这是一个创建于 3137 天前的主题,其中的信息可能已经有所发展或是发生改变。
邮箱注册的一般流程是:
1 、提交邮箱和密码。
2 、然后服务器向邮箱发送激活链接。
3 、点击激活,注册成功。
但是在手机注册的时候,服务器是向手机发送一串数字作为验证码。
然后用户填入验证码即可以通过手机验证。
然后,我在想,邮箱验证用的是链接,可不可以像手机那样也用验证码?
这里面有什么安全问题吗?
求大神指点!
拜谢!
1 、提交邮箱和密码。
2 、然后服务器向邮箱发送激活链接。
3 、点击激活,注册成功。
但是在手机注册的时候,服务器是向手机发送一串数字作为验证码。
然后用户填入验证码即可以通过手机验证。
然后,我在想,邮箱验证用的是链接,可不可以像手机那样也用验证码?
这里面有什么安全问题吗?
求大神指点!
拜谢!
 |
1
abelyao 2015-10-13 19:10:16 +08:00
通过 Email 发送验证码?新浪微博有这么干。
非常不方便,本来都是在电脑上操作,我在 Email 中点一下超链接就可以完成的事,还需要复制验证码、再粘贴到文本框中。 |
 |
2
gaohongyuan 2015-10-13 19:14:26 +08:00 via Android
猜测其中一个原因可能是邮箱点链接比填验证码方便吧,而手机不一定都能上网。不过我顺便想到另一个问题,为什么两步验证一般都是要求手机号而不可以用邮箱呢?
|
 |
3
R18 2015-10-13 19:21:02 +08:00
@gaohongyuan 你的電腦丟了…電腦上正好有郵件服務…正好又沒有設置隱私密碼…
|
|
5
gaohongyuan 2015-10-13 19:30:50 +08:00
|
|
6
R18 2015-10-13 19:41:27 +08:00
@gaohongyuan 可不可以这样理解?因为邮箱也是通过密码登陆的,可能存在密码混用的情况,那么岂不是可以直接登陆邮箱?如果邮箱也启用了两步验证,是不是再用一个邮箱验证这个邮箱?显然这样的做法是不太明智的,既然登陆邮箱也要用手机验证,还不如直接用手机验证来登陆服务, so …… 另外手机的验证码一定程度上具有“不可预见”性。
|
|
7
gaohongyuan 2015-10-13 19:43:51 +08:00
@R18 是的,这种情况下确实是手机更好一些~
|
|
8
R18 2015-10-13 19:48:09 +08:00
@gaohongyuan 就算密码不是混用的…只要是密码,就有被盗取的可能…但是我又想到一个问题,你的手机如果安装了可以获取短信内容的不法 app 岂不是…但是又想想,能搞两步验证的人,应该对手机安全更加重视吧
|
|
9
gaohongyuan 2015-10-13 19:56:43 +08:00
@R18 是的。。。我之前考虑的也不是完全用邮件取代手机,而是有些服务用手机不方便的话可以用邮件替代(不过话说回来,搞两步验证的人一般也不太会把邮箱密码和其他混用吧 orz
|
 |
10
mfaner 2015-10-13 20:16:16 +08:00
把验证码放链接里?
|
 |
11
MrEggNoodle OP @abelyao 对于邮箱发验证码的方法,其实现在很多人的邮箱都和手机绑定,某种程度来说已经有点手机接收短信那样了。点开手机点开邮件,找到数字然后直接输入,电脑连邮箱都不用打开。
|
|
12
MrEggNoodle OP @gaohongyuan
@R18 看到你们俩的讨论,脑洞大开。 233333 ,你们把现实小概率的场景讨论得好详细。 我个人觉得选择手机认证,相比起邮箱,运营商和国家在推动实名制认证,如果手机认证了,某种程度上,你的帐号也就实名制认证了,我自己更加倾向这个理由。 |
|
13
MrEggNoodle OP @mfaner 不是,是把验证码发到要验证的邮箱里。
|
 |
14
Exin 2015-10-13 20:49:54 +08:00
只是怎么方便怎么来而已
手机验证也有比短信验证码更方便的: 微信网页版登陆时通过手机微信内扫描网页上的二维码验证。 |
|
15
MrEggNoodle OP @Exin 谢谢哈。
|
|
16
abelyao 2015-10-13 20:53:14 +08:00
@MrEggNoodle 每个人使用方式不一样,这没什么好讨论的,你说的这种情况也代表不了所有人。
|
|
17
MrEggNoodle OP @abelyao 对的~我也赞同你这个说法,所以自己觉得这个角度并不是解决这个问题的思考方向哈。
|
 |
18
MrGba2z 2015-10-14 05:24:52 +08:00
这是历史遗留问题吧
当初涉及发邮箱验证链接的时候 为了防止碰撞 /猜测 设计了比较长的 hash (反正生成一个随即长字串也不难不费力) 但是到手机的时候,大部分需要用户手动输入到浏览器 那么必须要简化,提升用户体验,所以 4-6 位的数字验证产生了 |
Select Language