很多应用都是手机号+验证码直接登录，怎么保证背后是同一个用户呢

lyft 用的方式是验证前任号主的邮箱，如果你没有对应邮箱那就过不了验证，只能开新号。

GitHub 跟微软的账户是手机+验证码+邮箱验证+实名验证（可选），我的老 GitHub 账号就这样找不回来了= =！

不保证就是了, 我见过国内某家(大~)公司/平台(他们圈内人这么称呼的)用手机号做唯一标识符的, 不一定是, 但是从外部来看, 就是用手机做标识符的, 还涉及擅自给用户注册账号的问题.
至于我怎么怎发现的, 那就是我实名认证的账号使用的手机号 A(保号不会注销的那种), 但是实名报名的赛事(使用的手机号 B(随时会丢但是目前主力联系号码)). 然后我的账号完全查询不到我的报名信息, 客服让我用报名用的手机号登录, 然后就看到了我过往所有的报名信息以及个人信息(此账号未实名认证), 我原本还没去看过报名信息, 以为他系统故障一直没修.
这个事情在很多软件平台都存在, 手机号直接登录, 不验证身份, 就我现在在用的手机号 B, 在刚开始启用的时候, 已经看到上任号主不少的个人信息了, 不过我都重新注册就是了.

换新设备、长期不登录多因素验证啊。。。微信和支付宝就是这样，要么老设备扫码、人脸识别、好友辅助等手段

就像楼上说的，app 的话可以锁定登录设备，网页的话就没办法了，所以各家干脆不要网页端或者网页端不支持登录算了。。

引申一个题外话, 各位的 SIM 一定要打开 PIN 码锁定, 防止手机丢了 SIM 卡被别人用了. 这应该是目前手机上最大的安全风险, 很多人都没有这个意识.

我个人感觉「仅凭手机号+验证码直接登录」，是互联网厂商为了降低用户登录/注册门槛而采取的妥协方案，似乎只有银行/微信/支付宝等比较重要的厂商，有动机做更严格的认证（如 #4 说的）。

小厂似乎没有动机为了小概率的「用户换手机/号码回收」，就主动提高全部用户登录的门槛。

作为用户能做的也就是 1尽量不要在登录认证比较简单（简陋）的小平台留存个人信息、2换手机号的时候尽量全面排查改绑旧手机号等等。

用户实名认证其实有不少不错的方案，硬要说的话，我觉得「国家网络身份认证」就算一个 但只要它还不是强制的（初次配置有一定的成本，不强制的话必定难以普及），那么众多厂商一定还是会长期使用手机短信一键登录。

并不能保证，昨天还在抖音看到有人办了张新手机卡，用手机号登录了网易云后，是歌手李玟的账号。

这本身是很蠢的一件事，其实经常能看到登录别人账号的情况，包括我自己都用自己的号码登录，发现是旧账号。

但是他确实很方便，只是一直没发生大事，所以就一直用这种方式。


等吧，等到有一天，出了大事，就会全面禁止了。

保证不了，我之前有个手机号 闲着没事我试了试能不能登录以前号主的社交平台，除了 vx 抖音 像什么快手这些都登录上了，一看是个精神小伙==

otp 令牌

前段时间开了一张副卡给家人用，谁知道那张副卡之前是被老赖使用的，各种信用卡的账单还有贷款公司的催缴短信和电话，让人头大，运营商的二次焕新功能也没用，还是不断有骚扰电话短信打来，无奈只能注销又重新办了张卡。

很蠢的政策造成的 没办法

多数产品压根不考虑这种情况，手机号 = 人，他才不关心这个人是不是同一个呢。

而且这种概率对于大多数中小厂而言，其实并不高，绝大多数产品的用户量都不到千万，而国内十多亿人，号码二次使用者正好还是你这个产品的受众，概率就更小了。

你买了一个注册过支付宝的手机号也登陆不了原来的支付宝。

最近办宽带，没有单宽带就办了个卡，然后天天有农行的短信通知多少钱进多少钱出

后面有次登陆滴滴，没注意登陆了宽带的手机号，发现是别人的账号

然后想着不是有二次换新的服务吗，试了下，看到给出的列表里面没有银行类的 app ，解不了

大家换手机号记得把银行卡等金融服务的关联解除了，不然陌生人天天看你账户的资金出入

今天的新闻，有网友用新手机号码注册了网易云音乐，手机号加验证码，结果进去一看，自己居然是“李玟”的官方帐户，收件箱里一堆纪念李玟的留言。

所有会用手机号加验证码登录的 app 都是傻逼，背后的产品经理是人渣。

所有没有意识到这种风险的人，为这种登录方式辩护的人，都是傻逼人渣。

建议大家多用国外号码注册国内服务，应对一下这些傻逼 app 和人渣产品经理。实在不行，就开个 8 块的小号，专门注册

浏览器有指纹数据。

很多 app 就是压根儿没考虑这个事，还没出足够恶劣的事件来推动这方面的进步罢了

因为在中国，不需要考虑这些。
国内短信验证码之所以被发明出来，就是因为工信部的互联网强制实名制。
v2 里应该有很多人经营过论坛或者交互式 app 。如果用户乱发东西，你服务器在国内备案的话，早期是直接到机房搬机器。这东西太麻烦，后期就改成，站长提供用户 ip 等信息来免罪。再后来就到了实名制，而国内通信也强制实名，所以这东西就结合起来的。短信验证就是网站站长和 app 出了事用来甩锅的，所以只要有就行。
如果不是强制实名制，我估计国内无论是站长还是 app 开发者都更乐意用户通过邮箱注册账户。

所有事情都要出恶劣的事情来推动进步，也是足够恶劣了

@tunggt 这跟实名制，手机注册还是邮箱注册有半毛钱关系？根本原因就是网易云的开发团队是一群蠢货！这是非常低级的技术问题！国内还有很多平台有这种情况，就看愿不愿意去改了。

现在有个码号平台（从运营商获取没用的手机号）的东西，对接后会把过期的手机号推送给你，然后你去解绑或者注销。

用手机号做唯一标识其实也行，在更重要的领域再做二次验证就行了，新主人如果需要使用这个手机号找客服解绑就完了。

最近换了手机，银行类，支付宝那些手机验证码登录后会要求人脸识别二次验证，普通 APP 就没有这层措施了

不用保证，

手机号码只是用户的凭证，不能代表用户身份，想保证是同一个用户（实名、邮箱等等）是有很多解决方案的。对网易云来说这个场景不是一个重要程度很高的需求，所以没做任何风控也是合理的。它的核心场景是听音乐，就算账号随着手机号丢了对大多数人的影响很小（损失了这个账号的歌单而已），李玟的账号它首先是一个普通账号，然后是认证为一个歌手，所以这个账号在登录/注册功能上没有什么区别，只不过是因为是名人的账号可能会带来不好影响（如落在不怀好意的人手里）

web3 交易所为了防止这个问题，一般都要双因素认证，手机号+Email ，可以通过 KYC 解绑验证方式。

@sfdev 不好意思，就是有关系，有个东西就公安备案，各地网监也要求所有 APP 实名制，如果不用手机号，请问怎么实名？？？每个 APP 都做一个人脸验证登录吗？？

@sfdev 备案： https://beian.mps.gov.cn/#/，里面有一条：《安全评估指引》，里面有一条：用户真实身份核验及注册信息留存措施，如果你用邮箱号：用户真实身份核验不通过，除非你禁止用 gmail ，只能用国内邮箱注册，可以把这个甩锅给 qq 邮箱和网易邮箱，哈哈哈哈哈，因为 gmail 不配合国内用户真实身份核验（姓名+身份证号）

同设备登录有设备指纹或者浏览器指纹，多端登录用可信设备做验证，运营引导用户实名，用户找回账号用身份证找回，手机号当令牌相当于把自己家钥匙亲手交给别人

网易云那个是有问题的，很明显验证漏洞。

没人说数字身份认证吗

@usVexMownCzar 谢谢你的提醒。农行换绑定的手机号不会同步更新短信通知的号码，我有个闲置了几年的卡前阵子才发现还在每个月扣 2 块钱短信通知费，全发到旧手机号上去了。这就去对线

没记错的话，早期都是邮箱验证的，然后手机号绑定是后来政策实名制要求。逐步发展到现在一个手机号一个账号。

这个主要是为了实名认证，而不是唯一用户。

这种东西不应该怪运营商吗？为什么要把手机号回收再给下一个人？你的身份证会被回收吗？

现在的应该网站都是手机号验证码就直接注册登录，本身就是有很大风险。我觉得应该加上设备验证，一旦换了设备，就要求验证实名信息

用手机登录
不等于
用手机作为 uid

至少小红书是不保证的, 新手机号注册登录,有好多历史的发帖记录