CALLVERIFID是phonefactor提供的一种简单,安全,基于电话的双重(账户密码+电话确认)身份验证解决方案。

今天玩myopenid的时候碰到的,在这里的使用验证级别较低,操作比较简单,只要按照语音提示,按下手机上的 # 号键确认身份即可。速度挺快,几乎是一瞬间,页面上就提示登录成功了。这和国内的使用短信来认证有些相似,但是更加简单方便。短信的己输入相对麻烦。二来产生通信费(一般是0.1元,视运营商而定)。而接电话大家都会,免费,省心。一般的验证过程只需接通,按#号,挂掉即可。

虽然对于账号所有者来说是再简单不过的操作,对于窃取了你的账户密码的攻击者却不然,因为账户密码验证成功后却无法通过手机验证,前提是手机在你手上。账户资料被窃取,同时手机也落攻击者手里我想这样的情况还是比较少的吧。

当然,phonefactor还提供了完善而强大的认证功能对应不同的水准的安全需求,比如你可以设置PIN码,这样验证电话里就不仅仅是按#键,而是先输入PIN码再按#号键;这样就可确保万无一失啦。

双重身份验证需要同时拥有“你知道的”和“你所拥有的”两个条件。 “你知道的东西”,是传统的现有用户名和密码,而“你拥有的东西”则指你用于验证的手机。二者缺一不可。

可以看出,双重身份验证的实现是依托现有的比较完善电话线路资源来完成对网络账户的身份验证,所以也应该不存在覆盖率的问题了,并且在美国外的30个国家(包括中国)都可以提供服务,个人还是蛮看好这项技术发展前景的

PS:今天的新闻《Google 推出两步验证登录机制》中的两步验证登录机制也大致相同。