美国四大电信商AT&T、Sprint、T-Mobile和Verizon结盟,联手提出了验证计划(Project Verify), 提供移动身份验证方法,让用户可以直接使用手机登录应用程序和网站,不再需要输入另外的密码,另外,也可作为短信或是实体安全密钥等多因素验证方法的替代方案。不过,电子前线基金会(Electronic Frontier Foundation,EFF)却抨击,此举不安全且影响用户隐私。
为了方便,不少服务都使用单一登录(SSO)服务,使用脸书或是Google等帐号登录,作为个别服务使用各自密码的替代方案。而移动身份验证也属于单一登录方法,用户要申请网站或是应用程序帐号时,可以不需要注册额外的帐号密码,登录程序也会方便许多。
EFF表示,移动身份验证存在安全和隐私问题,移动设备友善的安全性以及身份验证研究显示,登录方法最好是开放且独立于供应商或是平台,必须让用户可以完全控制自己的身份。 EFF抨击,验证计划的推手是主动想要废除网络中立法案,并使用Supercookies或是帮助NSA监控用户的电信企业。
移动验证计划会使用五种数据来识别用户,电话号码、帐户使用权、帐户类型、SIM卡详细消息和IP地址,其中最值得关注的数据便是电话号码和IP地址。 EFF认为关联帐号和电话号码为用户带来许多问题,除了包含短信验证方法带来的钓鱼攻击之外,常看到的攻击手法,还有黑客可以联系电信企业,以丢失或是破损等各种理由要求电信商重发SIM卡,在原用户手上的SIM卡被停用后,黑客就能入侵用户基于移动验证的各种服务。
另外,现在有许多防止移动设备关注的方法,包括EFF自家的Privacy Badger、Android上的匿名网络应用Tor,到iOS上的Safari反关注功能,都是用来帮助用户保护隐私,但使用移动身份验证便可能让这些防护失效。
即便以匿名网络Tor或是VPN等保护措施,用户的IP地址仍然会提供电信企业或是网站运营商相当多的信息。使用移动身份验证登录的第三方应用程序或是网站必须要和电信企业连接,电信企业则可以完全关注,并且销售用户的数据。
基于安全以及隐私原因,EFF并不支持用户使用移动身份验证,而他们一直以来推荐的方法,便是使用密码管理器来创建和管理强密码。