注册时，两种验证方式有什么区别？

邮箱注册的一般流程是：
1 、提交邮箱和密码。
2 、然后服务器向邮箱发送激活链接。
3 、点击激活，注册成功。

但是在手机注册的时候，服务器是向手机发送一串数字作为验证码。
然后用户填入验证码即可以通过手机验证。

然后，我在想，邮箱验证用的是链接，可不可以像手机那样也用验证码？
这里面有什么安全问题吗？
求大神指点！
拜谢！

abelyao

2015-10-13 19:10:16 +08:00

通过 Email 发送验证码？新浪微博有这么干。
非常不方便，本来都是在电脑上操作，我在 Email 中点一下超链接就可以完成的事，还需要复制验证码、再粘贴到文本框中。

gaohongyuan

2015-10-13 19:14:26 +08:00

猜测其中一个原因可能是邮箱点链接比填验证码方便吧，而手机不一定都能上网。不过我顺便想到另一个问题，为什么两步验证一般都是要求手机号而不可以用邮箱呢？

R18

2015-10-13 19:21:02 +08:00

@gaohongyuan 你的電腦丟了…電腦上正好有郵件服務…正好又沒有設置隱私密碼…

wy315700

2015-10-13 19:24:04 +08:00

@R18 不仅仅是丢了，你去上个厕所，电脑恰好没锁

gaohongyuan

2015-10-13 19:30:50 +08:00

@R18 @wy315700 我觉得两步验证更多是为了防止别人盗取密码后，在其他机器上登录的场景吧。。。我个人会把自己的机器设为信任设备（可以免除两步验证，不知道大家习惯怎么做），这样如果自己的机器丢了，无论是发邮件还是发短信，两步验证都派不上用场啊。

R18

2015-10-13 19:41:27 +08:00

@gaohongyuan 可不可以这样理解？因为邮箱也是通过密码登陆的，可能存在密码混用的情况，那么岂不是可以直接登陆邮箱？如果邮箱也启用了两步验证，是不是再用一个邮箱验证这个邮箱？显然这样的做法是不太明智的，既然登陆邮箱也要用手机验证，还不如直接用手机验证来登陆服务， so …… 另外手机的验证码一定程度上具有“不可预见”性。

gaohongyuan

2015-10-13 19:43:51 +08:00

@R18 是的，这种情况下确实是手机更好一些~

R18

2015-10-13 19:48:09 +08:00

@gaohongyuan 就算密码不是混用的…只要是密码，就有被盗取的可能…但是我又想到一个问题，你的手机如果安装了可以获取短信内容的不法 app 岂不是…但是又想想，能搞两步验证的人，应该对手机安全更加重视吧

gaohongyuan

2015-10-13 19:56:43 +08:00

@R18 是的。。。我之前考虑的也不是完全用邮件取代手机，而是有些服务用手机不方便的话可以用邮件替代（不过话说回来，搞两步验证的人一般也不太会把邮箱密码和其他混用吧 orz

mfaner

2015-10-13 20:16:16 +08:00

把验证码放链接里？

MrEggNoodle

2015-10-13 20:38:03 +08:00

@abelyao 对于邮箱发验证码的方法，其实现在很多人的邮箱都和手机绑定，某种程度来说已经有点手机接收短信那样了。点开手机点开邮件，找到数字然后直接输入，电脑连邮箱都不用打开。

MrEggNoodle

2015-10-13 20:41:27 +08:00

@gaohongyuan
@R18
看到你们俩的讨论，脑洞大开。 233333 ，你们把现实小概率的场景讨论得好详细。
我个人觉得选择手机认证，相比起邮箱，运营商和国家在推动实名制认证，如果手机认证了，某种程度上，你的帐号也就实名制认证了，我自己更加倾向这个理由。

MrEggNoodle

2015-10-13 20:45:06 +08:00

@mfaner 不是，是把验证码发到要验证的邮箱里。

Exin

2015-10-13 20:49:54 +08:00

只是怎么方便怎么来而已

手机验证也有比短信验证码更方便的：
微信网页版登陆时通过手机微信内扫描网页上的二维码验证。

MrEggNoodle

2015-10-13 20:52:29 +08:00

@Exin 谢谢哈。

abelyao

2015-10-13 20:53:14 +08:00

@MrEggNoodle 每个人使用方式不一样，这没什么好讨论的，你说的这种情况也代表不了所有人。

MrEggNoodle

2015-10-13 21:34:06 +08:00

@abelyao 对的～我也赞同你这个说法，所以自己觉得这个角度并不是解决这个问题的思考方向哈。

MrGba2z

2015-10-14 05:24:52 +08:00

这是历史遗留问题吧

当初涉及发邮箱验证链接的时候
为了防止碰撞 /猜测
设计了比较长的 hash （反正生成一个随即长字串也不难不费力）

但是到手机的时候，大部分需要用户手动输入到浏览器
那么必须要简化，提升用户体验，所以 4-6 位的数字验证产生了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/227747

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.