关于系统中账号注册登录的一些想法

很诧异，突然一条12306订票信息发过来，名字XXX，但是我并不认识，首先就是猜想自己手机号码合法身份被盗用了，后来就是上一任机主遗留产物并没有解绑此手机号码。

本想通过12306官网使用手机验证码或是忘记密码方式看看谁搞鬼，没想到不能直接通过手机验证码登录且忘记密码不能直接通过手机验证码登录，必须输入证件号。所以只能通过致电12306人工客服后，成功解绑XXX，并绑定个人身份后，客服表示这是上任机主未更新手机号码导致的情况，之后不会收到此类信息。

而这个经历让我想到了，在互联网上的网站好似手机号码就是代表一切，且能够正确输入验证码就说明此人是此人了（当然，这里在很多情况下是成立的）。如果这是我设计的系统，会不会就让下一任机主随意登录并查看系统中的任何信息了？首先通过手机号码绑定当前身份，但是换了手机号码后并没有解绑当前手机号码，或者说忘记有注册此网站。那么下一任机主在拥有此号码的情况下可能就可以直接通过验证码来修改密码或者是验证码直接登录，那么上一任机主的信息将会被一览无遗，想想也是挺有道理，也是后怕的。

所以，我想了一下，12306的做法是不是就比较好呢？是的，相对的来说，这种做法比起直接通过验证码判断是好的做法。多一步注册时强制实名后忘记密码再输入证件号的验证确实多了一重保障，这是绝对安全的吗？不能太绝对。

还有，现在指纹等认证大行其道，我不清楚会不会手机遗失情况，被非法采集屏幕上指纹且通过指纹验证，很难说，我也不清楚。。

看来个人身份安全保障工作还有很长的路要走。