最近一直在做賬戶安全的需求谅辣,但在調(diào)研時(shí)發(fā)現(xiàn)修赞,資料很少婶恼。于是只好邊做邊總結(jié)桑阶。在互聯(lián)網(wǎng)產(chǎn)品中,賬戶是最最基本的功能勾邦,太常見了蚣录,常見到被我們忽略。我們理所當(dāng)然覺得眷篇,做一個(gè)產(chǎn)品萎河,注冊(cè)登錄是必需的,可能很少會(huì)去想蕉饼,為什么要有一個(gè)賬戶虐杯?賬戶的作用到底是什么?我們用戶的賬戶夠安全么昧港?
賬戶擎椰,有必要么?
每次用個(gè)產(chǎn)品(網(wǎng)站创肥、桌面客戶端达舒、APP、后臺(tái)系統(tǒng)等)還要先注冊(cè)叹侄、填寫表單巩搏、登錄,真麻煩趾代,能省去這個(gè)步驟么贯底?如果你用的產(chǎn)品是個(gè)免費(fèi)的工具,其實(shí)是沒什么問題的撒强,因?yàn)槊總€(gè)人使用的都是相同的本地功能禽捆,且彼此之間毫無瓜葛。
但假設(shè)尿褪,這個(gè)工具有高級(jí)的付費(fèi)功能睦擂,情況就不一樣了。我們需要讓服務(wù)端知道杖玲,哪些人是免費(fèi)用戶顿仇,哪些人是付費(fèi)用戶,并向付費(fèi)用戶收費(fèi),然后開放高級(jí)權(quán)限臼闻。為了讓服務(wù)端知道誰是誰鸿吆,誰有什么特征,誰能干什么述呐,誰不能干什么惩淳,于是有了賬戶的概念奖亚。
在互聯(lián)網(wǎng)的世界中婴谱,一個(gè)個(gè)賬戶就好像一座座房子,注冊(cè)就是建房子歉摧,賬號(hào)是門牌號(hào)进肯,密碼是鎖激蹲,登錄就是開門。
在付費(fèi)類的工具產(chǎn)品中江掩,免費(fèi)用戶可能只打得開一兩間房子学辱,而對(duì)于付費(fèi)用戶,他們能解鎖這座房子的所有房間环形。
在即時(shí)通信類產(chǎn)品中策泣,房子存儲(chǔ)了你的個(gè)人資料,聊天記錄抬吟,以及關(guān)系鏈萨咕。別人想獲得進(jìn)入你房子參觀、與你交談的權(quán)利拗军,需要事先征得你的同意任洞。
在網(wǎng)游中,房子就是你发侵,你就是房子交掏。人民幣玩家可能手一揮買下一套大豪宅,而你仍在為小戶型的裝修費(fèi)通宵刷副本刃鳄。
從功能性的角度來看盅弛,賬戶是用戶權(quán)限的標(biāo)識(shí),存儲(chǔ)用戶信息的空間叔锐,甚至是用戶的代表挪鹏。而從技術(shù)性的角度看,賬戶就是以u(píng)serID為主鍵的一大串?dāng)?shù)據(jù)表記錄
好了愉烙,進(jìn)入正題讨盒,花費(fèi)這么多步驟,辛辛苦苦建好的房子步责,防盜工作如何開展返顺?
驗(yàn)證開門的你是誰禀苦?
有時(shí)候找到門牌號(hào)來開門的人很多,魚龍混雜遂鹊,而我們只準(zhǔn)主人進(jìn)入房子振乏。那么問題來了,如何驗(yàn)證你是房子的主人秉扑?方式有很多
1慧邮、密碼:能用鑰匙打開門的就是主人
2、驗(yàn)證碼:增設(shè)一道門舟陆,并給出一把臨時(shí)的鑰匙误澳,能用臨時(shí)鑰匙開門的就是主人
3、手勢(shì)密碼:能用手比劃出規(guī)定動(dòng)作吨娜,就是主人
4脓匿、密保問題、購買記錄:記得問題的答案宦赠,或者主人曾經(jīng)的所作所為,就是真正的主人
5米母、身份證號(hào)勾扭、銀行卡信息:能說出身份證號(hào)或銀行卡信息,就是真正的主人
6铁瞒、指紋識(shí)別妙色、聲紋識(shí)別或刷臉識(shí)別:指紋、聲紋或臉型匹配的話慧耍,就是真正的主人
無論采用哪種方式身辨,驗(yàn)證信息都需要在建房子的時(shí)候就做進(jìn)去,不然芍碧,你拿什么來驗(yàn)證煌珊?
對(duì)于最后一種方式,由于每個(gè)人的指紋泌豆、聲紋與臉型都是獨(dú)一無二的定庵,而且?guī)缀鯚o法復(fù)制。踪危。蔬浙。可以說安全性相當(dāng)高贞远。但由于技術(shù)限制等原因畴博,目前大多數(shù)產(chǎn)品仍采用前幾種方式,或前幾種方式的組合蓝仲,來保護(hù)賬戶俱病。
如何保護(hù)賬戶安全蜜唾?
1、阻止異常登錄
增加密碼復(fù)雜度:
注冊(cè)設(shè)置密碼庶艾,至少6位袁余,英文+數(shù)字組合,英文必須有大小寫咱揍,等等颖榜。鑰匙的棱棱角角多了,自然很難復(fù)制煤裙,不容易被盜取掩完。
登錄頻次限制:
短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到一定量,再次登錄硼砰,則增設(shè)方式2且蓬,通過填寫圖片驗(yàn)證碼或短信驗(yàn)證碼,防止賬號(hào)密碼被暴力驗(yàn)證题翰。
短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到安全閥值時(shí)(如密碼錯(cuò)誤5次)恶阴,則對(duì)賬戶予以暫時(shí)凍結(jié),凍結(jié)期結(jié)束再開放登錄操作豹障。如下圖所示
登錄設(shè)備更換限制:
賬戶與設(shè)備號(hào)綁定冯事。每次登錄檢測(cè)與賬戶綁定的設(shè)備號(hào),如果是一臺(tái)新的設(shè)備血公,則增設(shè)一道驗(yàn)證方式昵仅。如下圖所示
登錄IP變更限制:
每次登錄檢測(cè)IP地址,如果檢測(cè)到新的IP地址累魔,則增設(shè)一道驗(yàn)證方式摔笤。
2、知會(huì)用戶
檢測(cè)到異常登錄情況時(shí)垦写,通過APP全局彈窗吕世、短信、push或郵件等方式知會(huì)用戶梯澜,并提示接下來的步驟寞冯,一般都會(huì)提示用戶重置密碼,更新密保信息等晚伙。如下圖所示
有人可能擔(dān)心吮龄,一道道的安全驗(yàn)證,會(huì)不會(huì)影響到操作上的體驗(yàn)咆疗?
在賬戶安全的問題上漓帚,絕不能因?yàn)樗^的操作流暢性就降低安全標(biāo)準(zhǔn)。尤其是對(duì)于賬戶安全要求很高的產(chǎn)品午磁,寧可讓用戶多做幾步驗(yàn)證尝抖,最大程度地確保驗(yàn)證的準(zhǔn)確性毡们。
在交互上,用戶會(huì)存在操作負(fù)擔(dān)與認(rèn)知負(fù)擔(dān)昧辽,減少認(rèn)知負(fù)擔(dān)的優(yōu)先級(jí)理應(yīng)高于減少操作負(fù)擔(dān)衙熔。如果因?yàn)闇p少操作負(fù)擔(dān),造成了賬戶安全問題搅荞,極大地增加了用戶的認(rèn)知負(fù)擔(dān)红氯,是非常得不償失的行為。