人类在身份验证这件事儿上,永远停不下脚步。中国电信推出的免密认证业务,就极大的提升了身份验证的体验。早上起来,你首先找的不是灯开关,而是手机;吃完饭结账,你首先拿出的不是钱包,而是手机;忙里偷闲,你首先想到的不是电脑上网,而是手游。
进入移动互联网时代,手机有时候甚至比身份证更重要——一个手机号码绑定的各项服务可能价值不菲。
而短信应用,已经成为了各种服务验证码的聚集地。如今,各大APP要想验明你的身份,大多采用了验证码方式,这种方式可以极大地保障我们的账户安全。不过,这种身份校验的方式在使用体验上谈不上优秀。验证码的收取、输入都需要用户花费一定的时间和精力,甚至有些互联网服务提供商的应用在发送手机验证码之前,还有恼人的图形验证码。
难道除了“手机验证码”之外,就没有其他的方式证明用户的身份了吗?
免密认证:让手机号自报家门
其实最有能力改进身份校验体验的一定是各大电信运营商,因为他们掌握着全部手机号用户的实名身份信息。互联网服务提供商只需要把他们请求校验的需求反馈给运营商,运营商将判断结果反馈回服务提供商,即可完成校验。
中国电信已经开始推行这项业务了——依托电信运营商的移动数据网络,采用“通信网关取号”及SIM卡识别等技术。用户仅需要允许服务商应用获取本机手机号码,并通过运营商网络上传,即可完成用户身份校验。
这个过程中不仅省去用户获取验证码,输入验证码的过程,甚至能让用户直接抛弃密码。传统密码校验身份面临的问题在于,密码设置简单不好记,设置复杂记不住,尤其是对于老人而言。同时任何一种密码还有被人撞库窃取的危险——有些用户在多个平台上的密码可能是一致的,风险更大。
对于服务提供商而言,他们节省的不仅仅是发送短信费用,提升了用户体验,保障用户账户安全,由于登陆过程的简化,还能提升访客注册/登录转化率。比如,用户在使用微信登陆第三方应用时候,很有可能他还需要在第三方应用中输入手机号,获取验证码。而一旦微信和第三方应用都使用了免密认证服务,那么用户仅需点击“允许服务获取手机号码”,即可跳过输入手机号的过程,真正的实现一键登录,同时打破各个应用之间需要注册登录的壁垒。
除了免去验证码,免密认证还有什么作用?
相信现在很多用户在更换手机号码的时候,都会思量再三。
告知他人自己更换手机号码并不是一件难事,真正的困难在于旧手机号码背后绑定的一系列服务——这些都需要解绑,更换,再次绑定,尤其是对于那些注册了上百种服务的重度互联网用户而言。对于运营商而言,这也给他们“二次放号(将注销过的手机号码再次投入市场使用)”增加了不少麻烦。
电信自己开发的免密认证
当免密认证真正地普及开来之后,这一切麻烦都能迎刃而解。试想一下这样一个场景:你将自己过去的手机号注销了,在那之前却没解绑这个手机号对应的应用账号。在这种情况下,你需要通过填写和上传各种材料和申诉完成账号的找回和解绑。
有了免密认证之后,应用在经用户授权获取手机号码之后,经过移动数据上传手机号码给运营商。这时候运营商可以做出以下三个方面的反馈:
“当前设备中手机号码与绑定应用账号的号码是否一致?”
“当前设备中手机号入网时间是否晚于应用绑定手机号的时间?”
“当前应用账号绑定的手机号是否有过注销的记录?”
电信运营商将结果反馈回应用,应用服务商即可判断用户是否已经注销当前绑定号码。这样一来,你就无需再次通过繁杂的步骤,即可将应用与已注销的手机号解绑,填写绑定的新号码。整个过程花费时间可能都不需要一分钟。
同时免密认证还能为服务提供商做风险控制之用。对于服务提供商而言,用户的每一次异地登录都意味着有潜在的风险,尤其是像银行这类的金融服务。
有一天,你从北京出差到广州,急需从ATM机上取钱。对于银行而言,这是一次异地取款行为,风控部门会将这次行为归为“高风险动作”。
如果他们和电信运营商合作,那么当用户将银行卡插入ATM机的那一刻,银行方面会向电信运营商询问:用户当前是否不在北京(常驻城市),而在广州(异地)?电信运营商会通过用户的漫游情况将这个判断反馈给银行,从而使银行能解除这次异地取款的“警报”。这一过程,无需用户任何操作,银行即可完成用户身份的校验,用户甚至都不会收到异地登录取款的提醒。
“碧玉微瑕”,免密认证仍需完善
免密认证能在校验用户身份方面有许多便利和安全的地方,甚至能消灭掉所有的密码,但它目前还有一些小问题亟待解决。首先是免密认证实现的方式。要进行免密认证,用户必须处于运营商的网络环境下,也就意味着用户在进行认证的时候,需要关闭WLAN功能,使用蜂窝数据。
电信方面的工作人员告诉钛媒体的记者,在iOS平台上,免密认证的国内可以“偷跑”运营商网络——用户只要打开手机数据开关,即便是手机连上了WLAN,免密认证的数据依然可以通过运营商网络传输。
不过,这种“鸡贼”的小技巧在Android平台上不一定通用。在他们的测试之中,80多台Android手机仅有70%左右能“偷跑”数据,实现免密认证。不过,这个过程中所产生的流量数据费用中国电信方面是可以免除掉的。
“这一切与手机的ROM有关,”阿里巴巴支付宝方面的研发人员告诉记者,“在Android手机上,通过获取‘打开WLAN和数据开关’的权限,帮助用户实现免密认证,这个方法是可行的。但是未来Android手机的权限管理一定会越来越严格,这种做法终究不是用长久之计。”
“未来当VoLTE普及之后,所有语音和短信都是通过IP协议进行数据交换,那么我们可以将‘免密认证’需要的数据通过VoLTE通道进行传输。这样即便是用户关闭移动数据网络,或者使用WLAN上网,我们都能通过VoTLE及SIM卡证书获取其对应的身份。”中国电信综合平台开发运营中心陈献青告诉记者。
对于双卡双待用户而言,实现免密认证也会造成一定的麻烦——因为免密认证需要通过运营商数据实现。如果用户是通过主卡进行“数据上网”,那么免密认证仅能识别主卡的身份。如果需要获取副卡的身份,就需要用户将“数据上网”为切换到副卡。而且,即便是VoLTE普及开来,一台手机也只有一张SIM卡支持VoLTE,用户还是需要进行手动切换。
总而言之,免密认证的方式减少许多身份校验带来的麻烦,提升用户账户的安全性。小米账户方面的负责人表示,他们正在一些小项目上开始试点抛弃传统密码,让用户直接通过免密认证的方式进行登录。基于用户行为,小米对于每一个账户都进行了用户画像,这样即便是用户无法进行免密认证,他们也能通过二次身份验证找回自己的账号。
不过,无论是哪一种身份校验方式都无法防止“熟人作案”。试想一下,你的男/女朋友对你的一切习惯了若指掌(前提是你有对象),TA想要通过“二次身份验证”易如反掌。
就这一层面而言,果然还是要有一个传统密码。