V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
abcdabcd987
V2EX  ›  程序员

微信淘宝设计扫码登录的安全性?

  •  
  •   abcdabcd987 ·
    abcdabcd987 · 2016-10-15 23:50:19 +08:00 · 6912 次点击
    这是一个创建于 2953 天前的主题,其中的信息可能已经有所发展或是发生改变。

    微信淘宝设计扫码登录的理由是什么,牺牲人性化来加强安全性?

    我给几乎所有回答都点了反对。看到陈裕皓的回答简直热泪盈眶。

    感觉明明是送分题啊,怎么有这么多人答错,而且还有一堆人死命喷。

    第 1 条附言  ·  2016-10-16 18:10:00 +08:00
    我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

    刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
    我的博客: https://abcdabcd987.com/qrcode-login/
    或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
    21 条回复    2016-10-16 18:06:35 +08:00
    loveminds
        1
    loveminds  
       2016-10-16 00:00:28 +08:00
    扫码登录的安全性是建立在手机这一设备是安全的前提下的
    Lonely
        2
    Lonely  
       2016-10-16 00:25:59 +08:00 via iPhone
    因为 bat 不管怎么设计都是脑残的(手动斜眼)
    sobigfish
        3
    sobigfish  
       2016-10-16 00:36:01 +08:00
    支付宝手机上改密码*第 2 个号,有段时间没登录*
    询问了过往收货地址和 Wi-Fi ssid ,这节奏是把手机当主要安全设备在使用(可想而知他们 app 那么多权限都干嘛去了),反正他们信任移动设备多过 pc 是没跑的了。

    陈裕皓的回答
    >“客户端有已经登陆的 cookie ”
    客户端还是用 cookie 来验证 auth 就真呵呵了。
    helloccav
        4
    helloccav  
       2016-10-16 00:37:50 +08:00
    同意一楼的说法。我身边的人经常会互相玩别人的手机,所以扫码登录严重降低了安全性
    sobigfish
        5
    sobigfish  
       2016-10-16 00:48:04 +08:00
    扫码后,交换 cookie 来验证登录绝对是个错误做法,
    这种方式 Replay attack 也很好介入
    imn1
        6
    imn1  
       2016-10-16 01:01:01 +08:00
    对于这个问题,由于我没有在手机安装阿里系 APP ,也没有绑定手机,所以一直有个疑问:
    这个安全逻辑是否实际上就是建立在“手机 sim 卡由账户持有人安全控制”这一个基准上?(补充:不仅限于阿里,也包括其他公司的应用,当然也包含国外的)

    以我所知
    1.APP 是并非必须安装在 sim 卡所在设备的
    2.APP 的“信任登录”建立在 sim 卡相关判断(例如手机号码)的绑定
    所以,当“手机 sim 卡由账户持有人安全控制”这一个基准不成立时,持有 sim 卡的人可以在任意设备安装一个全新的 APP ,他可以通过 sim 卡相关号码的操作验证,把这个新装 APP 设置为“信任”,然后就可以完成前述的安全判断了

    如果是这样,实际上“手机 sim 卡由账户持有人安全控制”这条准则才是最终核心,跟这个所有相关的操作方式只是形式不同,安全性是基本相同的
    ysdj
        7
    ysdj  
       2016-10-16 01:21:31 +08:00 via Android
    曾经在朋友圈发了个二维码,分分钟登到别人账号
    onionnews
        8
    onionnews  
       2016-10-16 01:34:06 +08:00 via Android
    真正目的是为了让你下载 APP 和提高打开率,唤醒全家桶
    sobigfish
        9
    sobigfish  
       2016-10-16 01:36:47 +08:00
    @ysdj 用的 qrLJacking (也就是 replay attack ) 么?
    shiny
        10
    shiny  
       2016-10-16 01:44:59 +08:00
    有一次在同事手机上登录支付宝并退出。
    隔几天后,同事在手机上的第三方 App 里购买时,用了我的支付宝成功支付。
    致电客服才知道,账户默认开启了小额免密。
    techmoe
        11
    techmoe  
       2016-10-16 07:51:41 +08:00 via Android
    客户端有 cookie 这思想很危险啊
    peneazy
        12
    peneazy  
       2016-10-16 07:54:15 +08:00 via Android
    淘宝既可以扫码登录,又可以输入密码登录,这完全是把风险扩大了,何来安全之说。
    itisthecon
        13
    itisthecon  
       2016-10-16 08:36:01 +08:00
    扫码安全说纯属扯谈, 就是阿里为了强推 app 的一个流氓行为, 只可惜再怎么耍流氓我都早把淘宝 app 卸载了
    mc468ma
        14
    mc468ma  
       2016-10-16 09:54:05 +08:00 via Android
    我认为是培养用户扫码习惯,有助于二维码的广泛推广。然而这是很脑残的设计。
    hanru
        15
    hanru  
       2016-10-16 10:09:46 +08:00 via Android
    没有扫码登录的时候是如果密码泄露,帐号被盗;有了扫码登录后是如果密码泄露,或者如果用户不慎(无论出于何种原因)扫了不该扫的二维码,帐号被盗。扫码登录更安全?
    ysdj
        16
    ysdj  
       2016-10-16 10:18:11 +08:00 via Android
    @sobigfish 有人误扫了而已
    lslqtz
        17
    lslqtz  
       2016-10-16 10:22:06 +08:00
    @sobigfish 难道怎么验证。。
    web 端给二维码 一个页面。
    手机端用 cookie 打开页面认证完毕后点击是否允许,允许后电脑端登录。
    就那么简单
    sobigfish
        18
    sobigfish  
       2016-10-16 10:49:00 +08:00
    @lslqtz sqrl.pl/guide/ 这个比较全面点,( app 本身 auth 授权用 token 安全过 cookie)
    wy315700
        19
    wy315700  
       2016-10-16 11:32:34 +08:00
    越来越多的产品会采用手机端验证的方案的, Mac 上的 Apple Pay 也采用了手机验证的方案。
    0TSH60F7J2rVkg8t
        20
    0TSH60F7J2rVkg8t  
       2016-10-16 13:06:22 +08:00
    QRLJacking :如何劫持快速登陆时使用的二维码
    http://www.freebuf.com/articles/web/110510.html
    abcdabcd987
        21
    abcdabcd987  
    OP
       2016-10-16 18:06:35 +08:00
    我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

    刚刚关于这个问题写了篇长文,各位有兴趣的话可以去看看:
    我的博客: https://abcdabcd987.com/qrcode-login/
    或者知乎: https://www.zhihu.com/question/46822051/answer/126854559
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2871 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 02:45 · PVG 10:45 · LAX 18:45 · JFK 21:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.