手機號已經成為了目前絕對的主流注冊方式，大多數產品的帳號體系也是依賴手機號來建立的，但如果用戶手機號不使用之后，再被運營商放號，新的用戶拿到了這個手機號，那么該不該給這個用戶注冊呢？產品的安全機制如何保證？今天來臨摹下大廠的做法，看新浪微博是如何解決app中手機號因運營商回收并再次售出導致的帳號問題。

首先，傳統PC端使用郵箱注冊的方式已經逐漸被手機號注冊取代，原因有以下三點：

1. 手機號注冊的方式更加安全，快捷；
2. 通知更加及時，短信無網絡也能觸達；
3. 拿到了手機號就能對用戶進行短信營銷，達到召回用戶、宣傳活動等目的。

所以，手機號逐漸成為了產品的帳號體系中主流的注冊方式。

但是，和PC時代通過郵箱注冊不同，手機號存在著被運營商回收再次放出市場的問題。

將手機號作為帳號體系，就會產生當用戶更換手機號后，舊有的帳號需要安全認證時無法拿到短信驗證碼（因為手機號已經被運營商賣給了別人），再次拿到該手機號的用戶無法注冊等一系列問題。

接下來進入主題，各位乘客坐穩了，開始發車…

我們通過了解背景，分析產品存在的問題，臨摹新浪微博的解決方案，來看大廠是如何解決此類問題的。

一、背景

1、停用和購買手機號的場景

用戶產生手機號停用和購買新手機號的行為大多數發生在更改手機號時，以下場景都可能導致更換手機號碼，例如高考考到別的城市、畢業了到其他城市發展、更換工作地點、出國、搬家等等

更改手機號最大的原因是為了省錢，畢竟在國內，異地撥打電話是需要收漫游費的，貴不說，連流量也區分省內和省外，長期居住不換號碼是非常土豪的做法。

• 移動漫游費指的是離開歸屬地以后撥打和接聽電話產生的費用；
• 長途費指的是在歸屬地撥打除歸屬地以外的電話所產生的長途費用。

此外，除了用戶更換手機號會產生停用和購買手機號的行為外，欠費停機等也會導致手機號被停用，青年購買手機后也會產生購買手機號的行為，這里不再展開。

2、二次放號的場景

一方面，用戶有購買手機號的需求，但另一方面，手機號碼是11位的號碼，總量有限，不可能永久占用，于是運營商除了會將全新未使用的手機號銷售給用戶外，還會將以往已使用過的手機號回收之后過一段時間后重新投入市場中（以下簡稱二次放號）。

例如手機號A如果因為欠費或者用戶主動要求銷號，在被銷號后就會被運營商回收，過一段時間后手機號A就會重新投入市場中。

三大運營商的銷號時間不同，大體上可以分為銷號和回收兩個階段。

• 銷號階段，一般為3個月
• 回收階段，一般為1-3個月

所以，一個號碼從銷號到重新投入市場，一般最快需要4個月的時間。

二、存在的問題

現實中存在二次放號的問題，如果產品的體量不大，注冊的用戶數不多，這個問題還可以通過客服來解決，但是當產品注冊用戶數攀升到千萬級或億級的時候，每個用戶都通過客服來解決，不僅顧客等待的要炸毛，客服也會炸毛。

先分析下二次放號對產品造成的影響，以下以a，b表示帳號ID，以A、B表示帳號對應的手機號，小明和小紅表示用戶。

1、注冊

場景1：小紅通過運營商購買了二次放號的手機號A，來到產品的注冊頁面，發現手機號已經注冊了？自己沒法注冊自己的帳號？？

于是可能產生兩個問題：

1. 若產品沒有做好注冊引導，小紅將無法注冊帳號；
2. 若產品沒有安全措施，不明真相的小紅通過忘記密碼的渠道重設了小明帳號a的密碼，登錄進去之后，OMG！

為什么上面那么多個人信息，而且都不是自己的，小紅毫不費勁的看到了小明的所有個人信息！不知道密碼被改的小明，也沒法登錄產品了。

小紅異常納悶，同時覺得產品太不安全了。

2、登錄

場景1：小明換了手機號B同時買了部新的iPhone8 Plus手機，但產品中的安全措施發現是新的登錄設備后，要求小明通過手機號A進行短信驗證才能登錄，由于手機號A已經在小紅手中，小明根本沒法拿到短信驗證碼，登錄失敗！

場景2：小紅通過手機號A更改了小明的帳號a的密碼，這時吃瓜群眾小明使用原有的設備正常打開app，Token失效來到登錄頁面，輸入手機號A和舊有的密碼，發現提示“手機號碼或密碼錯誤”，小明登錄失敗，納悶“帳號被盜了？”

場景3：小紅通過注冊流程使用手機號A注冊了新的帳號b，系統自然解綁帳號a和手機號A的綁定關系，將手機號A綁定到帳號b上。

小明來到登錄頁面，輸入原有的帳號和密碼，依舊會提示“手機號碼或密碼錯誤”，登錄失敗（因為此時手機A綁定的是帳號b，密碼是帳號b的密碼），可憐的小明可能覺得“我去，誰盜了我的帳號？這產品太不安全了”

于是產生的問題是：

1. 若產品中有登錄保護等安全機制，小明無法在新設備登錄自己的帳號；
2. 若小紅能修改密碼，小明帳號密碼被改，無法登錄，小紅能看到小明的所有內容；
3. 若產品允許小紅注冊一個新的帳號，小明帳號a與手機號A解綁，小明無法登錄帳號。

3、找回密碼

場景1：還是倒霉的小明，更換手機號后，神經特別大條，連密碼都忘記了，來到找回密碼的頁面，但要求通過手機號A+短信驗證碼的方式來重置密碼。

小明懵B了，坑爹呢，手機號都換了，短信驗證碼自己怎么可能拿的到，重置密碼失敗。

場景2：拿到手機號的小紅通過重置密碼能輕松的更改小明帳號a的密碼。

產生的問題是：

1. 若產品中的找回密碼沒有考慮接收不到短信驗證碼的場景，小明無法重置密碼，無法登錄產品；
2. 若產品中的找回密碼沒有相應的安全機制，小紅可以輕易的更改小明的密碼。

三、解決方案

下面開始臨摹產品，以新浪微博為主，中間穿插一些其他app的做法，看大廠的產品是如何解決二次放號的問題的。

依舊以a，b和密碼Aa，密碼Bb分別表示帳號ID和帳號對應的密碼，以A、B表示手機號，小明和小紅表示用戶。

1、注冊流程

用戶進入到注冊流程但手機號已注冊，有兩種可能：

1. 自己之前注冊過了，但是忘了注冊過；
2. 買了個新手機號，手機號是二次放號的。

• 第一種情況，需要引導用戶去登錄或通過找回密碼來找回密碼；
• 第二種情況，需要引導用戶去注冊。

解決方法是在通過短信驗證手機碼后，詢問這個帳號是否自己之前注冊的？同時提供一些身份信息讓用戶去判斷。

• 若用戶認為這個帳號是自己的，那么直接登錄成功；
• 若用戶知道這個帳號不是自己，引導用戶去設置登錄密碼，設置成功之后，解綁手機號A和帳號a，注冊帳號b，綁定帳號b和手機號A。

如果產品中有涉及錢財或隱私的內容（例如支付寶涉及錢財，圖片社交涉及隱私圖片，微博QQ等涉及社交隱私等），當用戶選擇帳號“是自己注冊”之后，還需要驗證下用戶身份的真實性，這部分放到安全機制中統一講。

總結注冊流程如下：

由此，注冊的兩個問題解決了：

（1）若產品沒有做好注冊引導，小紅將無法注冊帳號，如何解決？

答：通過引導用戶辨識是否是自己此前注冊的賬號，針對不同的情況分別處理。

（2）產品沒有安全措施，小紅直接登錄或通過忘記密碼的渠道重設了密碼，登錄進去之后看到小明信息，如何解決？

答：增加安全措施，判斷需要進行身份驗證時，通過身份驗證后才可以直接登錄或重置密碼。

2、登錄流程

為了不影響大部分用戶進行登錄，登錄頁面并不適合做的很復雜，只需要給出口子，當用戶遇到問題的時候能一步步引導用戶去解決即可。

以新浪為例，新浪微博采用的是“登錄遇到問題？”將用戶可能遇到的問題收納了起來，當用戶點擊后彈出“找回密碼”/“找回登錄名”/“客服中心”給用戶進行選擇。

另外，如果產品有記錄安全設備，那么可能還需要進行身份驗證，而身份驗證也涉及到手機號，這部分也放入安全機制中講述。

這里提供一個自己腦洞出的解決帳號a缺失了手機號無法登錄問題的方法。

解決方案是——新增一個字段用于記錄用戶的歷史手機號，當小紅注冊了帳號b，同時綁定了手機號A后，小明的現有帳號手機號即為空，但是歷史手機號為A。

當用戶登錄的時候，先檢測“手機號+密碼”是否能正常登錄，如果可以直接登錄，若不可以，再檢測“歷史手機號+密碼”是否能登錄，如果能登錄則引導用戶去設置手機號。

流程如下：

我們再回過頭看二次放號產生的登錄問題：

（1）若產品中有登錄保護等安全機制，小明將無法登錄自己的帳號。

答：在安全機制中通過其他方式驗證小明身份；

（2）若二次放號后小明帳號a的密碼被更改，小明通過原有的手機號A+密碼無法進入帳號。

答：讓小明去重置密碼，在重置密碼流程中新增“獲取不到驗證碼”通過身份驗證的方式來重置密碼；

（3）若產品允許小紅注冊一個新的帳號，小明帳號a與手機號A的就會解綁，小明無法登錄帳號。

答：通過驗證“歷史手機號+密碼”的方式來重新綁定手機號。

3、忘記密碼流程

用戶進入密碼的場景有四種：

1. 真忘了自己密碼；
2. 二次放號后，小紅買了新手機號，提示已注冊，如果沒有相應的注冊引導，于是來到忘記密碼，改了小明帳號的密碼；
3. 二次放號后，小紅改了小明的密碼，小明無法登錄，來到忘記密碼頁面；
4. 二次放號后，小紅注冊了手機號A，帳號a的手機號為空，小明無法登錄，同時真把自己密碼Aa忘記了，所以沒法通過登錄頁面的“歷史手機號+密碼“登錄后來重新綁定手機號，于是來到忘記密碼頁面。

常規的流程是通過已有手機號+短信驗證碼來重置密碼，但為了避免上述的小紅直接將小明帳號密碼改了的問題，需要有安全機制，這部分放到安全機制中講述。

另外，不管小明是被改了密碼，還是手機號都沒了密碼也忘了，都屬于接收不到短信驗證碼的問題，這時候要留出口子讓這部分用戶能通過身份驗證自主的重置密碼，這部分也放到安全機制中講述。

總結忘記密碼流程：

再回過頭看二次放號產生的忘記密碼問題，產生的問題是：

（1）若產品中的找回密碼沒有考慮接受不到短信驗證碼的場景，小明無法重置密碼，無法登錄產品。

答：增加身份驗證流程，驗證通過后可重置密碼；

（2）若產品中的找回密碼沒有相應的安全機制，小紅可以輕易的更改帳號a的密碼。

答：增加安全機制，驗證通過后可重置密碼。

4、安全機制

上述的注冊，登錄，忘記密碼流程中，為了避免二次放號后用戶可以直接登錄成功，都需要有一個驗證身份的流程。

但為了不影響正常用戶的使用，需要先判斷是否需要進行身份驗證，以下情況是可以不用身份驗證的：

1. 用戶注冊不到4個月（前面提到，運營商二次放號至少需要4個月，若有特殊情況，找客服，不考慮）；
2. 常用的設備不需要身份驗證（例如使用超過了7天）；
3. 設置為安全的設備不需要身份驗證（例如用戶已經將設備加入了“受信任設備列表”中）等。

如何進行身份驗證？

（1）好友輔助驗證

QQ和微信采用的是讓兩位好友幫忙輔助驗證——將驗證信息轉發給你的好友，頁面提示讓好友確認是本人后再點擊驗證通過，兩位好友幫忙驗證通過后即可通過身份驗證。

這種驗證方式安全度極高，但是也麻煩，適用于社交類的產品。

（2）歷史信息驗證

例如淘寶歷史購買的商品記錄9選1，好友頭像15選2，回答上一部使用的手機型號是什么，最近添加的好友是誰，最近一次的購物地點在哪，最近一次購買的飛機票是去哪，等等。

需要注意的是，微信雖然采用了這種驗證方式，但是好友頭像和名字變化太快，用戶可能自己都記不住，實際的體驗沒有想象中的好。

支付寶初期也有采用類似的做法，但是因為兩次9選1，1/81的概率還是不安全，棄用了。

但9選1,15選2等在安全系數要求不高時還是可以采用。

（3）用戶身份驗證

如果產品中有用戶獨一無二的身份信息，還可以采用用戶信息的驗證方式，例如輸入“XXX”完整的身份證號碼，銀行卡，社?？?，某醫院的就診卡等。

（4）通過已添加的其他“受信任的手機號”通過驗證

例如新浪的做法，用戶除了有一個登錄的手機號外，還可以添加多個“受信任的手機號”來輔助驗證，當登錄的手機號無法接受到短信，通過“受信任的手機號+短信驗證碼”的方式也可通過驗證。

（5）密保問題認證/郵箱認證

早年PC端特別流程的設置三個密保問題，即使接收不到短信驗證碼，通過密碼問題也能完成身份認證，但是這種方法最大的問題是，用戶自己也經常忘了密保問題，所以有點雞肋。

郵箱認證因為移動app中大部分拋棄了郵箱注冊，使用的范圍有限。

（6）客服申述等

客服申述是最終極的大招，讓用戶填寫注冊信息，歷史信息，身份信息，上傳證件照來完成認證，但是比較費時，同時會占用客服資源，屬于不得已而為之的做法。

不同的產品的解決方案不同，需要根據產品自身的特點來設計，由于是臨摹新浪的安全機制，所以特別講述下新浪的做法。

5、新浪的登錄保護機制

（1）登錄保護機制

提供登錄保護的開關，開啟后，每次登錄新的設備的時候，都需要進行手機號驗證。

（2）受信任的手機號

可添加新的受信任的手機號，之后所有涉及身份驗證的環節，除了可以使用原有的登錄手機號外，還可以使用“受信任的手機號”

例如小明有了手機號A，同時把自己老婆的手機C設置了“受信任的手機號”，完美解決了二次放號的問題。

（3）受信任的設備

開啟了登錄保護之后，每次登錄新設備都需要身份驗證。

移動端設備在驗證通過的會自動添加進入“受信任的登錄設備”，PC端設備登錄需要認證的時候，就可以使用不同的“受信任的設備”來認證登錄。

此外，登錄記錄會自動添加已登錄的設備到“最新登錄記錄”中，可將陌生的登錄設備踢下線。

流程圖如下：

上面提及的新浪家的做法，實際上只是其帳號體系其中的冰山一角，特別是相應的安全機制，沒有徹底摸透，只能知道大概，僅供參考。

另外，如果產品體量小的話，二次放號的場景可以不考慮先，畢竟帳號體系這套工程做下來工作量很大。在體量小的時候，把業務做精，努力提高數據量才是最高優先級吧，產品體量小時，這類的問題數量不多，可以先拋給萬能的客服姐姐幫忙解決，等業務真正做起來后，再考慮完善的帳號體系。

不同階段，產品需要的安全等級也不盡相同，不是每個產品都需要做到如同支付寶，微信，QQ這樣的安全等級，也是視產品的業務而定。

本文由 @朱利安 原創發布于人人都是產品經理。未經許可，禁止轉載。