移動互聯網用戶認證簡史

這是一篇有關移動互聯網用戶認證的簡史,你將瞭解用戶認證的由來、為什麼要認證,用戶認證經歷了哪幾個階段,為什麼基於手機號碼的認證正在成為趨勢。

什麼是用戶認證?為什麼需要用戶認證?

所謂用戶認證,也稱為身份驗證,比如我們乘坐飛機需要持有身份證或者其他有效證件,在移動互聯網世界也類似,應用系統要驗證用戶的身份,以確認“當前所聲稱為某種身份的用戶,確實是所聲稱的用戶”。

為什麼需要驗證用戶的身份呢?

這是因為用戶的身份往往與其能使用的應用內資源和具有的權限有關,而且要防止冒名頂替的非法用戶給當事人及第三方造成損失。

用戶認證有三個基本要素:你知道的,你持有的,以及你固有的。

比如:口令密碼屬於第一類(你知道的),持有令牌通行證屬於第二類(你持有的),指紋虹膜等生物特徵算第三類(你固有的)。業內一般把只具備其中一種要素的認證方式稱為弱認證,具備兩種甚至三種要素的認證方式的屬於強認證。

從有計算機開始,到互聯網到移動互聯網,用戶認證始終是至關重要的事情,尤其是到了移動互聯網時代,我們的工作、生活、理財、購物、娛樂等各種行為都跑到了網上,確認“你就是你”就越來越重要。

本文將回顧自計算機和互聯網誕生之後用戶認證的發展歷史,重點包括認證為什麼越來越方便,什麼認證更加安全等等,讓我們先從用戶認證的蠻荒時代開始。

獨立認證時期:蠻荒時代各自為戰

當互聯網剛剛出現的時候,對用戶的身份認證主要採用共享密鑰的形式,這個時期,每個網站都需要用戶註冊賬號並設置和牢記自己的密碼,網站的服務器存儲你的密碼,用戶在登錄的時候輸入記住的密碼,以此確認用戶身份。

我稱之為獨立認證時期。

獨立認證時期的特點之一是每個互聯網應用都是獨立認證,同一用戶在不同的應用間切換時需要單獨為每個應用設置賬號密碼。

比如早期我作為搜狐的用戶我有一套賬號密碼,但是在新浪我就需要另一套賬號密碼。

這就像孤島:每個互聯網應用都有自己的認證體系和用戶體系,儘管用戶是同一個用戶,但是不同的互聯網應用之間就是無法互聯互通。

對於用戶來說,最大的問題就是賬號太多,各個應用密碼規則要求也不一樣,經常使用的應用還問題不大,但是不經常用的應用就會經常遇到忘記密碼,甚至用戶名都忘了的尷尬。

我想每個從哪個年代過來的資深互聯網老用戶都曾經有過的經歷。

其實在孤島式的認證時期,互聯網應用服務商也很痛苦,他們也不想讓用戶記住這麼多用戶名和密碼。

用戶為了減少記憶成本,往往設置簡單密碼或者多個應用共用一套賬號密碼,密碼洩露造成的安全事件時有發生。

比如2015年著名的網易郵箱洩密事件,安全網站烏雲發現存在漏洞“將導致網易163/126郵箱過億數據洩漏,涉及163數據過億交易證明數據/郵箱賬號/密碼/用戶密保等。”也就是說網易電子郵箱數據很可能被拖庫。

2017年3月,公安部曾披露京東網絡安全部一位臨時員工,長期監守自盜,與黑客相互勾結,為黑客攻入網站提供重要信息,包括在京東、QQ上的物流信息、交易信息、用戶身份信息等等。

此前還發生過CSDN的賬號密碼洩露事件,這一時期不法分子對用戶弱口令和互聯網服務商安全漏洞頻繁發起攻擊,導致用戶的信息安全倍受威脅。

第三方認證時期:互聯網社交賬號認證崛起

歷史的發展有其規律。

由於口令密碼認證方式複雜且不好記憶,能夠支持不同系統間統一認證的技術方案應運而生,一個名為OpenID的身份識別系統在2005年6月面世,隨後谷歌、臉書等互聯網公司都開始陸續支持這種技術,用戶認證進入了第三方認證時期。用戶只需要在OpenID身份提供者的網站上註冊,就可以在不同應用之間登錄。

隨後,社交應用如微信、微博、推特、臉書的蓬勃發展,使得他們擁有了海量的用戶,從而具備了成為OpenID身份提供者的基礎,在這個階段我們看到幾乎所有的移動互聯網應用都支持基於社交賬號的登錄和註冊。

這個時期的特點是實現了統一認證,移動互聯網應用可以提供社交登錄和註冊入口讓用戶快速接入自己的系統。

但該時期的另一特點是,手機號碼成為驗證用戶身份的關鍵工具,或者說是必要工具:在涉及到用戶信息核實的環節,系統都需要通過短信或者語音的方式確認用戶的真實身份以及操作的合法性。

比如當我們在招商銀行進行轉賬支付時,招商銀行就會給我們發驗證碼短信或者語音電話,以確認操作者的身份。

用戶的痛點也非常明顯,一是短信本身就容易洩露,二是操作被中斷,需要不停地在短信和應用之間切換,體驗並不好。

手機號碼認證時期運營商認證服務王者歸來

那麼,既然手機號碼在用戶身份認證中的作用越來越重要,那麼有沒有一種方案,基於用戶的手機號碼實現移動互聯網應用的統一認證呢?

這是一種很自然的想法,也是認證時代推陳出新的重要表現。

這時候電信運營商開始介入到移動互聯網的認證過程中,以中移互聯網公司為代表的運營商系身份認證提供者,提供基於手機號碼的統一認證服務,擁有8億用戶的中國移動的加入成為促進產業發展的重要力量。

那麼叫手機號碼認證呢?通俗來講,手機號碼認證就是中國移動等運營商面向移動互聯網應用提供的手機用戶身份認證服務,它基於運營商特有的數據網絡、短信網關能力實現手機號碼免註冊免密碼一鍵登錄,併為應用提供多種豐富、全面、易用的手機號碼認證服務。

手機號碼認證的優勢在於實現了基於手機號碼的運營商能力和應用內用戶身份驗證的深度融合。在手機號碼實名制工作已基本完成的大環境下,通過深度整合運營商的優勢能力,為應用提供本機號碼校驗、二次號認證防刷單、應用互聯互通等服務,具有身份真實、操作便捷、步驟少、成本低、場景全覆蓋和互聯互通六大特點。

讓我們來舉一個例子,看看手機號碼認證到底是怎麼回事:

我們以國內主流的郵箱服務139郵箱為例。

最早的時候,我曾經使用139郵箱的iOS版,無論是註冊還是登錄,操作環節都比較多,需要輸入用戶名、密碼、短信驗證碼,有時候急著看一封郵件,卻又因為等不到短信驗證碼著急上火。

而且我自己還養成了不記憶密碼的習慣,因為反正可以通過“忘記密碼“來找回,結果發現找回密碼的流程更是複雜,要確認各種信息。

現在139郵箱已經做了基於手機號碼認證的服務升級,當我打開139郵箱APP時,除了傳統的可以輸入用戶名密碼之外,還有本機號碼快速登錄”,我直接點擊這個按鈕就登錄了郵箱。

在這個過程中,我只簡單點擊了1次,耗時不足3s,就完成了登錄註冊,而且我沒有輸入賬號+密碼+驗證碼

這種便捷性就是手機號碼認證帶來的。

有統計數據表明,過半App的用戶等待5秒就會放棄訪問,註冊登錄幾乎是用戶流失的重災區,但是手機號碼認證由於極大地減少了用戶操作的步驟和時間,顯著提高了用戶轉化,消除了用戶操作上的畏難情緒,比如:本機號碼自動獲取無需用戶輸入、用戶也無需等待短信驗證碼下發,更不需要在不同應用和短信之間來回切換,浪費時間。

從安全性的角度,基於手機號碼的認證安全性更高,首先手機號碼的獲取需要用戶授權,也就是隻有你同意了才會支持手機號碼認證。同時中國移動還提供四大保護方案,保護用戶的認證安全;而且對於企業客戶來說,手機號碼認證是通過綜合判斷登錄用戶的手機號碼、使用人、賬號體系的對應狀態來進行身份驗證的,能有效判斷身份真實性。

總而言之,手機號碼認證既有良好的用戶體驗,又有足夠的安全性,因此手機號碼認證將逐步融合到移動互聯網應用中,成為主流的用戶認證方式,為移動互聯網安全技術體系中基礎設施的一部分。

相關推薦

推薦中...