相信大家都遇到过忘记密码的事情,问题的根源源于各种大大小小的网站,都需要注册,都需要账号密码登录,久而久之,我们的个人信息就绑定在很多的平台上
倘若有一天,某些小平台被攻破了怎么办?
首先先讲下互联网当前几种登录方式的本质:
- 账号密码登录
- 手机/邮件+验证码登录
- 第三方登录
- 设备生成并记录账号密码
第一种算是很古老的登录方式,通过账号和密码,这个问题缺陷在于你需要记住你的账号,和你的密码.特别容易造成泄露或者密码遗忘.
第二种算是新兴的方式,在国外通常以邮件+验证码的方式,国内特别是手游平台就很喜欢手机+验证码的方式,这个有个缺陷在于手机号码的变更,很多平台都是不支持的.
第三种方式是我个人比较推崇的,通过头部网站的账号(如QQ,Twitter,Google等),通过一个唯一的Key+平台来注入信息到你需要登录的网站,这样子你要登录的网站仅且只能拿到你的key,这个也有一个缺陷,就是当你头部网站的账号密码被盗取之后,其他网站的数据几乎就是垂手可得.
第四种算是第一种加上第三种的变种,设备帮你生成一个复杂的密码,并且记录在设备上,这个设备我们也可以看作是一个头部的网站.
再来说下我的见解.
第三方登录应该是最优解,但是在整个互联网进度中,第三方登录暂时还没发挥到他应有的作用.
为什么这么说呢
其一.头部网站往往都是安全性比较高的(对于小站而言).有些小站,数据库甚至可以直接外网访问到的,那被扫描端口然后攻破只是时间的问题,你在上面注册的账号密码数据,难道就只有这个网站使用了吗?
而且头部网站通常技术升级及时,以及政策相关性比较高,就目前而言,已经可以引入身份证和人脸识别系统,这已经摆脱了传统的账密验证.
其二.很多很多网站没有引入第三方登录,甚至有些论坛或者小站,在第三方引入之后还需要你自己注册账号密码进行关联,这不是多此一举吗,
所以我呼吁头部网站应该及时搞出认证联盟,彻底摆脱账密认证渠道,优化整个互联网的安全性.