为什么国产网络服务如此执拗于“短信验证码”？

你所定义的安全跟政府厂商定义的安全是两回事

如果网安不查，我们公司根本不会做等保认证，也不会搞什么手机和实名

可是账号密码登录本身就是不安全呀

SMS code 是普通人不用安装专用 APP 就能实现的 MFA 方式了

@66beta #14
提交资料多少视我要使用服务内容而定，我可以自己决定做到什么程度。
而且你说的这种 KYC 流程基本上都是一次性的，而我发的主题是在说登录这个具体动作。
如果你认为你在举反例，请给一个具体例子，在完成 KYC 后，登录时还要求重新提交的。

先有手机号绑定这个合规设定，然后验证码是基于此而顺理成章的验证形式

1. 防止机器人，不管是邮箱还是直接输入名字，都很容易造成假账号泛滥，但是手机号就好多了，成本变高了
2. 简化的 2FA ，让你下载个 APP ，做 2FA ，对用户来说挺困难的，短信就简单多了
3. 合规要求
4. 傻瓜式服务客户找回密码之类信息，很多人注册个信息，一阵不用忘光了，手机号又忘不了，用手机号找回就行了。

可以去看看 reddit 的 degoogle 区，了解下业界最新动态🤣

首先点名中国移动，贼傻逼，每个月领视频会员权益，之前直接点了领取就行，现在要发验证码，领了一个领下一个提示发送验证码过快，领 3 个硬控我 3 分多钟

国内手机号有实名认证啊，国内网站/服务强制要求用户绑定手机号。
然后盗用手机号入刑，且短信服务产业链已经很成熟，企业开发接入很方便。

被攻击盗用手机验证码的可能性小，开发难度小。
如果网站/服务需要做风险控制，发现账号登录/使用的 IP 隔了一会变了，那触发风控要求用一下短信验证码校验，很自然啊。有什么问题吗？

你站在网站/服务的角度，特别是涉及支付或者虚拟资产的，如果账号密码被盗了容易产生用户损失。

当然有写网站/服务设计产品或者交互的方式，频繁使用短信验证码啥的，可能有它们自己的考虑，也可能是单纯设计不好。

作为开发者，我觉得短信验证码是最安全的，毕竟手机号被盗的概率远低于密码被盗的概率，只要触发风控，要求短信验证码验证是最简单的办法。

至于说实名的，如果系统没有实名认证机制，那说实在手机号就和实名没啥关系，你也可以用别人的手机号注册。

很明显是上头的要求，你要想要是没有上面的监管，这些 app 要玩得多花有多花

@70599 你给家长设置过 app 就知道了，记住密码对有些人来说是个很困难的事情，记住一个强制包含大小写特殊字符的密码更是难上加难

账号密码真的不安全，不是说通信过程加密就不会泄露。
你真的不知道哪个服务/网站是不是保存了用户明文密码，且安全做的稀烂，或者内部泄露。
我从网易漏出去的密码，过了几年了，在几个国外网站都能收到说这个密码被盗用、不安全或者不唯一的提醒。

别说国内，全球大部分人都不想在不同的应用记不同的密码。

@70599 #25 短信和 email 也是 OTP 的一种啊

挺方便的，不用记密码了，找回账号也方便。个人所得税 app 那个密码我一直都记不住

很多人不同网站都用同一个简单密码，如果有人拿密码库大规模碰你的用户，损失算谁的

当然可以改进一点，比如密码如果是生成器生成的那种很长的随机密码，应该降低一点要求短信的频率。

@66beta #35
短信/email 可以视作是基本信息，和你特意提及的“国外服务 KYC 必须提交很多很多的个人资料”有什么关系
什么提交短信/email 就能过的 KYC 值得你用“那玩意儿要提交多少个人资料不”来表述

很简单 短信的安全性和方面都不错
如果能都用 f2a 就很好了

为什么擅自想定账密登录“不安全”？ 因为账密登录就是不安全啊