也可以 TOTP 、通行密钥，解决方案一大堆啊
国内黑客人均破解 TOTP ，但是同时短信验证码固若金汤吗？

就很费解，国际通行的、经过充分验证的可靠方案在简中区为什么就不灵了

@70599 TOTP 本身需要一定学习成本，手机验证码本身就是一种利用通讯工具实现的极简化 F2A 。

@70599 这是政府的要求，除非你访问的网页完全不考虑商业运营

这不是安全问题， 这是政府要求注册需要实名制的问题

因为国内法规规定了你不能把手机号出借给别人用，对于平台来说，手机号验证码就一定保证是你本人操作，所以登录之后的任何违规操作由你本人负责。密码没有法律规定，密码泄露了造成损失，平台可能要担风险；但是就算手机丢了验证码泄露造成的任何后果都是你负责的。

多方便啊，你知道国外网站沾点钱的都要做 KYC ，那玩意儿要提交多少个人资料不

多因素验证 ，要过等级保护基本必备。话说回来多因素验证，国际上也越来越多了吧。

实名制的原因。
有利有弊吧，好处是忘记密码的话可以轻松找回。

最近几次登录登录 google 账户都需要我打开手机上的 youtube 点击确认了，上一个这么干的还是微信

更多的原因是，这是中国绝大数民众为数不多能背下来的东西，其实我建议站里的程序员，都去一线当两天客服，当你面对无数普通用户“我账号忘记了，你帮我查一下”，“请你教教我怎么登录”的咨询的时候，你恨不得把该死账号系统给枪毙了。

“短信验证码”确实是很低成本但又相对安全的验证方式，
但最大的问题不是“短信验证码”本身，而是手机号又不是终身绑定，而是可以二次放号的。
但目前似乎并没有很好的机制来解决平台绑定手机号和手机二次放号导致身份变动的矛盾。

国外不也一样? 最基础的安全验证还是验证码 , 不管是 apple, tg , whatapp ,脸书 微软 这些, 需要账户确认的时候都要短信验证码的


平时用其他手段 这两年流行两步验证或者 passkey,国内倒是不怎么跟进 应该是和用户使用习惯有关