关于系统中帐号注册登陆的一些想法

很诧异，忽然一条12306订票信息发过来，名字XXX，可是我并不认识，首先就是猜测本身手机号码合法身份被盗用了，后来就是上一任机主遗留产物并无解绑此手机号码。

本想经过12306官网使用手机验证码或是忘记密码方式看看谁搞鬼，没想到不能直接经过手机验证码登陆且忘记密码不能直接经过手机验证码登陆，必须输入证件号。因此只能经过致电12306人工客服后，成功解绑XXX，并绑定我的身份后，客服表示这是上任机主未更新手机号码致使的状况，以后不会收到此类信息。

而这个经历让我想到了，在互联网上的网站好似手机号码就是表明一切，且可以正确输入验证码就说明此人是此人了（固然，这里在不少状况下是成立的）。若是这是我设计的系统，会不会就让下一任机主随意登陆并查看系统中的任何信息了？首先经过手机号码绑定当前身份，可是换了手机号码后并无解绑当前手机号码，或者说忘记有注册此网站。那么下一任机主在拥有此号码的状况下可能就能够直接经过验证码来修改密码或者是验证码直接登陆，那么上一任机主的信息将会被一览无遗，想一想也是挺有道理，也是后怕的。

因此，我想了一下，12306的作法是否是就比较好呢？是的，相对的来讲，这种作法比起直接经过验证码判断是好的作法。多一步注册时强制实名后忘记密码再输入证件号的验证确实多了一重保障，这是绝对安全的吗？不能太绝对，人心险恶，身边亲朋99.99%都不会害你，那不能保证0.01%不会？

还有，如今指纹等认证大行其道，我不清楚会不会手机遗失状况，被非法采集屏幕上指纹且经过指纹验证，很难说，我也不清楚。。

看来我的身份安全保障工做还有很长的路要走。