电信“天翼账号”服务流程的安全性审计

　　我们注册一个手机应用时，如果需要实名，通常会有两种方式。一是采用手机号+短信验证码的方式，默认手机号都是实名的，也是本人使用的。输入手机号，然后平台给手机号发送一个验证码，用户收到短信后，在短时间内输入验证码（如100秒），验证无误，就算实名了。二是利用第三方平台提供的账号共享功能登陆，如微博、微信等。这种手段相对便捷，不仅把号码实名认证交给了第三方，实际也把用户信息交给了第三方，甚至竞争对手。与上述两种方式不同，中国电信开发的“天翼账号”采用了“手机号+移动网关“的方式提供实名登陆认证。用户无需输入密码，就可以完成实名认证、注册和登陆。

　　这种做法的优点是：

　　1、速度更快。无需等验证码，系统可直接调取相关数据进行匹配验证，用户注册时间可大幅缩短，由于无需输入密码，登陆时间也缩短了。

　　2、安全性更高。注册时无需通过短信发送验证码，登陆时无需反复输入密码（也无需记忆），无需通过第三方平台的账号信息登陆，系统可在封闭的环境下完成匹配验证。

　　3、更易合作。由于用户本就需要使用手机，在手机上登陆应用，因此通过“天翼账号”登陆或认证，手机应用并不需要新向更多其他应用平台提供用户信息，因此不会影响合作。

　　4、方便用户。用户可以方便地在多个应用之间跳转，应用切换时间缩短，提升用户的使用满意度感知。

　　5、与中国电信的电信服务能力、翼支付、云服务等打通，可为合作企业提供全方位的大数据服务。

　　“天翼账号”安全性如何，这里从以下几个角度加以分析：

　　1、注册/登陆过程安全性分析。

　　天翼账号，无需输入密码，无需验证码，就可完成登陆，并可进入不同应用，大大方便了用户。但这并没有降低安全性。与“手机号+验证码”方式相比，减少了信息外露环节，系统认证完全在一个封闭的环境中进行，大大增强了安全性。

　　2、使用过程安全性分析。

　　“天翼账号”实现了拥有手机（并没有更换SIM），就可以自由使用多个应用。目前各互联网应用采用模式是一次登陆后，手机保留用户名、登陆密码，一段时间可自动登陆。这两种模式，除了手机本地保存密码外，在安全性上相似。但没有了手机本地保存密码，避免了密码泄露风险，消除了他人盗用用户名、密码登陆的可能，从这个角度看，安全性有明显提升。

　　3、手机丢失风险分析。

　　手机丢失带来的安全风险增加，这使得手机开机密码（或需通过指纹、虹膜、图形等开机）成为必需。设置一个更安全的密码，且不被他人知道，显得更为重要。此外，与其他方式相比，手机丢失后，“天翼账号”使用的手机号注销，多个关联应用都不能登陆，这有利于减少账号被盗损失。

　　总体来看，“天翼账号”在提高便利性的同时，安全性不但没有降低，还有明显提高。需要注意的是，“天翼账号”也有一个小缺陷。“天翼账号”在提高安全性的同时，锁定了手机号和手机，这可能对用户的一些特殊需求造成一定的影响，如一个手机登陆两个微信，两个手机登陆同一个微博，实现起来就变得困难了。