V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
HiCode
V2EX  ›  全球工单系统

抖音的实名认证有大 bug?

  •  
  •   HiCode · 2023-03-21 13:25:05 +08:00 · 2255 次点击
    这是一个创建于 648 天前的主题,其中的信息可能已经有所发展或是发生改变。

    朋友的实名身份在抖音上被冒用了,然后申请注销对方帐号。

    对方居然能够不通过人脸识别,直接停止注销进程。

    查过新闻,2020 年时已经有人遇到同样问题,没想到 2023 年还能再次遇到。

    抖音的人脸识别功能是存在 bug 被绕开了吗?

    18 条回复    2023-03-22 15:31:14 +08:00
    lambdaq
        1
    lambdaq  
       2023-03-21 13:35:50 +08:00
    注销进程是什么进程? pid 多少?
    god7d
        2
    god7d  
       2023-03-21 13:36:32 +08:00
    我也很好奇,qq 邮箱每次登录必输验证码,结果被盗后在鹅螺丝却可以直接登录了……
    paradoxs
        3
    paradoxs  
       2023-03-21 13:37:41 +08:00
    1L 是 gpt 回复吗, 这都看不懂?
    mmxq
        4
    mmxq  
       2023-03-21 13:41:25 +08:00
    @paradoxs 肯定不是,估计抖个机灵。ChatGPT 不会反问。😂
    nothingistrue
        5
    nothingistrue  
       2023-03-21 14:33:13 +08:00
    当初实名认证过程可能有问题,但现在这个处理过程是没 BUG 的,对于已经实名认证过的用户,控制权理所当然是当前用户的,他可以不需要任何附加措施就终止第三方用户的注销过程。

    不要太看重人脸,这玩意泄露了会引起很大的问题,但当它用作账户认证的时候,就没屁大作用了。目前它能正常发挥作用的,就两个地方,一个是当作客户端 PIN ( Windows Hello ,Apple Face ID 等),这种是纯客户端认证,登记和认证过程都不与服务器沟通(这里仅认证 PIN ,至于使用 PIN 的服务自己的账户认证,那根人脸识别无关,有服务自行认证)。另一个是当作难以伪造的数字签名,典型的就是支付宝,不管你账户情况是啥,一遇到敏感操作就要人脸留底。至于把人脸当作普通账户登录认证的情况,例如支付宝刷脸支付,这是一种沙雕使用行为,与客户端 PIN 不同的是,这是直接拿人脸当动态密码去做联网认证了,超级不安全。
    HiCode
        6
    HiCode  
    OP
       2023-03-21 14:42:23 +08:00
    @nothingistrue 现在的问题在于:

    我的朋友,通过人脸识别后,申请注销对方帐号;

    冒用者,在不通过人脸识别的情况下,可以停止这个注销流程。

    双方进入了拉锯战,冒用者可以一直停止注销,冒用身份问题无法解决。
    nothingistrue
        7
    nothingistrue  
       2023-03-21 16:01:30 +08:00
    我的朋友,通过人脸识别后,申请注销对方帐号;

    冒用者,在不通过人脸识别的情况下,可以停止这个注销流程。

    双方进入了拉锯战,冒用者可以一直停止注销,冒用身份问题无法解决。
    0TSH60F7J2rVkg8t
        8
    0TSH60F7J2rVkg8t  
       2023-03-21 16:05:01 +08:00
    楼上为何会重复楼上上的内容?好奇怪
    nothingistrue
        9
    nothingistrue  
       2023-03-21 16:11:07 +08:00   ❤️ 1
    我的朋友,通过人脸识别后,申请注销对方帐号;
    > 这仅代表你的朋友,实名去申请注销,目前并不属于他的账号。

    冒用者,在不通过人脸识别的情况下,可以停止这个注销流程。
    > 对于第三方来说,在正式仲裁前,你所谓的冒用者,才是账户所有者,你的朋友是入侵方,这时候自然是账户所有者可以随意的终止入侵。

    双方进入了拉锯战,冒用者可以一直停止注销,冒用身份问题无法解决。
    > 这个并不会进入拉锯战,当你的朋友无法提供更多能证明账号所有权的证据后,申请几次之后,就会被判定为恶意攻击者,而被禁止再申请注销——那个人脸,就是并且只是用在这里的,压根不是用来证明账号所有权的。
    nothingistrue
        10
    nothingistrue  
       2023-03-21 16:11:49 +08:00
    @ahhui #8 因为用了 Ctrl + Enter 来换行
    renmu
        11
    renmu  
       2023-03-21 16:12:40 +08:00 via Android
    其实就是注销这个动作比较敏感需要人脸,取消注销产品再高兴不过,要什么人脸门槛。
    产品就没考虑到你的这个场景。
    直接找客服去处理呗
    zhlxsh
        12
    zhlxsh  
       2023-03-21 16:14:37 +08:00 via iPhone
    1l 是文一言心,断句都错了

    ps 感觉百度这玩意都把文心雕龙名字玷污了,刘家后人能不能起诉百度
    zhlxsh
        13
    zhlxsh  
       2023-03-21 16:15:18 +08:00 via iPhone
    @zhlxsh 以后叫他百度一言堂好了
    Devilker
        14
    Devilker  
       2023-03-21 16:31:26 +08:00
    我的名字 无法保存在 抖音的签名上 /dog ,因为跟 49 年开国大典 C 位当时为了躲避起的另外一个名字 同名
    HiCode
        15
    HiCode  
    OP
       2023-03-21 22:24:24 +08:00
    @nothingistrue 你这个回复有一个问题:

    我朋友是人脸识别后,抖音认定他该身份证的所有者,然后告知我朋友,他的身份证已在其他账号上认证过。

    并且,抖音允许我朋友注销冒用者的帐号。

    到这里,抖音是认可我朋友对该“身份证”的所有的。

    冒用者如果想要回他原来的帐号,抖音应该允许他 A 通过“人脸识别”拿回身份,或者允许他 B 使用其他身份进行认证。

    在上述 A 方案中,冒用者明显没有办法通过“人脸识别”拿回身份,但还是拿到了。

    这就是抖音的问题所在。
    JoshuaBen
        16
    JoshuaBen  
       2023-03-22 14:23:43 +08:00
    同学,方便提供下具体信息吗?
    JoshuaBen
        17
    JoshuaBen  
       2023-03-22 14:27:02 +08:00
    如果方便的话,我把这个链接发给抖音的 oncall 给你看下?
    HiCode
        18
    HiCode  
    OP
       2023-03-22 15:31:14 +08:00
    @chengliangben

    base64 编码后的微信号

    Q1lhbmhhaQ==
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1006 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:25 · PVG 07:25 · LAX 15:25 · JFK 18:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.