首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  程序员

微信淘宝设计扫码登录的安全性?

  •  
  •   abcdabcd987 · 2016-10-15 23:50:19 +08:00 · 4738 次点击
    这是一个创建于 1154 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微信淘宝设计扫码登录的理由是什么,牺牲人性化来加强安全性?

    我给几乎所有回答都点了反对。看到陈裕皓的回答简直热泪盈眶。

    感觉明明是送分题啊,怎么有这么多人答错,而且还有一堆人死命喷。

    第 1 条附言  ·  2016-10-16 18:10:00 +08:00
    我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

    刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
    我的博客: https://abcdabcd987.com/qrcode-login/
    或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
    21 回复  |  直到 2016-10-16 18:06:35 +08:00
        1
    loveminds   2016-10-16 00:00:28 +08:00
    扫码登录的安全性是建立在手机这一设备是安全的前提下的
        2
    Lonely   2016-10-16 00:25:59 +08:00 via iPhone
    因为 bat 不管怎么设计都是脑残的(手动斜眼)
        3
    sobigfish   2016-10-16 00:36:01 +08:00
    支付宝手机上改密码*第 2 个号,有段时间没登录*
    询问了过往收货地址和 Wi-Fi ssid ,这节奏是把手机当主要安全设备在使用(可想而知他们 app 那么多权限都干嘛去了),反正他们信任移动设备多过 pc 是没跑的了。

    陈裕皓的回答
    >“客户端有已经登陆的 cookie ”
    客户端还是用 cookie 来验证 auth 就真呵呵了。
        4
    helloccav   2016-10-16 00:37:50 +08:00
    同意一楼的说法。我身边的人经常会互相玩别人的手机,所以扫码登录严重降低了安全性
        5
    sobigfish   2016-10-16 00:48:04 +08:00
    扫码后,交换 cookie 来验证登录绝对是个错误做法,
    这种方式 Replay attack 也很好介入
        6
    imn1   2016-10-16 01:01:01 +08:00
    对于这个问题,由于我没有在手机安装阿里系 APP ,也没有绑定手机,所以一直有个疑问:
    这个安全逻辑是否实际上就是建立在“手机 sim 卡由账户持有人安全控制”这一个基准上?(补充:不仅限于阿里,也包括其他公司的应用,当然也包含国外的)

    以我所知
    1.APP 是并非必须安装在 sim 卡所在设备的
    2.APP 的“信任登录”建立在 sim 卡相关判断(例如手机号码)的绑定
    所以,当“手机 sim 卡由账户持有人安全控制”这一个基准不成立时,持有 sim 卡的人可以在任意设备安装一个全新的 APP ,他可以通过 sim 卡相关号码的操作验证,把这个新装 APP 设置为“信任”,然后就可以完成前述的安全判断了

    如果是这样,实际上“手机 sim 卡由账户持有人安全控制”这条准则才是最终核心,跟这个所有相关的操作方式只是形式不同,安全性是基本相同的
        7
    ysdj   2016-10-16 01:21:31 +08:00 via Android
    曾经在朋友圈发了个二维码,分分钟登到别人账号
        8
    onionnews   2016-10-16 01:34:06 +08:00 via Android
    真正目的是为了让你下载 APP 和提高打开率,唤醒全家桶
        9
    sobigfish   2016-10-16 01:36:47 +08:00
    @ysdj 用的 qrLJacking (也就是 replay attack ) 么?
        10
    shiny   2016-10-16 01:44:59 +08:00
    有一次在同事手机上登录支付宝并退出。
    隔几天后,同事在手机上的第三方 App 里购买时,用了我的支付宝成功支付。
    致电客服才知道,账户默认开启了小额免密。
        11
    techmoe   2016-10-16 07:51:41 +08:00 via Android
    客户端有 cookie 这思想很危险啊
        12
    peneazy   2016-10-16 07:54:15 +08:00 via Android
    淘宝既可以扫码登录,又可以输入密码登录,这完全是把风险扩大了,何来安全之说。
        13
    itisthecon   2016-10-16 08:36:01 +08:00
    扫码安全说纯属扯谈, 就是阿里为了强推 app 的一个流氓行为, 只可惜再怎么耍流氓我都早把淘宝 app 卸载了
        14
    mc468ma   2016-10-16 09:54:05 +08:00 via Android
    我认为是培养用户扫码习惯,有助于二维码的广泛推广。然而这是很脑残的设计。
        15
    hanru   2016-10-16 10:09:46 +08:00 via Android
    没有扫码登录的时候是如果密码泄露,帐号被盗;有了扫码登录后是如果密码泄露,或者如果用户不慎(无论出于何种原因)扫了不该扫的二维码,帐号被盗。扫码登录更安全?
        16
    ysdj   2016-10-16 10:18:11 +08:00 via Android
    @sobigfish 有人误扫了而已
        17
    lslqtz   2016-10-16 10:22:06 +08:00
    @sobigfish 难道怎么验证。。
    web 端给二维码 一个页面。
    手机端用 cookie 打开页面认证完毕后点击是否允许,允许后电脑端登录。
    就那么简单
        18
    sobigfish   2016-10-16 10:49:00 +08:00
    @lslqtz sqrl.pl/guide/ 这个比较全面点,( app 本身 auth 授权用 token 安全过 cookie)
        19
    wy315700   2016-10-16 11:32:34 +08:00
    越来越多的产品会采用手机端验证的方案的, Mac 上的 Apple Pay 也采用了手机验证的方案。
        20
    ahhui   2016-10-16 13:06:22 +08:00
    QRLJacking :如何劫持快速登陆时使用的二维码
    http://www.freebuf.com/articles/web/110510.html
        21
    abcdabcd987   2016-10-16 18:06:35 +08:00
    我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

    刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
    我的博客: https://abcdabcd987.com/qrcode-login/
    或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1074 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 25ms · UTC 23:28 · PVG 07:28 · LAX 15:28 · JFK 18:28
    ♥ Do have faith in what you're doing.