移动互联网用户认证简史
什么是用户认证?为什么需要用户认证?
所谓用户认证,也称为身份验证,比如我们乘坐飞机需要持有身份证或者其他有效证件,在移动互联网世界也类似,应用系统要验证用户的身份,以确认“当前所声称为某种身份的用户,确实是所声称的用户”。
为什么需要验证用户的身份呢?
这是因为用户的身份往往与其能使用的应用内资源和具有的权限有关,而且要防止冒名顶替的非法用户给当事人及第三方造成损失。
用户认证有三个基本要素:你知道的,你持有的,以及你固有的。
比如:口令密码属于第一类(你知道的),持有令牌通行证属于第二类(你持有的),指纹虹膜等生物特征算第三类(你固有的)。业内一般把只具备其中一种要素的认证方式称为弱认证,具备两种甚至三种要素的认证方式的属于强认证。
从有计算机开始,到互联网到移动互联网,用户认证始终是至关重要的事情,尤其是到了移动互联网时代,我们的工作、生活、理财、购物、娱乐等各种行为都跑到了网上,确认“你就是你”就越来越重要。
本文将回顾自计算机和互联网诞生之后用户认证的发展历史,重点包括认证为什么越来越方便,什么认证更加安全等等,让我们先从用户认证的蛮荒时代开始。
独立认证时期:蛮荒时代的各自为战
当互联网刚刚出现的时候,对用户的身份认证主要采用共享密钥的形式,这个时期,每个网站都需要用户注册账号并设置和牢记自己的密码,网站的服务器存储你的密码,用户在登录的时候输入记住的密码,以此确认用户身份。
我称之为独立认证时期。
独立认证时期的特点之一是每个互联网应用都是独立认证,同一用户在不同的应用间切换时需要单独为每个应用设置账号密码。
比如早期我作为搜狐的用户我有一套账号密码,但是在新浪我就需要另一套账号密码。
这就像孤岛:每个互联网应用都有自己的认证体系和用户体系,尽管用户是同一个用户,但是不同的互联网应用之间就是无法互联互通。
对于用户来说,最大的问题就是账号太多,各个应用密码规则要求也不一样,经常使用的应用还问题不大,但是不经常用的应用就会经常遇到忘记密码,甚至用户名都忘了的尴尬。
我想每个从哪个年代过来的资深互联网老用户都曾经有过的经历。
其实在孤岛式的认证时期,互联网应用服务商也很痛苦,他们也不想让用户记住这么多用户名和密码。
用户为了减少记忆成本,往往设置简单密码或者多个应用共用一套账号密码,密码泄露造成的安全事件时有发生。
比如2015年著名的网易邮箱泄密事件,安全网站乌云发现存在漏洞“将导致网易163/126邮箱过亿数据泄漏,涉及163数据过亿交易证明数据/邮箱账号/密码/用户密保等。”也就是说网易电子邮箱数据很可能被拖库。
2017年3月,公安部曾披露京东网络安全部一位临时员工,长期监守自盗,与黑客相互勾结,为黑客攻入网站提供重要信息,包括在京东、QQ上的物流信息、交易信息、用户身份信息等等。
此前还发生过CSDN的账号密码泄露事件,这一时期不法分子对用户弱口令和互联网服务商安全漏洞频繁发起攻击,导致用户的信息安全倍受威胁。
第三方认证时期:互联网社交账号认证崛起
历史的发展有其规律。
由于口令密码认证方式复杂且不好记忆,能够支持不同系统间移动认证的技术方案应运而生,一个名为OpenID的身份识别系统在2005年6月面世,随后谷歌、脸书等互联网公司都开始陆续支持这种技术,用户认证进入了第三方认证时期。用户只需要在OpenID身份提供者的网站上注册,就可以在不同应用之间登录。
随后,社交应用如微信、微博、推特、脸书的蓬勃发展,使得他们拥有了海量的用户,从而具备了成为OpenID身份提供者的基础,在这个阶段我们看到几乎所有的移动互联网应用都支持基于社交账号的登录和注册。
这个时期的特点是实现了一键免密登录,移动互联网应用可以提供社交登录和注册入口让用户快速接入自己的系统。
但该时期的另一特点是,手机号码成为验证用户身份的关键工具,或者说是必要工具:在涉及到用户信息核实的环节,系统都需要通过短信或者语音的方式确认用户的真实身份以及操作的合法性。
比如当我们在招商银行进行转账支付时,招商银行就会给我们发验证码短信或者语音电话,以确认操作者的身份。
用户的痛点也非常明显,一是短信本身就容易泄露,二是操作被中断,需要不停地在短信和应用之间切换,体验并不好。
移动认证时期:运营商认证服务王者归来
那么,既然手机号码在用户身份认证中的作用越来越重要,那么有没有一种方案,基于用户的手机号码实现移动互联网应用的一键免密登录呢?
这是一种很自然的想法,也是认证时代推陈出新的重要表现。
这时候电信运营商开始介入到移动互联网的认证过程中,以中移互联网有限公司为代表的运营商系身份认证提供者,提供基于手机号码的移动认证服务,拥有8亿用户的中国移动的加入成为促进产业发展的重要力量。
那么叫移动认证呢?通俗来讲,移动认证就是中国移动等运营商面向移动互联网应用提供的手机用户身份认证服务,它基于运营商特有的数据网络、短信网关能力实现手机号码免注册免密码一键登录,并为应用提供多种丰富、全面、易用的移动认证服务。
移动认证的优势在于实现了基于运营商能力和应用内用户身份验证的深度融合。在手机号码实名制工作已基本完成的大环境下,通过深度整合运营商的优势能力,为应用提供本机号码校验、二次号认证、实名认证等服务,具有身份真实、操作便捷、步骤少、成本低、场景全覆盖和互联互通六大特点。
让我们来举一个例子,看看移动认证到底是怎么回事:
我们以国内主流的邮箱服务139邮箱为例。
最早的时候,我曾经使用139邮箱的iOS版,无论是注册还是登录,操作环节都比较多,需要输入用户名、密码、短信验证码,有时候急着看一封邮件,却又因为等不到短信验证码着急上火。
而且我自己还养成了不记忆密码的习惯,因为反正可以通过“忘记密码“来找回,结果发现找回密码的流程更是复杂,要确认各种信息。
现在139邮箱已经做了基于移动认证的服务升级,当我打开139邮箱APP时,除了传统的可以输入用户名密码之外,还有“本机号码快速登录”,我直接点击这个按钮就登录了邮箱。
在这个过程中,我只简单点击了1次,耗时不足3s,就完成了登录注册,而且我没有输入账号+密码+验证码
这种便捷性就是移动认证带来的。
有统计数据表明,过半App的用户等待5秒就会放弃访问,注册登录几乎是用户流失的重灾区,但是移动认证由于极大地减少了用户操作的步骤和时间,显著提高了用户转化,消除了用户操作上的畏难情绪,比如:本机号码自动获取无需用户输入、用户也无需等待短信验证码下发,更不需要在不同应用和短信之间来回切换,浪费时间。
从安全性的角度,基于移动认证安全性更高,首先手机号码的获取需要用户授权,也就是只有你同意了才会支持移动认证。同时中国移动还提供四大保护方案,保护用户的认证安全;而且对于企业客户来说,移动认证是通过综合判断登录用户的手机号码、使用人、账号体系的对应状态来进行身份验证的,能有效判断身份真实性。
总而言之,移动认证既有良好的用户体验,又有足够的安全性,因此移动认证将逐步融合到移动互联网应用中,成为主流的用户认证方式,为移动互联网安全技术体系中基础设施的一部分。
-
本文作者:
本文来源:牛透社
-
分享到:
声明:本文由入驻牛透社的作者撰写,观点仅代表作者本人,绝不代表牛透社赞同其观点或证实其描述。