帳號體系:密碼是必需的嗎?

22 評論 3359 瀏覽 13 收藏 9 分鐘

編輯導語:現在用戶在進行登錄或注冊時,似乎用到密碼的頻率相對降低了,更多情況下,人們會采取手機號驗證碼來實現登錄或注冊。不過,在進行帳號體系設計時,密碼模塊保留與否,還是要依具體場景而定。本文作者就帳號體系中的密碼設計進行了解讀,一起來看。

用戶在登錄注冊時,通常都會被要求輸入登錄密碼。但在當下的互聯網階段,密碼已經是一個被淘汰的設計。因為已經有體驗更好的設計,來替代密碼解決用戶需求。

一、為什么要有密碼?

密碼只由帳號所有者掌握或授權,解決了用戶身份校驗的需求。

出于使用的方便性,很多產品的用戶帳號是公開可查看的,任何人都可以合法地知道另一個用戶的帳號。加QQ好友,就需要知道對方的QQ號;發送郵件,就需要知道對方的郵箱地址。

用戶在登錄系統時,系統無法通過用戶輸入的帳號,就確認當前嘗試登錄的用戶就是帳號的所有者。因此,必須輸入一個只有帳號所有者掌握,且與該帳號綁定的信息,系統才能確認當前嘗試登錄的用戶,是帳號所有者。帳號是門,密碼是開門的鑰匙。

二、密碼認證的問題

安全性、便捷性不足,是密碼認證的主要問題。

用戶在設置帳號密碼時,為了避免被人輕易破解,通常都會設置一個比較復雜的密碼。這也是系統的要求,如包含數字、大小寫字母、不少于8位。

復雜密碼滿足了帳號的安全性需求,但給用戶帶來了很大的記憶負擔。很多用戶為了方便記憶和使用,會給多個產品帳號設置相同的密碼。這樣用戶只需要記憶一個密碼,即可用來登錄多個產品的帳號。

一旦密碼泄漏,所有使用了該密碼的帳號都隨時可被其他人登錄使用,給用戶帶來極大的數據泄漏和帳號丟失風險。

當然,以上問題并非不能解決,但需要為此開發更多復雜的驗證邏輯,帶來更高的研發成本。如非常用手機登錄驗證、異地登錄提醒等。

三、密碼為何被淘汰?

隨著移動互聯網的發展,催生了手機、微信這類基礎硬件設施和國民級產品,手機號和微信號成為了這個時代下,驗證用戶身份的最重要媒介。

手機已經成為了用戶的“新器官”,用戶隨身攜帶、隨時使用。手機使用的手機號,運營商銷售給用戶時,已經完成了身份證實名認證,通過手機號,可唯一確認用戶身份。

根據官方公布的數據,截止到2021年底,微信已經有12.6億用戶,日活超過10億。幾乎每一個能上網的用戶,都擁有一個微信號,且用戶使用頻次非常高。

1. 安全性

由于提供方的完善風控體系和用戶的使用習慣,相對于密碼,手機號和密碼的安全性更高。

手機號開卡時,運營商要求用戶提供身份證,用戶的手機號一般是給自己使用,或者授權給其他人使用,很難被冒名盜用。微信為了確保帳號安全,設計了嚴格的風險控制規則,如綁定手機號、綁定銀行卡、新手機登錄驗證等等,大幅度降低了被盜用的可能性。

而密碼可能會因為用戶設置過于簡單、多個產品使用相同的密碼、攻擊方通過撞庫等方式暴力破解等原因,發生泄漏,導致帳號被盜用。

2. 便捷性

手機號和微信號不僅安全性更高,驗證身份的過程也更便捷。

使用手機號有兩種便捷的驗證身份的方式,分別是手機驗證碼、運營商認證。

1)手機驗證碼的驗證過程是:

  1. 用戶輸入手機號;
  2. 點擊發送短信驗證碼,系統生成一個短時間內有效的4位數字憑證;
  3. 輸入驗證碼,系統校驗,完成身份認證。

只要用戶準確輸入了驗證碼,即證明當前用戶是該手機號的所有者或授權使用者。

2)運營商認證的過程是:

  1. 進入頁面時,自動調用電信運營商接口,獲取當前手機使用的手機號;
  2. 點擊申請授權,完成授權過程。

只要用戶當前能正常使用蜂窩網絡訪問電信運營商基站,就可以一鍵完成身份驗證。

3)微信號驗證身份也非常簡單:

  1. 點擊微信授權登錄,跳轉到微信授權界面;
  2. 用戶點擊同意授權,完成身份驗證。

若使用密碼,為了彌補密碼的安全性漏洞,想要更安全,就必須要為每一個產品單獨設置更復雜的密碼,帶來記憶負擔。輸入密碼時,必須要輸入不同類型的字符,消耗更長時間。

綜上所述,無論是安全性還是便捷性,密碼都已經完全被以手機號和微信號為基礎設計的身份驗證方式所超越,已經不再有存在的意義,完全可以被淘汰。

四、兩種密碼處理方式

基于以上分析,密碼是一個可被淘汰的身份驗證方式。那么我們在設計帳號體系時,應該如何考慮密碼的去留呢?主要有兩種方案。

1. 直接舍棄密碼

對大部分新產品來說,建議直接舍棄密碼。

新設計開發的產品,沒有歷史包袱,不需要為已經設置了密碼的老用戶保留密碼,而密碼的安全性和便捷性已經被新方案所超越。

因此,完全可以在設計帳號體系時,直接舍棄密碼,替換為上文所述的新方案。典型案例有拼多多、小宇宙、樸樸、叮咚。

2. 保留密碼,降低權重

對于一些使用了密碼,且有一定老用戶積累的產品來說,建議保留密碼,但要降低密碼的權重。

對這類產品來說,依然存在老用戶使用密碼的場景,如果貿然舍棄密碼,將導致部分老用戶無法登錄,甚至丟失帳號。

用戶只設置了密碼,在上線了新的身份驗證方式后,用戶從未使用過。如未綁定過手機號、微信號。

若用戶長時間未使用,某一天想要使用時,發現無法使用密碼登錄,直接導致用戶原來的帳號丟失。

由于密碼的安全性和便捷性不足,應該要降低密碼功能的權重,引導用戶接受和使用新的身份驗證方案。如Keep,把密碼登錄移到了3級頁面:

五、總結

密碼存在的意義是解決身份驗證的需求,但由于安全性和便捷性不足,被手機驗證碼、運營商認證、微信認證等新的身份認證方式所超越和替代。在設計新產品時,建議直接舍棄密碼,已經使用了密碼的老產品,建議降低密碼功能的權重,引導用戶接受和使用更安全、更便捷的身份驗證方式。

#專欄作家#

誓博,微信公眾號:產品慎思錄。人人都是產品經理專欄作家。5年產品經驗,電商售后平臺后端產品負責人。

本文原創發布于人人都是產品經理,未經作者許可,禁止轉載。

題圖來自 Unsplash,基于 CC0 協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 如果手機號棄用了,回到號碼池,下一個人就可以直接登錄了。。。 我用手機號就登錄了一個網盤,里面全是別人的東西,還有私人信息,尷尬

    來自廣東 回復
    1. 嗯,手機號重新被運營商銷售出去,原來的賬號的數據的確要處理。這個值得單獨來寫一篇文章了。

      來自廣東 回復
  2. web端需要密碼,記住密碼是個很好用的功能。
    有個典型場景:只有網頁的產品如果還只能手機驗證碼登錄,那用戶還得隨時把手機帶身邊

    來自北京 回復
    1. 現在的用戶基本都是隨時隨身帶手機了。不過具體情況具體分析,并不是說一定要舍棄掉密碼這個設計。

      來自廣東 回復
  3. 設置的密碼太多也記不住,都設置一樣的又怕不安全。

    來自山東 回復
  4. 這是個偽命題,不管是驗證碼,還是一鍵登錄,第三方登錄,或者指紋、刷臉,本質上都是密碼的一種。
    密碼是一種用來混淆的技術,使用者希望將正常的(可識別的)信息轉變為無法識別的信息。(百度百科)。
    至于用什么密碼,還是看產品的服務和定位。

    來自湖南 回復
  5. 驗證碼和手機號一鍵登錄會讓公司的成本增加,每個月要多支出幾萬元,現在我們的產品基本都是主推三方登錄

    來自浙江 回復
    1. 嗯,可以根據實際需要和成本控制來決定各種登錄方式的權重。

      來自廣東 回復
  6. 手機號,驗證碼,或者電信獲取手機號驗證都是存在安全風險的,比如手機放在這里,沒鎖屏狀態,別人拿去,接下來很容易做一些事情了。補手機號也不是3.5分鐘完成的事

    回復
    1. 這種風險,就類似于你的錢包丟了一樣。丟失后風險高的產品,比如要加強風險控制,比如銀行App通常會有人臉識別,幾分鐘不操作,再次使用就會要求登錄等等。

      來自廣東 回復
  7. 如果想在同一個手機上登不同的賬號呢

    來自廣東 回復
    1. 手機號登錄就可以解決

      來自廣東 回復
  8. 我的京東 微信賬號,前幾天可能被盜號了,被人登了一次,還好我看到了?。?!

    來自山東 回復
  9. 手機驗證碼挺方便的,我好多不同的密碼,我自己都有些記混了,但是密碼還是不能淘汰。

    來自陜西 回復
    1. 為什么不能被淘汰呢?

      來自廣東 回復
  10. 密碼還是不能被軟件淘汰,萬一手機丟了,里頭的東西就都沒了。

    來自陜西 回復
    1. 手機丟了,手機號碼不會丟啊

      來自廣東 回復
    2. 這么看的話,服務器丟了,里頭的東西就沒了

      來自廣東 回復
  11. 手機驗證碼相當于流動的密碼,非常方便但是一旦手機號碼丟失還是需要密碼助陣

    來自廣東 回復
    1. 什么情況下會手機號碼丟失?

      來自廣東 回復
    2. 手機號碼棄用的時候

      來自廣東 回復
    3. 手機號欠費且很久不用就會被回收不再屬于自己了

      來自廣東 回復