賬戶安全,產(chǎn)品經(jīng)理的必修課

10 評(píng)論 15404 瀏覽 128 收藏 7 分鐘

做一個(gè)產(chǎn)品,注冊(cè)登錄是必需的,但是你是否考慮過(guò)賬戶安全呢?

最近一直在做賬戶安全的需求,但在調(diào)研時(shí)發(fā)現(xiàn),資料很少。于是只好邊做邊總結(jié)。在互聯(lián)網(wǎng)產(chǎn)品中,賬戶是最最基本的功能,太常見(jiàn)了,常見(jiàn)到被我們忽略。我們理所當(dāng)然覺(jué)得,做一個(gè)產(chǎn)品,注冊(cè)登錄是必需的,可能很少會(huì)去想,為什么要有一個(gè)賬戶?賬戶的作用到底是什么?我們用戶的賬戶夠安全么?

賬戶,有必要么?

每次用個(gè)產(chǎn)品(網(wǎng)站、桌面客戶端、APP、后臺(tái)系統(tǒng)等)還要先注冊(cè)、填寫(xiě)表單、登錄,真麻煩,能省去這個(gè)步驟么?如果你用的產(chǎn)品是個(gè)免費(fèi)的工具,其實(shí)是沒(méi)什么問(wèn)題的,因?yàn)槊總€(gè)人使用的都是相同的本地功能,且彼此之間毫無(wú)瓜葛。

但假設(shè),這個(gè)工具有高級(jí)的付費(fèi)功能,情況就不一樣了。我們需要讓服務(wù)端知道,哪些人是免費(fèi)用戶,哪些人是付費(fèi)用戶,并向付費(fèi)用戶收費(fèi),然后開(kāi)放高級(jí)權(quán)限。為了讓服務(wù)端知道誰(shuí)是誰(shuí),誰(shuí)有什么特征,誰(shuí)能干什么,誰(shuí)不能干什么,于是有了賬戶的概念。

在互聯(lián)網(wǎng)的世界中,一個(gè)個(gè)賬戶就好像一座座房子,注冊(cè)就是建房子,賬號(hào)是門牌號(hào),密碼是鎖,登錄就是開(kāi)門。

在付費(fèi)類的工具產(chǎn)品中,免費(fèi)用戶可能只打得開(kāi)一兩間房子,而對(duì)于付費(fèi)用戶,他們能解鎖這座房子的所有房間。

在即時(shí)通信類產(chǎn)品中,房子存儲(chǔ)了你的個(gè)人資料,聊天記錄,以及關(guān)系鏈。別人想獲得進(jìn)入你房子參觀、與你交談的權(quán)利,需要事先征得你的同意。

在網(wǎng)游中,房子就是你,你就是房子。人民幣玩家可能手一揮買下一套大豪宅,而你仍在為小戶型的裝修費(fèi)通宵刷副本。

從功能性的角度來(lái)看,賬戶是用戶權(quán)限的標(biāo)識(shí),存儲(chǔ)用戶信息的空間,甚至是用戶的代表。而從技術(shù)性的角度看,賬戶就是以u(píng)serID為主鍵的一大串?dāng)?shù)據(jù)表記錄

好了,進(jìn)入正題,花費(fèi)這么多步驟,辛辛苦苦建好的房子,防盜工作如何開(kāi)展?

驗(yàn)證開(kāi)門的你是誰(shuí)?

有時(shí)候找到門牌號(hào)來(lái)開(kāi)門的人很多,魚(yú)龍混雜,而我們只準(zhǔn)主人進(jìn)入房子。那么問(wèn)題來(lái)了,如何驗(yàn)證你是房子的主人?方式有很多:

  1. 密碼:能用鑰匙打開(kāi)門的就是主人
  2. 驗(yàn)證碼:增設(shè)一道門,并給出一把臨時(shí)的鑰匙,能用臨時(shí)鑰匙開(kāi)門的就是主人
  3. 手勢(shì)密碼:能用手比劃出規(guī)定動(dòng)作,就是主人
  4. 密保問(wèn)題、購(gòu)買記錄:記得問(wèn)題的答案,或者主人曾經(jīng)的所作所為,就是真正的主人
  5. 身份證號(hào)、銀行卡信息:能說(shuō)出身份證號(hào)或銀行卡信息,就是真正的主人
  6. 指紋識(shí)別、聲紋識(shí)別或刷臉識(shí)別:指紋、聲紋或臉型匹配的話,就是真正的主人

無(wú)論采用哪種方式,驗(yàn)證信息都需要在建房子的時(shí)候就做進(jìn)去,不然,你拿什么來(lái)驗(yàn)證?

對(duì)于最后一種方式,由于每個(gè)人的指紋、聲紋與臉型都是獨(dú)一無(wú)二的,而且?guī)缀鯚o(wú)法復(fù)制。。??梢哉f(shuō)安全性相當(dāng)高。但由于技術(shù)限制等原因,目前大多數(shù)產(chǎn)品仍采用前幾種方式,或前幾種方式的組合,來(lái)保護(hù)賬戶。

如何保護(hù)賬戶安全?

1、阻止異常登錄

增加密碼復(fù)雜度:

注冊(cè)設(shè)置密碼,至少6位,英文+數(shù)字組合,英文必須有大小寫(xiě),等等。鑰匙的棱棱角角多了,自然很難復(fù)制,不容易被盜取。

登錄頻次限制:

短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到一定量,再次登錄,則增設(shè)方式2,通過(guò)填寫(xiě)圖片驗(yàn)證碼或短信驗(yàn)證碼,防止賬號(hào)密碼被暴力驗(yàn)證。

短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到安全閥值時(shí)(如密碼錯(cuò)誤5次),則對(duì)賬戶予以暫時(shí)凍結(jié),凍結(jié)期結(jié)束再開(kāi)放登錄操作。如下圖所示:

登錄設(shè)備更換限制:

賬戶與設(shè)備號(hào)綁定。每次登錄檢測(cè)與賬戶綁定的設(shè)備號(hào),如果是一臺(tái)新的設(shè)備,則增設(shè)一道驗(yàn)證方式。如下圖所示:

登錄IP變更限制:

每次登錄檢測(cè)IP地址,如果檢測(cè)到新的IP地址,則增設(shè)一道驗(yàn)證方式。

2、知會(huì)用戶

檢測(cè)到異常登錄情況時(shí),通過(guò)APP全局彈窗、短信、push或郵件等方式知會(huì)用戶,并提示接下來(lái)的步驟,一般都會(huì)提示用戶重置密碼,更新密保信息等。如下圖所示:

有人可能擔(dān)心,一道道的安全驗(yàn)證,會(huì)不會(huì)影響到操作上的體驗(yàn)?

在賬戶安全的問(wèn)題上,絕不能因?yàn)樗^的操作流暢性就降低安全標(biāo)準(zhǔn)。尤其是對(duì)于賬戶安全要求很高的產(chǎn)品,寧可讓用戶多做幾步驗(yàn)證,最大程度地確保驗(yàn)證的準(zhǔn)確性。

在交互上,用戶會(huì)存在操作負(fù)擔(dān)與認(rèn)知負(fù)擔(dān),減少認(rèn)知負(fù)擔(dān)的優(yōu)先級(jí)理應(yīng)高于減少操作負(fù)擔(dān)。如果因?yàn)闇p少操作負(fù)擔(dān),造成了賬戶安全問(wèn)題,極大地增加了用戶的認(rèn)知負(fù)擔(dān),是非常得不償失的行為。

 

本文由 @?岸泥 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉(zhuǎn)載。

題圖來(lái)自PEXELS,基于CC0協(xié)議

更多精彩內(nèi)容,請(qǐng)關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號(hào)或下載App
產(chǎn)品微醺
微信公眾號(hào):產(chǎn)品微醺
6篇作品 68630總閱讀量
05-164023 瀏覽
從“小楊哥”出海,看海外電商環(huán)境
04-143967 瀏覽
數(shù)字產(chǎn)品經(jīng)理:數(shù)字化平臺(tái)搭建需要注意這5個(gè)關(guān)鍵點(diǎn)
03-154800 瀏覽
安卓14新版本上線,這個(gè)上億人使用的功能要沒(méi)了
07-042433 瀏覽
美團(tuán)落子泛娛樂(lè)
05-088355 瀏覽
一年半了,高德們那么拼,為什么還是干不過(guò)滴滴?
評(píng)論
評(píng)論請(qǐng)登錄

  1. 請(qǐng)教樓主,在判斷短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到安全閾值時(shí),是以賬號(hào)+登錄設(shè)備來(lái)判斷是否超過(guò)安全閾值,還是只以賬號(hào)判斷(包括不同設(shè)備之間的嘗試)?

    來(lái)自江蘇 回復(fù)

  2. 幫助很大,感謝原創(chuàng)!

    來(lái)自廣東 回復(fù)

  3. 厲害了,??

    回復(fù)

    1. 謝謝!

      來(lái)自浙江 回復(fù)

  4. 蟹蟹小伙伴,剛好用的到 ??

    來(lái)自北京 回復(fù)

    1. 哈哈,我的榮幸

      來(lái)自浙江 回復(fù)

    2. ??

      來(lái)自北京 回復(fù)

  5. 感覺(jué)應(yīng)該是帳號(hào) 帳戶

    來(lái)自廣東 回復(fù)

    1. 恰恰不是。

      來(lái)自北京 回復(fù)

    2. 賬戶是一個(gè)綜合性的概念,賬號(hào)就是比較具體的登錄名/用戶名/手機(jī)號(hào)/郵箱等。從關(guān)系上來(lái)說(shuō),賬號(hào)是從屬于賬戶的。

      回復(fù)