推廣手機APP免密認證，是真傻還是假傻？

02-28

據說，有運營商要推廣免密認證。做個簡單的解釋，免密認證就是當你在手機上登陸微信、支付寶、淘寶、滴滴等等的時候，不用再使用賬戶名密碼了，甚至也不再需要手機簡訊驗證碼，只要是使用你自己的手機就可以直接實現。

按照比較正式的解釋，免密認證是指依託電信運營商的移動數據網路，採用「通信網關取號」及 SIM 卡識別等技術。用戶僅需要允許服務商應用獲取本機手機號碼，並通過運營商網路上傳，即可完成用戶身份校驗。

這種方式可行嗎？從技術上來講，沒有任何問題，電信運營商的擁有這樣的能力，否則，我們的通信基本上無法實現，運營商也沒有辦法向我們準確的收到錢。

但是，如果運營商將這樣的業務推廣開來，負面效應遠遠大於可能收穫的價值。從全局來看，這是典型的掙錢不要命，更可怕的是，命沒有了，錢還沒掙來。

一般來說，電信運營商要進行免密認證，用戶就必須處於運營商的網路環境下，否則不可能實現，這也就意味著用戶在進行認證的時候，需要關閉 WLAN 功能，使用蜂窩數據。如今的網路狀態是多樣化的，智能終端有不同的操作系統，也有不同的生產廠商，運營商保證用戶在特定的網路下進行驗證的環境很難實現。

更為重要的是，電信運營商並無法確保登陸安全，其實，世界上也沒有一家企業、一個國家可以確保安全。不管是誰，都不要向客戶提升無限安全的承諾，更不要將別人家的安全大包大攬。即便電信運營商擁有鑒權的傳統能力，但黑客也不會是吃素的，一旦免密認證大行其道，黑產必然蜂擁而至，到時候死掉的就不僅僅是一個業務，而是運營商本身。

我們已經看到，即便是現在，不管是大型的互聯網公司如BAT，還是小的APP創業者應用，已經呈現非常明顯的趨勢，越來越多的互聯網應用將自己的安全責任轉嫁給電信運營商，電信運營商在絲毫利益得不到的情況下卻要承擔巨大的安全壓力。一旦用戶登錄安全上出了事，所有的責任都會被推給運營商，運營商真要背這個鍋？

從這個角度出發，不管現在驗證碼是否已經成為簡訊的主要使用來源，都應該果斷的至少是逐漸的退出這個領域。手機返回驗證碼登陸的方式只應該成為用戶忘記密碼情況下的一種救濟手段，而不應該成為登陸的普通方式，否則，後患無窮。事實上，風險已經變成現實。

用戶是都希望簡單的。現在很多人已經不再註冊賬戶，更不再記憶密碼，已經習慣了使用手機號碼和獲取簡訊驗證碼來登陸各種賬戶，甚至非常敏感的涉及隱私及大量金錢的賬戶。這種現象表明看起來是電信運營商的號碼更值錢更穩定，但背後的潛在風險正在加大。而且，我們可以預測，這種風險一旦爆發，危機將是空前的，也是電信運營商無法承受的。

涉及安全的事情，並非是越簡單越好。有些時候，必要的複雜才能有效的降低風險。把互聯網賬戶的安全建立在一個簡單的邏輯之上，只能給黑產提供一勞永逸事半功倍的機會，風險一定會成倍的增加。

互聯網公司的安全應該建立在自己的基礎之上，應該去自己建設安全的賬戶管理機制，應該去投入建設自己的安全保障能力，各家不同的安全機制和相對隔離的賬戶登錄製度，才能保證最大限度的互聯網世界的基本安全底線。

不管怎麼講，電信運營商都沒有必要為了這樣的蠅頭小利和所謂的用戶對便捷性的追求而盲目的發展業務，而是應該督促和驅使互聯網公司在安全建設上加大投入力度並自己承擔起該負擔的責任。

既然做了管道，就老老實實維護好管道，保證水不跑冒滴漏即可，至於管道里流動的水到底符合不符合飲用水標準，那肯定不是管道工能做好的事情。電信運營商冒死為互聯網公司做擋箭牌，這不成了真的傻子！