微信淘宝设计扫码登录的安全性？

• 请不要在回答技术问题时复制粘贴 AI 生成的内容

This topic created in 3508 days ago, the information mentioned may be changed or developed.

我给几乎所有回答都点了反对。看到陈裕皓的回答简直热泪盈眶。

感觉明明是送分题啊，怎么有这么多人答错，而且还有一堆人死命喷。

Supplement 1 · Oct 16, 2016

我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

刚刚关于这个问题写了篇长文，各位有兴趣的话可以去看看：
我的博客： https://abcdabcd987.com/qrcode-login/
或者知乎： https://www.zhihu.com/question/46822051/answer/126854559

扫码

安全性

死命

淘宝

21 replies • 2016-10-16 18:06:35 +08:00

loveminds

Oct 16, 2016

扫码登录的安全性是建立在手机这一设备是安全的前提下的

Lonely

Oct 16, 2016 via iPhone

因为 bat 不管怎么设计都是脑残的(手动斜眼)

run2

Oct 16, 2016

支付宝手机上改密码*第 2 个号，有段时间没登录*
询问了过往收货地址和 Wi-Fi ssid ，这节奏是把手机当主要安全设备在使用（可想而知他们 app 那么多权限都干嘛去了），反正他们信任移动设备多过 pc 是没跑的了。

陈裕皓的回答
>“客户端有已经登陆的 cookie ”
客户端还是用 cookie 来验证 auth 就真呵呵了。

helloccav

Oct 16, 2016

同意一楼的说法。我身边的人经常会互相玩别人的手机，所以扫码登录严重降低了安全性

run2

Oct 16, 2016

扫码后，交换 cookie 来验证登录绝对是个错误做法，
这种方式 Replay attack 也很好介入

imn1

Oct 16, 2016

对于这个问题，由于我没有在手机安装阿里系 APP ，也没有绑定手机，所以一直有个疑问：
这个安全逻辑是否实际上就是建立在“手机 sim 卡由账户持有人安全控制”这一个基准上？(补充：不仅限于阿里，也包括其他公司的应用，当然也包含国外的)

以我所知
1.APP 是并非必须安装在 sim 卡所在设备的
2.APP 的“信任登录”建立在 sim 卡相关判断(例如手机号码)的绑定
所以，当“手机 sim 卡由账户持有人安全控制”这一个基准不成立时，持有 sim 卡的人可以在任意设备安装一个全新的 APP ，他可以通过 sim 卡相关号码的操作验证，把这个新装 APP 设置为“信任”，然后就可以完成前述的安全判断了

如果是这样，实际上“手机 sim 卡由账户持有人安全控制”这条准则才是最终核心，跟这个所有相关的操作方式只是形式不同，安全性是基本相同的