免密认证：从此告别手机验证码

早上起来，你首先找的不是灯开关，而是手机；吃完饭结账，你首先拿出的不是钱包，而是手机；忙里偷闲，你首先想到的不是电脑上网，而是手游。

进入移动互联网时代，手机有时候甚至比身份证更重要——一个手机号码绑定的各项服务可能价值不菲。

而短信应用，已经成为了各种服务验证码的聚集地。如今，各大APP要想验明你的身份，大多采用了验证码方式，这种方式可以极大地保障我们的账户安全。不过，这种身份校验的方式在使用体验上谈不上优秀。验证码的收取、输入都需要用户花费一定的时间和精力，甚至有些互联网服务提供商的应用在发送手机验证码之前，还有恼人的图形验证码。

难道除了“手机验证码”之外，就没有其他的方式证明用户的身份了吗？

免密认证：让手机号自报家门

其实最有能力改进身份校验体验的一定是各大电信运营商，因为他们掌握着全部手机号用户的实名身份信息。互联网服务提供商只需要把他们请求校验的需求反馈给运营商，运营商将判断结果反馈回服务提供商，即可完成校验。

中国电信已经开始推行这项业务了——依托电信运营商的移动数据网络，采用“通信网关取号”及 SIM 卡识别等技术。用户仅需要允许服务商应用获取本机手机号码，并通过运营商网络上传，即可完成用户身份校验。

这个过程中不仅省去用户获取验证码，输入验证码的过程，甚至能让用户直接抛弃密码。传统密码校验身份面临的问题在于，密码设置简单不好记，设置复杂记不住，尤其是对于老人而言。同时任何一种密码还有被人撞库窃取的危险——有些用户在多个平台上的密码可能是一致的，风险更大。

对于服务提供商而言，他们节省的不仅仅是发送短信费用，提升了用户体验，保障用户账户安全，由于登陆过程的简化，还能提升访客注册/登录转化率。比如，用户在使用微信登陆第三方应用时候，很有可能他还需要在第三方应用中输入手机号，获取验证码。而一旦微信和第三方应用都使用了免密认证服务，那么用户仅需点击“允许服务获取手机号码”，即可跳过输入手机号的过程，真正的实现一键登录，同时打破各个应用之间需要注册登录的壁垒。

除了免去验证码，免密认证还有什么作用？

相信现在很多用户在更换手机号码的时候，都会思量再三。

告知他人自己更换手机号码并不是一件难事，真正的困难在于旧手机号码背后绑定的一系列服务——这些都需要解绑，更换，再次绑定，尤其是对于那些注册了上百种服务的重度互联网用户而言。对于运营商而言，这也给他们“二次放号（将注销过的手机号码再次投入市场使用）”增加了不少麻烦。

电信自己开发的免密认证

当免密认证真正地普及开来之后，这一切麻烦都能迎刃而解。试想一下这样一个场景：你将自己过去的手机号注销了，在那之前却没解绑这个手机号对应的应用账号。在这种情况下，你需要通过填写和上传各种材料和申诉完成账号的找回和解绑。

有了免密认证之后，应用在经用户授权获取手机号码之后，经过移动数据上传手机号码给运营商。这时候运营商可以做出以下三个方面的反馈：

“当前设备中手机号码与绑定应用账号的号码是否一致？”

“当前设备中手机号入网时间是否晚于应用绑定手机号的时间？”

“当前应用账号绑定的手机号是否有过注销的记录？”

电信运营商将结果反馈回应用，应用服务商即可判断用户是否已经注销当前绑定号码。这样一来，你就无需再次通过繁杂的步骤，即可将应用与已注销的手机号解绑，填写绑定的新号码。整个过程花费时间可能都不需要一分钟。

同时免密认证还能为服务提供商做风险控制之用。对于服务提供商而言，用户的每一次异地登录都意味着有潜在的风险，尤其是像银行这类的金融服务。

有一天，你从北京出差到广州，急需从 ATM 机上取钱。对于银行而言，这是一次异地取款行为，风控部门会将这次行为归为“高风险动作”。

如果他们和电信运营商合作，那么当用户将银行卡插入 ATM 机的那一刻，银行方面会向电信运营商询问：用户当前是否不在北京（常驻城市），而在广州（异地）？电信运营商会通过用户的漫游情况将这个判断反馈给银行，从而使银行能解除这次异地取款的“警报”。这一过程，无需用户任何操作，银行即可完成用户身份的校验，用户甚至都不会收到异地登录取款的提醒。

“碧玉微瑕”，免密认证仍需完善

免密认证能在校验用户身份方面有许多便利和安全的地方，甚至能消灭掉所有的密码，但它目前还有一些小问题亟待解决。首先是免密认证实现的方式。要进行免密认证，用户必须处于运营商的网络环境下，也就意味着用户在进行认证的时候，需要关闭 WLAN 功能，使用蜂窝数据。

电信方面的工作人员告诉钛媒体的记者，在 iOS 平台上，免密认证的国内可以“偷跑”运营商网络——用户只要打开手机数据开关，即便是手机连上了 WLAN，免密认证的数据依然可以通过运营商网络传输。

不过，这种“鸡贼”的小技巧在 Android 平台上不一定通用。在他们的测试之中，80 多台 Android 手机仅有 70% 左右能“偷跑”数据，实现免密认证。不过，这个过程中所产生的流量数据费用中国电信方面是可以免除掉的。

“这一切与手机的 ROM 有关，”阿里巴巴支付宝方面的研发人员告诉记者，“在 Android 手机上，通过获取‘打开 WLAN 和数据开关’的权限，帮助用户实现免密认证，这个方法是可行的。但是未来 Android 手机的权限管理一定会越来越严格，这种做法终究不是用长久之计。”

“未来当 VoLTE 普及之后，所有语音和短信都是通过 IP 协议进行数据交换，那么我们可以将‘免密认证’需要的数据通过 VoLTE 通道进行传输。这样即便是用户关闭移动数据网络，或者使用 WLAN 上网，我们都能通过VoTLE及 SIM 卡证书获取其对应的身份。”中国电信综合平台开发运营中心陈献青告诉记者。

对于双卡双待用户而言，实现免密认证也会造成一定的麻烦——因为免密认证需要通过运营商数据实现。如果用户是通过主卡进行“数据上网”，那么免密认证仅能识别主卡的身份。如果需要获取副卡的身份，就需要用户将“数据上网”为切换到副卡。而且，即便是 VoLTE 普及开来，一台手机也只有一张 SIM 卡支持 VoLTE，用户还是需要进行手动切换。

总而言之，免密认证的方式减少许多身份校验带来的麻烦，提升用户账户的安全性。小米账户方面的负责人表示，他们正在一些小项目上开始试点抛弃传统密码，让用户直接通过免密认证的方式进行登录。基于用户行为，小米对于每一个账户都进行了用户画像，这样即便是用户无法进行免密认证，他们也能通过二次身份验证找回自己的账号。

不过，无论是哪一种身份校验方式都无法防止“熟人作案”。试想一下，你的男/女朋友对你的一切习惯了若指掌（前提是你有对象），TA想要通过“二次身份验证”易如反掌。

就这一层面而言，果然还是要有一个传统密码。

（来源：钛媒体）