為何中國的網站普遍不願意相信用戶能把密碼管理好?
與美國、韓國、俄羅斯等國家相比,我國的網站經常只要在陌生電腦上登陸,就會要求輸入手機驗證碼。是中國的網路安全形勢極為嚴峻,導致了這樣的結果,還是中國用戶普遍安全意識相對較低?
美國對於隱私非常嚴格,手機不太可能會有。而且,一般都是用電子郵件註冊,因為美國人從之前就有習慣用電子郵件作為註冊賬號用途。
作為亞馬遜中國網站,本來應該跟美國統一體驗,結果不得不為了便於用戶體驗,開放了手機號註冊。為什麼?
我也不知道。
我從小就有習慣用電子郵件作為註冊賬號用途,小學都要想辦法註冊一個又一個(比如http://msn.com、http://gmail.com、http://163.com等),沒啥,只因為好玩。記得第一次用於註冊是叫冰封世紀(忘了,好像是這樣叫遊戲名),因為這遊戲必須要電子郵箱註冊,後來我貌似知道了為什麼它沒落的原因,明明它原本就很好玩。然後小學起,就有好多同學向我索要電子郵箱,我有時候不太明白,他們明明有QQ,為什麼就不懂加個@http://qq.com 不就完了?
還好當時要的不多,到了初中,基本半個班級都要,我再也不提供了。
也有個別的網站,可能為了基於防止被批量註冊,要求註冊郵箱必須含有英文字母。對於連QQ@qq.com 都不願意寫七個字元來說,隨便起個英文字母對於他們來說是極大的困難。
不是不相信用戶,用戶最喜歡懶,最不知道註冊時用戶名和密碼,對於他們來說意味著什麼。對於一些人,註冊用戶名對於他們來說,無異於背英文單詞一樣困難(雖然我英語很爛),最喜歡用名字+數字註冊,也有一些人,受到長輩教育,也從不去用名字註冊(當然用名字註冊多少有點low),而且非常容易撞名,想個好一點的用戶名?再想想吧……
見怪不怪,微信名為什麼總是推數字加少量的字母。比如123456a或a123456就是比較常見的用戶名。我猜密碼也好不到哪裡去,隨便搜個數字的社工庫一定有他們最原始的密碼。
有一次,我跟同學說如果有必要最好裝密碼管理器,免費也有。他不以為然說什麼密碼,嫌麻煩,還說自己的賬號木有價值,隨便偷。我說你在遊戲投入了大量的時間都不是了?他猶豫了一會強撐著說:沒事,我有錢。
我只好隨便搜了他的QQ社工庫,一個密碼一個複製過去發給他,然後他的臉色從驕傲的臉蛋變成了清一色的黃瓜,然後跟我說,我改好了密碼,你又破不了我密碼。
攤手。
我能說啥?
網站為什麼有手機號註冊不是一日建成的。而且從網站/公司來說,手機也是非常極為有效的推廣方式,畢竟用電子郵箱註冊的人大部分都不看郵箱,甚至我見過QQ上郵箱標誌都會99+,卻從不去閱讀。在這裡,我幾乎明白了為什麼他們覺得註冊電子郵件很困難的原因:從不去打開看一下?抑或以為彈出來的電子郵箱提示就是新聞廣告?
這也不難以理解為什麼亞馬遜註冊方式會有手機號註冊(手機號和郵箱號是不同的賬號體制,一旦註冊手機號,就永遠無法再換回電子郵箱或綁定),一方面我相信亞馬遜公司並非不想,而是可能花費大量時間去維護或幫助客戶找回賬號,發現還不如客戶手機號找回密碼,省事又有效,偶爾還能發發廣告,雖然亞馬遜從未發過簡訊廣告。
我明白提問者的疑惑,畢竟用手機號註冊,就有極大的可能會泄漏隱私,中國作為重災區,但也要明白,有怎樣的網站/服務,就有怎樣的用戶。加以手機軟體,無一例外都是優先用手機號註冊,非常方便,收到簡訊即可登錄,我到現在也不記得微信密碼是什麼,因為它不接受粘貼方式寫入密碼(我就感到好笑,iOS 需要擔心泄露密碼嗎?),1Password 生成密碼本來就是正常人記不住的密碼,一兩次之後索性直接用簡訊登錄了,煩。
回到我開頭:這就是為什麼美國注重隱私的原因。也就是為什麼,中國用戶喜歡用手機號註冊。
而且從一方面來說,多平台上造統一檢測安全軟體不現實,手機卻很好證明這是用戶本人的最有效方法。也不用想辦法開發軟體和木馬廝殺,反正泄露密碼是你,我只要保護自己網站用戶和唯一本人即可。相信用戶能管好密碼,不如相信太陽是從西邊出來的。
1,國內用戶中的大多數,的確沒有啥隱私概念,而且真心為了蠅頭小利就啥信息都敢填。因為他們中大多也不懂別人拿到這些信息能幹啥,無論是教育還是社會實踐教訓都很欠缺。
2,國內的隱私保護相關法律和國家權力部門的風控實踐也不如國外歷史悠久,而無論在哪裡,法律是幾乎永遠落後於社會實踐的。所以,各大服務商也是沒轍,安全問題必須靠自己先行摸索解決。畢竟國內的規模化IT社會成型也就是5-10年時間,新東西自己摸索吧…
3,我個人作為一個使用者,還是很熟悉安全防護的,但是…用的服務多了,真心臣妾無能啊!記不住啊!偶爾還要動用小本本。普通用戶連賬號分級、相互隔離、不要共享賬號密碼都不見得能遵循並記住,不好的行為習慣太多了。
4,黑產這幾年很猖獗,而且還有用戶為了蠅頭小利主動配合的…各大服務商也是沒轍,必須把這些攻擊、套利的情況識別出來,於是用各種手段來識別對面是不是一個「正常使用者」,或者是「惡意使用者」。更諷刺的是,也許對面不是一個純黑產,而是競爭對手呢?法律沒有規定不準套利和揩油啊!答案是,手機號碼這種東西,怎麼可能隨便給網站?只有國內這群只要能免費/打折,爹媽都能賣的用戶才會隨便填手機號。
所以國外的網站沒有你手機號碼,怎麼搞手機驗證?國內的用戶,只要你敢要,他就敢填。主要是中國的騙子,或者說有行騙動機的人比美國更多。再深入一點吧,應該說在中國網上行騙的成本(被繩之以法的概率)要比美國低很多。而商家又必須為用戶的安全負責,所以,講深了說,這是個社會問題,不是科學問題。
中國互聯網在易用度上領先世界幾十年。
樓上的很多回答很可笑,每個人都是普通人,美國人就比中國人更注重隱私?郵箱就比手機更能保護隱私?實驗室里的加拿大小夥子看到我們登陸QQ、優酷全部是手機號+下發驗證碼登錄,密碼隨時可以重置不知道有多羨慕。這明顯是優於賬號+安全郵箱+複雜密碼的。究其原因是電子郵箱在中國還沒能普及的時候就到了IM時代,電子郵箱在中國從來就沒有被大眾所認可,再之後隨著智能機的普及,網路實名制的要求,手機號碼+驗證碼登錄可以確保安全的同時,保證實名制和用戶的便利。PS:知乎上一些很奇怪的觀點是西方人很多都不知道PC能玩遊戲,只知道在三大主機上才能玩遊戲。與此同時知乎卻認為西方人在網路時代比中國更加註重隱私保護,真矛盾。我也不知道是不是我用的產品的問題反正我用起來都挺麻煩的(╯‵□′)╯︵┴─┴
網站強制手機註冊驗證的實質是曲線進行網路實名認證啊。。。沒人注意到幾個移動運營商都要求手機號碼實名了么?然後網站使用手機註冊和驗證,在必要的時候就可以通過手機實名數據追溯到實際使用者啊。
為了符合實名上網登記。這是有關部門可以接受和用戶可以接受的平衡點。否則就要強制身份證號碼等更麻煩的了
因為美國收簡訊要收費。。。
實際上美國各種會員卡什麼的也要填手機號,也會要簡訊驗證,但是要你同意。很多人用無限手機套餐,但是同樣很多人收一條簡訊要扣10美分。。。上面有個回答是對的,記得前幾年有個新聞說國家要求新用戶要後台實名,意思大概就是有個信息必須是可以找到你真人的。例如,國家目前強制手機實名制,網站最簡單的方式就是綁定你的手機號,有了手機號就等於對應一個真人了,從而實現實名制的目的。
因為用戶確實管不好
???g胖的steam不是每次都要我的郵箱驗證碼嗎?還天天提示讓我綁定手機。。。
這麼專業還講經驗的問題,奉勸一些人還是不要強答了。
利申:個人站長、開發兼運營
為什麼註冊要驗證手機號?
我自己的網站有手機號驗證,客戶的網站我也建議他們做手機號驗證。原因一個就夠:這是最低成本的識別有效用戶的方法。(相比之下,郵箱隨手可得,甚至有10分鐘郵箱,垃圾何其多。)為什麼異地登錄要驗證手機號?
準確說這不是驗證手機號,這是驗證密保。因為已經用手機號註冊了,乾脆就把手機號就當作密保方式之一了,所以驗證密保直接驗證手機號,方便快捷。異地登錄驗證密保是中國特色?
不是。小網站不說,就說一些大的國外網站,比如說谷歌,比如說臉書,這些網站不僅異地登錄要求驗證密保,在檢測到客戶端環境異常的時候也會要求驗證。國外網站注重用戶隱私不會隨便要用戶信息?
評論里這麼說的,基本都是不了解,甚至我懷疑他們沒用過多少國外網站的。國外網站除了那些簡單的博客類或者論壇類網站之外(不怕灌水或者可以通過等級防灌水的,國內這類網站往往也不用驗證身份,很多都可以不註冊,直接第三方帳號登錄),要驗證身份的,動不動就是信用卡驗證(曾經沒有信用卡的我深受限制)。相比之下,手機號方便不是一點點。——————————————————————————
中國互聯網在某些方面現在是獨步全球,易用性是其中一方面。在做到防垃圾的同時又有好的易用性,目前簡訊驗證可以說是最好的方法。
簡訊登錄相比較郵箱/用戶名登錄所提升的用戶體驗不是一點半點,是質的提升,省略了一堆驗證步驟。方便了網站驗證用戶身份,也方便了用戶使用。
缺點是,更換手機號的話,如果忘了更換綁定,可能會導致帳號泄露。
———————————————————————————
至於某些網站不重視用戶資料安全甚至賣用戶資料的,這個和網站要不要手機號無關,就算是信用卡資料,一樣有販子在賣。這已經是違法犯罪問題,目前監管實在太渣,這個鍋要相關部門來背。
———————————————————————————
最後,我想說,那些說中國騙子比國外多的人,你們是100%沒在國外網站混過,知道谷歌郵箱為什麼垃圾過濾做得這麼好嗎?因為國外詐騙郵件特別特別多,只要你的郵箱在英文網站出現過,每個月都會有郵件來說有數百萬遺產要和你分。
我倒是覺得這是找了個借口綁架用戶不得不把網站賬號和手機號綁定在一起,從而獲取更多的個人信息。
因為用戶普遍不相信網站能把自己的密碼保護好。
因為
我自己都不相信自己呵呵,說的網站好像就能把密碼保護好一樣
不是安全意識低,是我國網民沒有隱私可言。不是不信任網民,是手機登錄註冊更方便獲取用戶信息用戶也更方便記憶。
首先國內的網站本身不能把密碼保管好,其次釣手機號可以方便實名制然後查水表,第三要給用戶一種虛假的安全感來交出儘可能多的信息,最後國外網站有必要時還是會驗證的。
推薦閱讀:
※網易郵箱的 HTTPS 認證是形同虛設的嗎?為什麼每次用 Chrome 登錄都沒有顯示是安全鏈接?
※公司IT把所有的電腦端雲應用和即時通訊工具都禁用了,請問有什麼辦法實現文件的同步?
※如何避免個人郵件像希拉里一樣全泄露?
※網路安全工程師在面試安全崗位時,哪些內容是加分項?
※https傳輸長文本時是否會先壓縮再加密傳輸?