电信“天翼账号”服务流程的安全性审计

2017-09-04 16:40:07
分类:未分类

​我们注册一个手机应用时,如果需要实名,通常会有两种方式。

一是采用手机号 短信验证码的方式,默认手机号都是实名的,也是本人使用的。输入手机号,然后平台给手机号发送一个验证码,用户收到短信后,在短时间内输入验证码(如100秒),验证无误,就算实名了。

二是利用第三方平台提供的账号共享功能登陆,如微博、微信等。这种手段相对便捷,不仅把号码实名认证交给了第三方,实际也把用户信息交给了第三方,甚至竞争对手。


与上述两种方式不同,中国电信开发的“天翼账号”采用了“手机号 移动网关“的方式提供实名登陆认证。用户无需输入密码,就可以完成实名认证、注册和登陆。

这种做法的优点是:

1、速度更快。无需等验证码,系统可直接调取相关数据进行匹配验证,用户注册时间可大幅缩短,由于无需输入密码,登陆时间也缩短了。

2、安全性更高。注册时无需通过短信发送验证码,登陆时无需反复输入密码(也无需记忆),无需通过第三方平台的账号信息登陆,系统可在封闭的环境下完成匹配验证。

3、更易合作。由于用户本就需要使用手机,在手机上登陆应用,因此通过“天翼账号”登陆或认证,手机应用并不需要新向更多其他应用平台提供用户信息,因此不会影响合作。

4、方便用户。用户可以方便地在多个应用之间跳转,应用切换时间缩短,提升用户的使用满意度感知。

5、与中国电信的电信服务能力、翼支付、云服务等打通,可为合作企业提供全方位的大数据服务。


“天翼账号”安全性如何,这里从以下几个角度加以分析:

1、注册/登陆过程安全性分析。

天翼账号,无需输入密码,无需验证码,就可完成登陆,并可进入不同应用,大大方便了用户。但这并没有降低安全性。与“手机号 验证码”方式相比,减少了信息外露环节,系统认证完全在一个封闭的环境中进行,大大增强了安全性。

2、使用过程安全性分析。

“天翼账号”实现了拥有手机(并没有更换SIM),就可以自由使用多个应用。目前各互联网应用采用模式是一次登陆后,手机保留用户名、登陆密码,一段时间可自动登陆。这两种模式,除了手机本地保存密码外,在安全性上相似。但没有了手机本地保存密码,避免了密码泄露风险,消除了他人盗用用户名、密码登陆的可能,从这个角度看,安全性有明显提升。

3、手机丢失风险分析。

手机丢失带来的安全风险增加,这使得手机开机密码(或需通过指纹、虹膜、图形等开机)成为必需。设置一个更安全的密码,且不被他人知道,显得更为重要。此外,与其他方式相比,手机丢失后,“天翼账号”使用的手机号注销,多个关联应用都不能登陆,这有利于减少账号被盗损失。


总体来看,“天翼账号”在提高便利性的同时,安全性不但没有降低,还有明显提高。需要注意的是,“天翼账号”也有一个小缺陷。“天翼账号”在提高安全性的同时,锁定了手机号和手机,这可能对用户的一些特殊需求造成一定的影响,如一个手机登陆两个微信,两个手机登陆同一个微博,实现起来就变得困难了。


上一篇: 算一算哪个运营商提速降费最有诚…下一篇: 华为进入全球“五朵云”比手机三…
  • 打印
  • 收藏
  • 分享到:
阅读数(1)  评论数(0)
名家简介
付亮简介:
通信产业专家。专注于电信、互联网领域竞争情报实践。
博文分类
最新评论