微信淘宝设计扫码登录的安全性？

扫码登录的安全性是建立在手机这一设备是安全的前提下的

因为 bat 不管怎么设计都是脑残的(手动斜眼)

支付宝手机上改密码*第 2 个号，有段时间没登录*
询问了过往收货地址和 Wi-Fi ssid ，这节奏是把手机当主要安全设备在使用（可想而知他们 app 那么多权限都干嘛去了），反正他们信任移动设备多过 pc 是没跑的了。

陈裕皓的回答
>“客户端有已经登陆的 cookie ”
客户端还是用 cookie 来验证 auth 就真呵呵了。

同意一楼的说法。我身边的人经常会互相玩别人的手机，所以扫码登录严重降低了安全性

扫码后，交换 cookie 来验证登录绝对是个错误做法，
这种方式 Replay attack 也很好介入

对于这个问题，由于我没有在手机安装阿里系 APP ，也没有绑定手机，所以一直有个疑问：
这个安全逻辑是否实际上就是建立在“手机 sim 卡由账户持有人安全控制”这一个基准上？(补充：不仅限于阿里，也包括其他公司的应用，当然也包含国外的)

以我所知
1.APP 是并非必须安装在 sim 卡所在设备的
2.APP 的“信任登录”建立在 sim 卡相关判断(例如手机号码)的绑定
所以，当“手机 sim 卡由账户持有人安全控制”这一个基准不成立时，持有 sim 卡的人可以在任意设备安装一个全新的 APP ，他可以通过 sim 卡相关号码的操作验证，把这个新装 APP 设置为“信任”，然后就可以完成前述的安全判断了

如果是这样，实际上“手机 sim 卡由账户持有人安全控制”这条准则才是最终核心，跟这个所有相关的操作方式只是形式不同，安全性是基本相同的

曾经在朋友圈发了个二维码，分分钟登到别人账号

真正目的是为了让你下载 APP 和提高打开率，唤醒全家桶

@ysdj 用的 qrLJacking （也就是 replay attack ） 么？

有一次在同事手机上登录支付宝并退出。
隔几天后，同事在手机上的第三方 App 里购买时，用了我的支付宝成功支付。
致电客服才知道，账户默认开启了小额免密。

客户端有 cookie 这思想很危险啊

淘宝既可以扫码登录，又可以输入密码登录，这完全是把风险扩大了，何来安全之说。

扫码安全说纯属扯谈， 就是阿里为了强推 app 的一个流氓行为， 只可惜再怎么耍流氓我都早把淘宝 app 卸载了

我认为是培养用户扫码习惯，有助于二维码的广泛推广。然而这是很脑残的设计。

没有扫码登录的时候是如果密码泄露，帐号被盗；有了扫码登录后是如果密码泄露，或者如果用户不慎（无论出于何种原因）扫了不该扫的二维码，帐号被盗。扫码登录更安全？

@sobigfish 有人误扫了而已

@sobigfish 难道怎么验证。。
web 端给二维码 一个页面。
手机端用 cookie 打开页面认证完毕后点击是否允许，允许后电脑端登录。
就那么简单

@lslqtz sqrl.pl/guide/ 这个比较全面点，（ app 本身 auth 授权用 token 安全过 cookie)

越来越多的产品会采用手机端验证的方案的， Mac 上的 Apple Pay 也采用了手机验证的方案。

QRLJacking ：如何劫持快速登陆时使用的二维码
http://www.freebuf.com/articles/web/110510.html

我差点都忘了昨天晚上在 V2EX 上发了这么个帖子了……

刚刚关于这个问题写了篇长文，各位有兴趣的话可以去看看：
我的博客： https://abcdabcd987.com/qrcode-login/
或者知乎： https://www.zhihu.com/question/46822051/answer/126854559