2018.11.06 11:00

簡訊驗證碼並不完美,那有沒有更好的方案?看看阿里在中國推出的「升級版」號碼認證機制

ADVERTISEMENT

在 iPhone X 那場劃時代的發布會上,蘋果拿出了能夠取代指紋辨識技術(Touch ID)的 3D 結構光技術(Face ID),並且,在發佈會上,蘋果還很明確地表示,Face ID 比之前的指紋辨識更為安全準確。言下之意,指紋識別並不是那麼安全。

從數字密碼到複雜密碼,從指紋辨識到人臉辨識再到 Face ID,人們在電腦及行動裝置上的登錄方式一直在發生變遷,這其中,有技術進步的驅動,也有安全與方便的博弈。比如說,長位數包含大小寫字母的複雜密碼比短位數的密碼更安全,然而卻更不方便,人的惰性趨勢人類傾向於更方便的密碼而非更安全的密碼。這也解釋了,為什麼烏克蘭武裝部隊的軍隊自動化控制系統的伺服器密碼是 「123456」,使用者名稱更是預設的 「admin」。

指紋辨識很方便,不過卻並不十分安全,還有很多手機廠商的人臉辨識,甚至可以被一張紙片騙過。目前 Face ID 兼具了方便和安全,不過成本和技術門檻又都比較高。

ADVERTISEMENT

而在我們的生活日常,一種獨特的驗證方式在近幾年成為主流,那就是簡訊驗證碼。各位讀者不妨看看自己的手機的簡訊記錄,恐怕九成以上都是服務訊息以及驗證碼訊息。

簡訊驗證碼不夠完美,需要升級了

就像古代鏢局運鏢一樣,路程越長,被劫鏢的概率就越大,傳統的簡訊驗證碼從服務商到使用者手中,經過了「服務商 —— 簡訊服務商 —— 電信商——使用者」好幾條鏈路。

ADVERTISEMENT

尤其是在訊號從基地台天線發射,由手機等終端接收然後解調的最終這兩個過程中,更是危機四伏,也就是鏢局運鏢路上的劫鏢事故多發地段,這裡潛伏著名為許多名為「簡訊嗅探」的歹人。不法分子通過改裝的手機和偽基地台,就可能獲取周圍的手機卡訊息,並監聽簡訊記錄。

本質上,簡訊驗證碼,是一個證明「我是我自己」的事情,作為使用者綁定和使用者確認的情況其實更多。

ADVERTISEMENT

不可否認的事實就是,在密碼安全事故發生之前,大多數人的潛意識裡,方便比安全的地位更高。而且因為手機的隨身性,簡訊驗證碼還是比較方便的。所以,要想對簡訊驗證碼進行升級,光比簡訊驗證碼更安全其實沒啥用,重要的是,比它安全的同時,還要更方便。方便的同時,能夠順應使用者的操作習慣就更好了。

這些問題,通信業界自然也知曉,也在想辦法去解決。再過不久就是雙11,又是使用者購物消費的高峰期,在中國,阿里推出了號碼認證服務(Phone Number Verification Service)一方面能夠驗證使用者手機和身份,一方面又不需要透過簡訊這種可能被半路劫走的方式驗證。

作為簡訊驗證碼的升級方案,阿里的這個號碼認證服務可以使用者輸入手機號碼後,一鍵即可完成認證,不需要看著倒數 60 秒等著簡訊過來。技術上的原理其實不太複雜,號碼認證服務先是整合中國三大電信商特有的網關認證能力,然後驗證待校驗手機號碼和應用所在的手機 SIM 卡號碼的一致性,並且在安全上提供僅限本機操作的防控。

ADVERTISEMENT

關於號碼認證服務和簡訊驗證碼的操作邏輯對比,看下面這張圖就一目瞭然。

當然現在的智慧手機已經很聰明了,很多手機都可以自動辨識複製,甚至是自動填入驗證碼。但是號碼認證服務的一個隱性優勢在於,消除了使用者心中的「不確定狀態」,很多人在輸入難以辨認的圖片驗證碼,按下「獲取簡訊驗證碼」按鈕之後,就進入了一個度秒如年的「扭曲時空」,如果 1 分鐘內沒有收到簡訊驗證碼,就會坐立難安胡思亂想。

再舉個例子,我曾經是某款粉絲向手遊的玩家,花了不少的時間和金錢,前不久這款遊戲回饋核心玩家開始送週年禮物,雖然不貴但是有點兒紀念意義。禮物需要在網站上用手機號登錄登記然後領取,數量有限先到先得。於是我就定好鬧鐘,準點登錄,結果簡訊驗證碼在我輸入手機號碼點擊獲取三分鐘後才收到,然而禮物在開搶一分鐘的時候就沒有了。

這個時候我也不知道是遊戲方和簡訊服務商沒有處理能力,還是附近基地台不給力,還是新 iPhone 的頻寬不行。

號碼認證服務之所以定義為一種升級的方案,更安全就不用說了,之前簡訊驗證碼是鏢局的人押著馬車帶著鏢從劫匪埋伏好的路上走過,現在是驗證訊息坐著飛機從天上走,地上的劫匪只能望望天擦眼淚。

新體驗怎麼樣?

在阿里雲通信的官網上,已經有試用的 Demo 可以體驗了。整個過程非常的快,尤其是相比於簡訊驗證碼來說,輸入電話號碼耗時 3 秒,認證不到 2 秒,整個過程也就不到 5 秒鐘,也就是說瑪莎拉蒂 Levante 還沒從零加速到百公里,認證就完成了,

要是在以往搞簡訊驗證碼,等個半分鐘已經是很正常的事情了,等不到的情況相信大家也遇到過。

需要說明的是,這個用作示範的應用程式是依照正規規格在工作的,剛開始我沒插 SIM 卡不能進行驗證,後來插卡了但沒有給應用開相應權限,也能檢測出來,並表示無法正常完成驗證。

其實這個功能不光是方便了使用者,節省了時間還保障了安全,對於 B 端的服務商來說,更是福音。對於需要拉新使用者註冊,或者做老使用者啟動以及留存的企業來說,以往的簡訊驗證碼,或者其他的註冊以及登錄方式,都需要層層輸入點擊跳轉確認。就像霍金說,在科普書籍裡面,多寫一個公式就會多嚇跑一半讀者,註冊登錄環節每多一個步驟,就意味著多流失一部分使用者。

當然,技術升級和進步往往不是一蹴而就,簡訊驗證碼在許多場景,還是沒法被完全取代,比如說 4G 網路關閉的情況下,或者手機收驗證碼在電腦上進行登錄等等。不過可以看到的是,越往後發展,號碼驗證服務和簡訊驗證碼的主次關係就越可能顛倒過來。

可以預見的是,未來升級到號碼驗證服務的互聯網應用會越來越多,尤其是對安全要求比較的那些應用和服務。比如支付寶已經開始使用號碼認證進行使用者註冊了。

某種程度上來說,號碼驗證服務相比於簡訊驗證碼服務的進步,就有些類似於蘋果 Face ID 相比於指紋辨識的更新,更安全是基本要求,更方便是升級體驗的核心動力,更無感則是使用者「喜新厭舊」的附加因素。

不光是阿里雲通信會提供這樣的號碼驗證服務,其他能夠提供簡訊驗證碼服務的技術服務商,肯定也會參與進來,把驗證服務的體驗和安全往前再推進一步。

  • 本文授權轉載自:ifanr

ADVERTISEMENT