手机口令 探索身份验证新方式_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
手机口令 探索身份验证新方式
阅读已结束，下载本文需要
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩2页未读，
定制HR最喜欢的简历
你可能喜欢互联网查询个人信用报告身份验证的方法有哪些_百度知道
互联网查询个人信用报告身份验证的方法有哪些
我有更好的答案
三种身份验证方法回答问题：您在一定时间内在线正确回答5个私密性问题。数字证书：通过您使用的部分银行的网银密钥 （U盾）验证。银行卡：通过您使用的部分银行的银行卡验证。
采纳率：89%
为您推荐：
其他类似问题
个人信用报告的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。注册 | 登录
登录认证产品经理
零基础学产品，BAT产品总监带，2天线下集训+1年在线课程，全面掌握优秀产品经理必备技能。
登录认证是互联网产品设计中不可或缺的一个环节，本文主要介绍市面上主流的登录认证方式，希望对进行产品设计的童鞋们有所作用。
一、登录认证的作用
保护用户账号安全。
形成用户在产品使用中的标识，识别用户身份。
证明使用产品操作行为是用户本人发起。
用户登录认证的作用也可从两个维度来说明，一是保障产品用户的账户安全，相当于产品的一扇门，保护用户使用产品时获得奖励、使用信息等不被偷窥与盗取，二是保障产品本身的利益，防止产品被程序攻击，有价值的兑换物被非自然人获得等。
二、登录认证的方式
登录认证方式按照用户操作场景可分为用户登录时的身份认证与操作产品功能认证。
用户登录时的身份认证方式有：
账密认证是指用户输入账号密码进行登录认证，其中账号大多是用户的手机号、邮箱地址、用户名称等，密码为用户自定义密码。
优点：产品设计成本低，适合多种类型的产品。
用户容易忘记登录账号密码。
产品的账号密码库被攻击拖库后，会造成不良影响。
第三方登录认证
产品接入微信、QQ、微博、支付宝、天翼账号等登录方式用来识别用户的身份。
降低用户进入该网站的门槛
微信、支付宝等第三方登录方式的用户身份识别准确率高。
第三方登录会引入不可预期的技术成本。
第三方登录方式选择过多可能会使用户忘记自己的注册方式。
二维码登录认证
用户使用手机APP的扫一扫等扫描功能扫描二维码即可认证登录到应用。
用户使用方便快捷，用户体验好。
用户登录转化率高，转化成本低。
二维码生成器与二维码承载的信息目前尚未有主管机构或者第三方机构审核，其信息安全难有保障，容易出现病毒与流氓软件安装到扫描该二维码的用户手机。
由于用户手机性能等不同，会存在扫描不出二维码、二维码识别慢等情况。
运营商可以在移动网络下识别出用户的手机号码，当用户打开应用时，即可自动识别用户号码进行登录。目前据悉中国电信的天翼账号团队已经整合了三家运营商的登录认证资源。
用户无需密码直接登录，避免用户忘记密码的烦恼。
有利于用户的转化率提升与用户体验，特别适合对于用户账号安全级别不高的产品，如人人都是产品经理、知乎等内容为主的应用。
获取与整合三家运营商的技术与资源难度大。
该项技术需要在移动数据网的情况下才能登录使用。
操作产品功能认证有：
1、静态密码
按照用户预先设置的操作密码认证用户的操作行为。如支付宝中每次支付时需要用户填入预先设置的支付密码进行支付行为确认。
产品设计成本低，仅需存储用户设置的密码即可。
用户使用方便快捷，仅需记住预留密码即可验证操作。
用户操作密码容易被盗或被拖库。
操作密码重置一般比较繁琐，不利于用户留存。
2、IVR语音认证
用户进行操作认证时，会收到第三方的电话告知其认证密码。一般使用在金融产品设计或者产品本身需要支付给用户高价值兑换物的场景。
可有效识别用户自然人的身份，防止产品有价值的兑换物被机器“刷走”。
用户不必担心忘记操作密码或者密码被盗的情况。
用户不熟悉第三方的电话，存在告知密码的电话被拒接。
语音识别能力费用较高，产品设计成本高。
语音识别的稳定性受运营商网络与用户通讯条件的影响，不可预知的情况多。
3、密保问题认证
与静态密码的情况相似，由用户预留的信息进行用户身份的验证，不同之处在于，密保问题认证一般是预留用户的个人信息作为功能操作认证内容，一般使用场景主要为协助用户找回用户密码。如腾讯用户忘记密码或者异常登录时，需要用户正确回答当初预留的问题答案后才能重新设置密码。
产品设计简单，成本低，仅需系统存储用户预留的问题与答案即可。
由于预留答案多为用户的个人信息，如你的父亲是什么名字，你的第一所学校是什么等问题，减少了用户记忆与找回密码难度。
此类认证的答案多为用户个人信息，极易被熟悉用户的人所利用。
当用户忘记或者不能正确记忆其密保问题时，需要产品增加其他认证识别功能，增加了产品设计的成本。
4、实名认证
实名认证是指用户在操作使用产品功能时，需填入自己的身份信息进行验证。根据产品的使用场景不同，一般要求用户填入的身份信息也有所不同，如共享单车一般要求用户填入身份证+姓名，金融理财产品要求填入姓名+身份证+银行卡等，实名认证一般会调用第三方实名校验接口对填入信息进行匹配性校验。
在一定程度上监督与规范了用户的操作行为。
用户的实名信息达到一定量级时，可针对用户的实名信息数据研发出更多的数据产品。
不是所有的产品都适合实名认证的场景，若使用不当，会影响产品的用户转化率与活跃率。
用户的姓名+身份证信息容易被盗取用来进行认证，产品设计中可加入用户手机号+姓名+身份证信息或银行卡+姓名+身份证信息，不过此类实名校验接口的价格较昂贵，增加了产品设计的成本。
互联网登录认证的方式多种多样，目前本人比较看好的登录认证方式为运营商的免密认证，其产品可替代目前的短信验证与获取到用户的手机号，但是登录认证的选择方式还是要根据具体的用户使用场景及平台的自身条件进行选择。以上为本人总结的登录认证方式，如果大家有更好的登录认证方式，欢迎大家发帖分享。
作者：喵小五，登录认证产品经理，专注于登录认证及相关数据产品设计。
本文由 @喵小五 原创发布于人人都是产品经理。未经许可，禁止转载
赞赏是对原创者的最大认可
赞赏3人打赏
收藏已收藏 | 106赞已赞 | 35
登录认证产品经理
产品经理群
运营交流群
数据分析群
文案交流群
Axure交流群
关注微信公众号
大家都在问
14个回答22人关注
19个回答68人关注
20个回答24人关注
16个回答21人关注
9个回答46人关注
91个回答84人关注第二步是验证身份，验证的方式有多种_百度知道
第二步是验证身份，验证的方式有多种
我有更好的答案
验证的方式有多种，其中有身份证号码验证邮箱验证等。我在这里选择用邮箱验证。然后在邮箱下面的免费获取验证码按钮上点击一下，现在你可以重新设置了，输入两次你设置的密码后，点击提交按钮就可以成功修改密码了。
&05
将此验证码输入到验证码框里面，然后点击下一步。
&06
​这时就可以重置密码了。
&04
这时你打开你所提供的邮箱的账户，可以直接点此链接进入密码找回流程。
&02
在账户名中输入你的账户名字，然后再在下面的框中输入右边的验证码，然后点击下一步。
&gt，忘了以前的没有关系;03
第二步是验证身份，会往你的邮箱发送一个验证码，在收信里面查找是否有收到发来的验证码。在点击之后很快就收到了这个验证码01
首先打开淘宝主页，在主页有一个忘记密码的链接，如果你忘 了密码
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。51CTO旗下网站
解析用户身份认证的六大方式
用户身份认证是安全的第一道大门，是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码，密码丢失轻则被别人轻易看到自己的隐私，重则金钱或者虚拟财产，譬如游戏币、Q币等被盗窃。
作者：王宪阁来源：中关村在线| 14:21
用户是安全的第一道大门，是各种安全措施可以发挥作用的前提。最常见的身份验证形式就是登录密码，密码丢失轻则被别人轻易看到自己的隐私，重则金钱或者虚拟财产，譬如游戏币、Q币等被盗窃。那么，在我们上网登录输入密码，在ATM柜机取款时输入的密码，或者我们在电脑上使用的银行U盾，它们背后是什么在支撑呢，今天我们就给大家介绍用户身份验证的六大方式。
六大身份认证解析之静态密码
大家经常见到和使用的，&账号+密码&身份验证方式中提及的密码为静态密码，是由用户自己设定的一串静态数据，静态密码一旦设定之后，除非用户更改，否则将保持不变。静态密码的安全性缺点，在于容易被偷看、猜测、字典攻击、暴力破解、窃取、监听、重放攻击、木马攻击等。
静态密码用户的密码是由用户自己设定的。在网络登录时输入正确的密码，计算机就认为操作者就是合法用户。实际上，由于许多用户为了防止忘记密码，经常采用诸如生日、电话号码等容易被猜测的字符串作为密码，或者把密码抄在纸上放在一个自认为安全的地方，这样很容易造成密码泄漏。如果密码是静态的数据，在验证过程中 需要在计算机内存中和传输过程可能会被木马程序或网络中截获。因此，静态密码机制无论是使用还是部署都非常简单，但从安全性上讲，用户名/密码方式一种是不安全的身份认证方式。
为了提高静态密码的安全性，用户定期对密码进行更改是一种保护方式，但是这又导致了静态密码在使用和管理上的困难，特别是当一个用户有几个甚至几十个密码需要处理时，非常容易造成密码记错和密码遗忘等问题，而且也很难要求所有的用户都能够严格执行定期修改密码的操作，即使用户定期修改，密码也会有相当一段时间是固定的。从总体上来说，静态密码的缺点和不足主要表现在以下几个方面：
(1)、静态密码的易用性和安全性互相排斥，两者不能兼顾，简单容易记忆的密码安全性弱，复杂的静态密码安全性高但是不易记忆和维护；
(2)、静态密码安全性低，容易遭受各种形式的安全攻击；
(3)、静态密码的风险成本高，一旦泄密将可能造成最大程度的损失，而且在发生损失以前，通常不知道静态密码已经泄密；
(4)、静态密码的使用和维护不便，特别一个用户有几个甚至十几个静态密码需要使用和维护时，静态密码遗忘及遗忘以后所进行的挂失、重置等操作通常需要花费不少的时间和精力，非常影响正常的使用感受。
因此，静态密码机制虽然使用和部署非常简单，但从安全性上讲，静态密码属于单因素的身份认证方式，已无法满足互联网对于身份认证安全性的需求。
六大身份认证解析之动态密码
动态密码目前主要有短信密码、动态口令牌、手机令牌等几种方式。
短信密码以手机短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的手机上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性。
动态口令牌是目前最为安全的身份认证方式，也是一种动态密码。动态口令牌是客户手持用来生成动态密码的终端，主流的是基于时间同步方式的，每60秒变换一次动态口令，口令一次有效，它产生6位动态数字进行一次一密的方式认证。由于它使用起来非常便捷，85%以上的世界500强企业运用它保护登录安全，广泛应用在VPN、网上银行、电子政务、电子商务等领域。
动态口令牌(OTP，One time password)，采用动态口令的认证方式就是在每次用户登录时除了输入常规的静态口令外，还要再输入一个每次都会变化的动态口令。这个动态口令的获得方式有很多种，如刮刮卡式、二维矩阵卡式和电子令牌式，其中电子令牌就是我们所说的动态口令牌。
刮刮卡和二维矩阵卡都是以纸质卡形式提供，但它们都存在着与生俱来的缺陷，刮刮卡有严格的使用次数限制，一般只能使用30次，而二维矩阵卡虽然可以无限次使用但很容易被复制，同动态口令牌相比刮刮卡和二维矩阵卡式都不具备时效性。
现在很多国外银行和少数国内银行在网上银行应用中采用这种动态口令牌的方式。采用动态口令牌方式的优点在于无须安装软件，操作简单。与客户电脑无关，不需要安装其他任何程序即可直接使用网上银行服务。一次一密，解决了客户密码被盗的问题。这应该是动态口令牌在安全性方面带来的最大好处。
手机令牌也称手机口令牌，是用来生成动态口令的手机客户端软件，在生成动态口令的过程中，不会产生任何通信及费用，不存在通信信道中被截取的可能性，手机作为动态口令生成的载体，欠费和无信号对其不产生任何影响。
手机令牌具有高安全性、0成本、无需携带、获取以及无物流等优势，相比硬件令牌更符合互联网的精神，由于以上优势，手机令牌可能会成为3G时代动态密码身份认证令牌的主流形式。
手机令牌的实质就是把动态密码技术用手机软件的方式实现，软件启动后，通过手机运算并在手机液晶屏幕每分钟显示一个不可猜测的动态密码。手机动态密码可在Windows Mobile、iPhone、android、symbian等手机操作系统运行。可做到密钥与手机捆绑。和动态令牌的硬件令牌形式一样。
六大身份认证解析之USB KEY
USB Key是一种USB接口的硬件设备。它内置单片机或智能卡芯片，有一定的存储空间，可以存储用户的私钥以及数字证书，利用USB Key内置的公钥算法实现对用户身份的认证。
USB Key(硬件数字证书载体)这是大多数国内银行采用的客户端解决方案，使用USB Key存放代表用户唯一身份数字证书和用户私钥。在这个基于PKI体系的整体解决方案中，用户的私钥是在高安全度的USB Key内产生，并且终身不可导出到USB Key外部。
在网上银行应用中，对交易数据的数字签名都是在USB Key内部完成的，并受到USB Key的PIN码保护。采用USB Key方式的优点在于代表用户身份的私钥在USB Key产生，安全强度高。
由于用户私钥保存在密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。USB Key产品最早是由加密锁厂商提出来的，原先的USB加密锁主要用于防止软件破解和复制，保护软件不被盗版，而USB Key的目的不同，USB Key主要用于网络认证，锁内主要保存数字证书和用户私钥。
相对来说，USB Key比较安全，但是USBKey并非绝对安全，也存在被破解的可能。USB Key网银的便捷与风险在今天这样一个互联网驱动的社会中，网上银行也称在线银行，已经成为金融机构整体发展策略中不可或缺的一部分。
近年来使用网上银行的用户数量巨大增长，并且每年保持了稳定的发展势头。网上银行在给它的用户带来诸多便捷服务、给银行节省费用支出和带来更多利润增长点的同时，也承受着很多安全风险。很多银行意识到了这一点，纷纷采取行动，包括不断教育用户提高自身安全意识，安装杀毒软件，防木马软件；采用硬件USB Key或者动态口令牌方式进行身份认证等。
六大身份认证解析之智能卡(IC卡)
IC卡 (Integrated Circuit Card，集成电路卡)，有些国家和地区也称智能卡(smart card)、智慧卡(intelligent card)、微电路卡(microcircuit card)或微芯片卡等。它是将一个微电子芯片嵌入符合ISO 7816标准的卡基中，做成卡片形式。IC卡读写器是IC卡与应用系统间的桥梁，在ISO国际标准中称之为接口设备IFD(Interface Device)。IFD内CPU通过一个接口电路与IC卡相连并进行通信。IC卡接口电路是IC卡读写器中至关重要的部分，根据实际应用系统的不同，可选择并行通信、半双工串行通信和I2C通信等不同的IC卡读写芯片。非接触式IC卡又称射频卡。
智能卡(IC卡)内置集成电路芯片，芯片中存有与用户身份相关的数据，并封装成外形与磁卡类似的卡片形式。智能卡由专门的厂商通过专门的设备生产，是不可复制的硬件。智能卡由合法用户随身携带，登录时必须将智能卡插入专用的读卡器读取其中的信息，以验证用户的身份。
智能卡(IC卡)从根本上提高银行卡的安全性。由于以前银行磁条卡技术简单，磁条信息易被复制，使用磁条信息盗录装置复制银行卡磁道信息，通过网上银行等电子渠道窃取持卡人敏感信息，通过针孔摄像机在ATM终端上偷录持卡人密码等事件，以及伪造磁卡条、盗用磁卡信息的案件频繁发生，给持卡人和发卡机构造成巨额损失。世界各地的实践经验表明，在推广使用IC卡后，这类案件就会大幅下降， 2、有利于商业银行的业务创新。相比银行磁条卡存储空间小，无运算能力，金融IC卡具备多应用加载平台，可丰富银行卡产品系列，称为商业银行业务创新的重要手段。
智能卡认证是通过智能卡硬件不可复制来保证用户身份不会被仿冒。然而由于每次从智能卡中读取的数据是静态的，通过内存扫描或网络监听等技术还是很容易截取到用户的身份验证信息，因此还是存在安全隐患。
另外，智能卡需要配合读卡器使用，因此无论在易用性，还是在成本方面，都比动态令牌稍逊一筹。
六大身份认证解析之数字证书
是一种权威性的电子文档，由权威公正的第三方机构，即CA中心签发的证书。
它以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。
它能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心（CA）作为权威的、公正的、可信赖的第三方，其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威可信的，国家工业和信息化部以资质合规的方式，陆续向天威诚信数字认证中心等30家相关机构颁发了从业资质。
由于Internet网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获得商家和企业的信息，但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为了保证互联网上电子交易及支付的安全性，保密性等，防范交易及支付过程中的欺诈行为，必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必须拥有合法的身份，并且在网上能够有效无误的被进行验证。
数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。
基于数字证书的应用角度分类，数字证书可以分为以下几种：
服务器证书（SSL证书）：服务器证书被安装于服务器设备上，用来证明服务器的身份和进行通信加密。服务器证书可以用来防止欺诈钓鱼站点。
在服务器上安装服务器证书后，客户端浏览器可以与服务器证书建立SSL连接，在SSL连接上传输的任何数据都会被加密。同时，浏览器会自动验证服务器证书是否有效，验证所访问的站点是否是假冒站点，服务器证书保护的站点多被用来进行密码登录、订单处理、网上银行交易等。全球知名的服务器证书品牌有Globlesign，Verisign， Thawte， Geotrust等。
SSL证书主要用于服务器(应用)的数据传输链路加密和身份认证，绑定网站域名，不同的产品对于不同价值的数据和要求不同的身份认证。
最新的高端SSL证书产品是扩展验证（EV）SSL证书。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下，使用扩展验证VeriSign（EV）SSL证书的网站的浏览器地址栏会自动呈现绿色，从而清晰地告诉用户正在访问的网站是经过严格认证的。
电子邮件证书：电子邮件证书可以用来证明电子邮件发件人的真实性。它并不证明数字证书上面CN一项所标识的证书所有者姓名的真实性，它只证明邮件地址的真实性。 收到具有有效电子签名的电子邮件，我们除了能相信邮件确实由指定邮箱发出外，还可以确信该邮件从被发出后没有被篡改过。
另外，使用接收的邮件证书，我们还可以向接收方发送加密邮件。该加密邮件可以在非安全网络传输，只有接收方的持有者才可能打开该邮件。
客户端个人证书：客户端证书主要被用来进行身份验证和电子签名。
安全的客户端证书我被存储于专用的usbkey中。存储于key中的证书不能被导出或复制，且key使用时需要输入key的保护密码。使用该证书需要物理上获得其存储介质usbkey，且需要知道key的保护密码，这也被称为双因子认证。这种认证手段是目前在internet最安全的身份认证手段之一。key的种类有多种，指纹识别、第三键确认，语音报读，以及带显示屏的专用usbkey和普通usbkey等。
目前的数字证书在广义上可分为：个人数字证书、单位数字证书、单位员工数字证书、服务器证书、VPN证书、WAP证书、代码签名证书和表单签名证书。
六大身份认证解析之生物识别技术
生物识别技术是通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一的可以测量或可自动识别和验证的生理特征或行为方式。
生物特征分为身体特征和行为特征两类。身体特征包括：声纹(d-ear)、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；行为特征包括：签名、语音、行走步态等。目前部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术；将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术；将血管纹理识别、人体气味识别、 DNA识别等归为&深奥的&生物识别技术，指纹识别技术目前应用广泛的领域有门禁系统、微型支付等。
采用生物识别技术进行身份认证时，必须在客户端安装采集生理特征或行为方式的输入设备，它可能会存在误认和误拒的现象，可能会导致正确的用户被拒绝访问，而非法用户被允许访问等情况的发生。同时，它的应用范围也有所限制，例如指纹、虹膜等识别技术就无法用在电话委托系统、电视遥控器等应用中。
【责任编辑： TEL：（010）】
大家都在看猜你喜欢
热点热点热点热点头条
24H热文一周话题本月最赞
讲师：11834人学习过
讲师：29485人学习过
讲师：506人学习过
精选博文论坛热帖下载排行
本书第1版曾被KDnuggets的读者评选为最受欢迎的数据挖掘专著，是一本可读性极佳的教材。它从数据库角度全面系统地介绍了数据挖掘的基本概念...
订阅51CTO邮刊