關於系統中帳號註冊登陸的一些想法

很詫異，忽然一條12306訂票信息發過來，名字XXX，可是我並不認識，首先就是猜測本身手機號碼合法身份被盜用了，後來就是上一任機主遺留產物並無解綁此手機號碼。

本想經過12306官網使用手機驗證碼或是忘記密碼方式看看誰搞鬼，沒想到不能直接經過手機驗證碼登陸且忘記密碼不能直接經過手機驗證碼登陸，必須輸入證件號。因此只能經過致電12306人工客服後，成功解綁XXX，並綁定我的身份後，客服表示這是上任機主未更新手機號碼致使的狀況，以後不會收到此類信息。

而這個經歷讓我想到了，在互聯網上的網站好似手機號碼就是表明一切，且可以正確輸入驗證碼就說明此人是此人了（固然，這裏在不少狀況下是成立的）。若是這是我設計的系統，會不會就讓下一任機主隨意登陸並查看系統中的任何信息了？首先經過手機號碼綁定當前身份，可是換了手機號碼後並無解綁當前手機號碼，或者說忘記有註冊此網站。那麼下一任機主在擁有此號碼的狀況下可能就能夠直接經過驗證碼來修改密碼或者是驗證碼直接登陸，那麼上一任機主的信息將會被一覽無遺，想一想也是挺有道理，也是後怕的。

因此，我想了一下，12306的作法是否是就比較好呢？是的，相對的來講，這種作法比起直接經過驗證碼判斷是好的作法。多一步註冊時強制實名後忘記密碼再輸入證件號的驗證確實多了一重保障，這是絕對安全的嗎？不能太絕對，人心險惡，身邊親朋99.99%都不會害你，那不能保證0.01%不會？

還有，如今指紋等認證大行其道，我不清楚會不會手機遺失狀況，被非法採集屏幕上指紋且經過指紋驗證，很難說，我也不清楚。。

看來我的身份安全保障工做還有很長的路要走。