編輯導讀：相比于賬號密碼登錄，掃碼登錄和人臉識別登錄等登錄方式顯然更方便、快捷、靈活，在實際使用中也更受到用戶的歡迎。但為什么在實際APP設計中，賬號密碼登錄這種方式仍然還在使用呢？文章從賬號密碼登錄存在的問題出發，對這個問題進行了分析討論，與大家分享。

賬號密碼登錄已經是一種很常見的登錄方式了，這么多年，一直被延續了下來。新的登錄方式如掃碼登錄、人臉識別登錄等等不斷出現，但賬號密碼登錄的地位依舊屹立不倒。

有好奇寶寶問了這么一個問題：難道使用賬號密碼登錄，沒有漏洞嗎？

例如：用戶A，登錄時輸入了錯誤的賬號，而這個錯誤的賬號已被注冊，且這個錯誤賬號的密碼跟用戶A的密碼相同，那么不就造成誤登錄了嗎？

答案是肯定的，確實會造成誤登錄，賬號密碼登錄也確實存在漏洞。那么針對這一漏洞，平臺都是如何防范的？為什么賬號密碼登錄存在漏洞，卻依舊沒有被取代？

你思考過這些問題嗎？我們在天天問討論了這個話題，接著一起來解密~

【天天問每周精選】第124期：通過賬號密碼登錄是否存在漏洞？為什么允許通過賬號密碼登錄？

文章內容部分來源于@祖安產品人 @我不做程序員了 @北漂青年 @石硯 @Mr.杰 @kuera @尼開 @張思志 @一米二的柯基 @羅春明 @幸失 的精彩回答

一、賬號密碼登錄是否存在漏洞？

結論先行：賬號密碼登錄存在漏洞，但通過防范后，誤登錄發生的概率非常低。

對于問題中說的，錯輸密碼造成誤登錄，這個情況發生的概率非常低。除非用錯誤賬號和錯誤密碼同時去撞庫，才會有機會登錄成功。

更常見的是撞庫，即小明在各個網站都用一樣的賬號密碼，盜號者拿了A網站小明的盜號信息，去其他網站腳本嘗試登錄，并盜取虛擬財產。

這些情況從概率學的角度來說，確實都存在。但現在基本上大部分平臺，都會使用一定的風控機制。例如：

• 限定一定的密碼錯誤次數；
• 要求輸入驗證碼，以防止機器破解操作
• 常用地點/ip進行賬號密碼的驗證；如果是異地登錄/異常IP，需要進行二次驗證。

平臺能夠做到獲取手機終端的設備信息。常用登錄地、IP等，賬號一旦注冊登錄后，便可在后臺記錄相關信息。一旦使用新設備、IP不符，或者距離常用登錄地較遠時，可根據一定業務規則進行告警。

此時用戶在前端登錄時，需要驗證更多信息，如：手機號、郵箱、人臉等。

這樣一來，賬號密碼登錄被鉆空子的幾率較小。即使暴力破解，也應該有密碼錯誤次數驗證告警機制，從這一點上就更難被攻破了。

二、為什么「賬號密碼登錄」還沒被取代？

那么，既然賬號密碼登錄存在漏洞，又有新的登錄方式層出不窮，為什么賬號密碼登錄還沒有被取代呢？

首先，需要搞清楚用戶為什么需要登錄：

平臺需要與用戶有唯一的關聯性。如果不登錄，那么唯一能關聯用戶的就是設備，一旦用戶更換設備就失去了唯一性。所以平臺需要與用戶之間建立一個賬號體系，來保證用戶的唯一性。

保證唯一性有兩種方式：

（1）平臺給予的：適用于B端，平臺為用戶或者運營者生成賬號密碼。

（2）用戶主動發起的：

• 賬號密碼注冊登錄
• 掃碼注冊登錄
• 第三方注冊登錄
• 手機號/郵箱驗證注冊登錄
• 其他（人臉、聲音、指紋等）注冊登錄

本文中提到的賬號密碼登錄就屬于第二種，也是歷史較為久遠的一種。

在那個互聯網不太盛行，手機普及率不太高，且人人都極度重視隱私，又技術有限的年代，讓大家自行設置賬號密碼登錄，是當時所處社會環境下的最優方案。可以降低用戶的抵觸心理，方便記憶，也有利于拉新和推廣。

后來互聯網盛行了以后，大家降低了對隱私的保護程度，留個電話號碼已經屬于可接受范圍。另外，從PC端到移動端，為了更好的用戶體驗，很多產品開始做第三方登錄，手機驗證碼登錄等等。

但賬號密碼登錄依舊被許多平臺和用戶認可，具體原因有以下幾點：

1. 通用性強

即使賬號密碼登錄存在漏洞，但其他登錄方式也并不完美。從通用性這個角度來看，其他登錄方式的限制并不少：

• 掃碼登錄：需要有另一臺已登錄的設備存在；
• 第三方登錄：需要有第三方賬號介入；
• 手機號/郵箱登錄：容易收不到驗證碼，且注冊登錄門檻過高；
• 其他（人臉、聲音、指紋等）：使用場景受限，如戴口罩無法使用人臉識別，手傷了用不了指紋

而賬號密碼登錄，由于本身規則由服務提供方制定，不需依賴任何第三方服務，使用場景更多，在通用性方面無可匹敵。

2. 安全性高

從安全性的角度來看，賬號密碼登錄的表現也很不錯。

（1）從平臺的角度

• 使用第三方登錄時，無法掌握主動性。如果第三方出現問題，那么連帶自己平臺也沒法登錄。
• 賬號體系關系著安全和產品功能的實現。

用戶數據庫，是平臺安全的一個保障。每個平臺使用賬號密碼登錄，就能夠將用戶數據保存在自己的數據庫。之后的更新迭代、反饋等等，都可以自己尋找數據，分析數據，而不是依靠第三方。

靠別人不如靠自己。自己平臺的數據，不管再麻煩都要自己掌握，數據是一個平臺的命脈，平臺大多不愿意在核心的東西上讓步。

（2）從用戶的角度

• 在密碼組合相對復雜的情況下，用密碼誤登錄比手機驗證碼誤登錄概率要低。畢竟手機驗證碼大部分只是四位或六位數字。
• 其他的替代方案也存在明顯的漏洞，比如：指紋識別——被復制指紋、人臉識別——用照片騙過攝像頭、手機驗證碼機制——被攔截手機短信
• 用戶可以避免過度暴露個人信息。許多用戶連郵箱和手機號都不愿意提供，更遑論身份證和個人生物特征了。

所以大部分產品，基本都是以賬號密碼作為基礎，再根據用戶的個人需求，用其他的登錄方式輔助來增強安全性或便捷性。

3. 成本低

任何產品的目的都是盈利，減少成本是必然的手段。

人臉識別、指紋識別、包括短信登錄，這些都是需要借助第三方去協助完成的，這個費用最終還是要歸納到產品的維護成本。

比如最常見的手機驗證碼注冊登錄，這個費用并不是用戶支付，而是開發者。特別是對于用戶體量大的平臺，短信的發送量是一筆不小的支出。為了降低用戶的進入門檻，目前多數平臺已經接入本機號碼一鍵登錄。

而人臉識別、指紋支付是近些年來的產物，不管是安全性和便捷性都還不錯，所以成了移動端的標配。但考慮安全性和成本，全面普及估計還需要一段時間。

反觀賬號密碼注冊登錄，從成本上是最低的，用戶在注冊時就確定密碼。再次登錄平臺只需驗證賬號對應密碼的準確性就行。

結語

保留賬號密碼登錄的方式，優勢還可以從以下角度考慮：

1. 為了向前兼容，服務于早期用戶；
2. 可以作為補充的登錄手段，在其他登錄方式失敗時可以大顯身手；
3. 很多以pc端為主的產品，直接使用賬號密碼登錄反而是最簡潔的操作。

從辯證關系來看“漏洞”，世間萬事萬物都是相生相克的，沒有哪種方式或事物是存在絕對的安全，都只是處在相對狀態。

安全與否，取決于賬號本身為攻擊者提供的價值有多少。正如一個家徒四壁的房子不上鎖，也不會有小偷光顧是一個道理。

所以，并不是賬號密碼登錄有缺點、有瑕疵，我們就全盤否定。綜合衡量下，賬號密碼登錄明顯有更好的通用性、安全性和低成本，使之不可被放棄。

為什么這么多年了，賬號密碼登錄還沒有被取代，你是否有其他想要談談的？點擊下面的鏈接，一起聊聊吧~

參與討論請戳：http://996.pm/75Edd

#相關閱讀#

【天天問每周精選】第123期：抽獎活動，應該設置“多發小獎品”還是“抽幸運大獎”？

【天天問每周精選】第122期：為什么我們說「個性化標簽」會比「好中差評」更優？

【天天問每周精選】第121期：買完菜送根蔥，為什么大家都說好？

【天天問每周精選】第120期：不服，憑什么全互聯網只有程序員能過節！

【天天問每周精選】第119期：瘋狂的盲盒：有人上癮，有人賺得盆滿缽滿

素材來源：天天問話題精選

「天天問」為人人都是產品經理社區旗下的互助問答模塊，致力產品、運營、營銷等領域知識的學習交流。

本欄目由天天問運營?@Ella?整理編輯發布，歡迎大家踴躍提問，一起交流。

題圖來自Unsplash，基于CC0協議