編輯導(dǎo)讀：相比于賬號(hào)密碼登錄，掃碼登錄和人臉識(shí)別登錄等登錄方式顯然更方便、快捷、靈活，在實(shí)際使用中也更受到用戶的歡迎。但為什么在實(shí)際APP設(shè)計(jì)中，賬號(hào)密碼登錄這種方式仍然還在使用呢？文章從賬號(hào)密碼登錄存在的問(wèn)題出發(fā)，對(duì)這個(gè)問(wèn)題進(jìn)行了分析討論，與大家分享。

賬號(hào)密碼登錄已經(jīng)是一種很常見(jiàn)的登錄方式了，這么多年，一直被延續(xù)了下來(lái)。新的登錄方式如掃碼登錄、人臉識(shí)別登錄等等不斷出現(xiàn)，但賬號(hào)密碼登錄的地位依舊屹立不倒。

有好奇寶寶問(wèn)了這么一個(gè)問(wèn)題：難道使用賬號(hào)密碼登錄，沒(méi)有漏洞嗎？

例如：用戶A，登錄時(shí)輸入了錯(cuò)誤的賬號(hào)，而這個(gè)錯(cuò)誤的賬號(hào)已被注冊(cè)，且這個(gè)錯(cuò)誤賬號(hào)的密碼跟用戶A的密碼相同，那么不就造成誤登錄了嗎？

答案是肯定的，確實(shí)會(huì)造成誤登錄，賬號(hào)密碼登錄也確實(shí)存在漏洞。那么針對(duì)這一漏洞，平臺(tái)都是如何防范的？為什么賬號(hào)密碼登錄存在漏洞，卻依舊沒(méi)有被取代？

你思考過(guò)這些問(wèn)題嗎？我們?cè)谔焯靻?wèn)討論了這個(gè)話題，接著一起來(lái)解密~

【天天問(wèn)每周精選】第124期：通過(guò)賬號(hào)密碼登錄是否存在漏洞？為什么允許通過(guò)賬號(hào)密碼登錄？

文章內(nèi)容部分來(lái)源于@祖安產(chǎn)品人 @我不做程序員了 @北漂青年 @石硯 @Mr.杰 @kuera @尼開(kāi) @張思志 @一米二的柯基 @羅春明 @幸失 的精彩回答

一、賬號(hào)密碼登錄是否存在漏洞？

結(jié)論先行：賬號(hào)密碼登錄存在漏洞，但通過(guò)防范后，誤登錄發(fā)生的概率非常低。

對(duì)于問(wèn)題中說(shuō)的，錯(cuò)輸密碼造成誤登錄，這個(gè)情況發(fā)生的概率非常低。除非用錯(cuò)誤賬號(hào)和錯(cuò)誤密碼同時(shí)去撞庫(kù)，才會(huì)有機(jī)會(huì)登錄成功。

更常見(jiàn)的是撞庫(kù)，即小明在各個(gè)網(wǎng)站都用一樣的賬號(hào)密碼，盜號(hào)者拿了A網(wǎng)站小明的盜號(hào)信息，去其他網(wǎng)站腳本嘗試登錄，并盜取虛擬財(cái)產(chǎn)。

這些情況從概率學(xué)的角度來(lái)說(shuō)，確實(shí)都存在。但現(xiàn)在基本上大部分平臺(tái)，都會(huì)使用一定的風(fēng)控機(jī)制。例如：

• 限定一定的密碼錯(cuò)誤次數(shù)；
• 要求輸入驗(yàn)證碼，以防止機(jī)器破解操作
• 常用地點(diǎn)/ip進(jìn)行賬號(hào)密碼的驗(yàn)證；如果是異地登錄/異常IP，需要進(jìn)行二次驗(yàn)證。

平臺(tái)能夠做到獲取手機(jī)終端的設(shè)備信息。常用登錄地、IP等，賬號(hào)一旦注冊(cè)登錄后，便可在后臺(tái)記錄相關(guān)信息。一旦使用新設(shè)備、IP不符，或者距離常用登錄地較遠(yuǎn)時(shí)，可根據(jù)一定業(yè)務(wù)規(guī)則進(jìn)行告警。

此時(shí)用戶在前端登錄時(shí)，需要驗(yàn)證更多信息，如：手機(jī)號(hào)、郵箱、人臉等。

這樣一來(lái)，賬號(hào)密碼登錄被鉆空子的幾率較小。即使暴力破解，也應(yīng)該有密碼錯(cuò)誤次數(shù)驗(yàn)證告警機(jī)制，從這一點(diǎn)上就更難被攻破了。

二、為什么「賬號(hào)密碼登錄」還沒(méi)被取代？

那么，既然賬號(hào)密碼登錄存在漏洞，又有新的登錄方式層出不窮，為什么賬號(hào)密碼登錄還沒(méi)有被取代呢？

首先，需要搞清楚用戶為什么需要登錄：

平臺(tái)需要與用戶有唯一的關(guān)聯(lián)性。如果不登錄，那么唯一能關(guān)聯(lián)用戶的就是設(shè)備，一旦用戶更換設(shè)備就失去了唯一性。所以平臺(tái)需要與用戶之間建立一個(gè)賬號(hào)體系，來(lái)保證用戶的唯一性。

保證唯一性有兩種方式：

（1）平臺(tái)給予的：適用于B端，平臺(tái)為用戶或者運(yùn)營(yíng)者生成賬號(hào)密碼。

（2）用戶主動(dòng)發(fā)起的：

• 賬號(hào)密碼注冊(cè)登錄
• 掃碼注冊(cè)登錄
• 第三方注冊(cè)登錄
• 手機(jī)號(hào)/郵箱驗(yàn)證注冊(cè)登錄
• 其他（人臉、聲音、指紋等）注冊(cè)登錄

本文中提到的賬號(hào)密碼登錄就屬于第二種，也是歷史較為久遠(yuǎn)的一種。

在那個(gè)互聯(lián)網(wǎng)不太盛行，手機(jī)普及率不太高，且人人都極度重視隱私，又技術(shù)有限的年代，讓大家自行設(shè)置賬號(hào)密碼登錄，是當(dāng)時(shí)所處社會(huì)環(huán)境下的最優(yōu)方案。可以降低用戶的抵觸心理，方便記憶，也有利于拉新和推廣。

后來(lái)互聯(lián)網(wǎng)盛行了以后，大家降低了對(duì)隱私的保護(hù)程度，留個(gè)電話號(hào)碼已經(jīng)屬于可接受范圍。另外，從PC端到移動(dòng)端，為了更好的用戶體驗(yàn)，很多產(chǎn)品開(kāi)始做第三方登錄，手機(jī)驗(yàn)證碼登錄等等。

但賬號(hào)密碼登錄依舊被許多平臺(tái)和用戶認(rèn)可，具體原因有以下幾點(diǎn)：

1. 通用性強(qiáng)

即使賬號(hào)密碼登錄存在漏洞，但其他登錄方式也并不完美。從通用性這個(gè)角度來(lái)看，其他登錄方式的限制并不少：

• 掃碼登錄：需要有另一臺(tái)已登錄的設(shè)備存在；
• 第三方登錄：需要有第三方賬號(hào)介入；
• 手機(jī)號(hào)/郵箱登錄：容易收不到驗(yàn)證碼，且注冊(cè)登錄門檻過(guò)高；
• 其他（人臉、聲音、指紋等）：使用場(chǎng)景受限，如戴口罩無(wú)法使用人臉識(shí)別，手傷了用不了指紋

而賬號(hào)密碼登錄，由于本身規(guī)則由服務(wù)提供方制定，不需依賴任何第三方服務(wù)，使用場(chǎng)景更多，在通用性方面無(wú)可匹敵。

2. 安全性高

從安全性的角度來(lái)看，賬號(hào)密碼登錄的表現(xiàn)也很不錯(cuò)。

（1）從平臺(tái)的角度

• 使用第三方登錄時(shí)，無(wú)法掌握主動(dòng)性。如果第三方出現(xiàn)問(wèn)題，那么連帶自己平臺(tái)也沒(méi)法登錄。
• 賬號(hào)體系關(guān)系著安全和產(chǎn)品功能的實(shí)現(xiàn)。

用戶數(shù)據(jù)庫(kù)，是平臺(tái)安全的一個(gè)保障。每個(gè)平臺(tái)使用賬號(hào)密碼登錄，就能夠?qū)⒂脩魯?shù)據(jù)保存在自己的數(shù)據(jù)庫(kù)。之后的更新迭代、反饋等等，都可以自己尋找數(shù)據(jù)，分析數(shù)據(jù)，而不是依靠第三方。

靠別人不如靠自己。自己平臺(tái)的數(shù)據(jù)，不管再麻煩都要自己掌握，數(shù)據(jù)是一個(gè)平臺(tái)的命脈，平臺(tái)大多不愿意在核心的東西上讓步。

（2）從用戶的角度

• 在密碼組合相對(duì)復(fù)雜的情況下，用密碼誤登錄比手機(jī)驗(yàn)證碼誤登錄概率要低。畢竟手機(jī)驗(yàn)證碼大部分只是四位或六位數(shù)字。
• 其他的替代方案也存在明顯的漏洞，比如：指紋識(shí)別——被復(fù)制指紋、人臉識(shí)別——用照片騙過(guò)攝像頭、手機(jī)驗(yàn)證碼機(jī)制——被攔截手機(jī)短信
• 用戶可以避免過(guò)度暴露個(gè)人信息。許多用戶連郵箱和手機(jī)號(hào)都不愿意提供，更遑論身份證和個(gè)人生物特征了。

所以大部分產(chǎn)品，基本都是以賬號(hào)密碼作為基礎(chǔ)，再根據(jù)用戶的個(gè)人需求，用其他的登錄方式輔助來(lái)增強(qiáng)安全性或便捷性。

3. 成本低

任何產(chǎn)品的目的都是盈利，減少成本是必然的手段。

人臉識(shí)別、指紋識(shí)別、包括短信登錄，這些都是需要借助第三方去協(xié)助完成的，這個(gè)費(fèi)用最終還是要?dú)w納到產(chǎn)品的維護(hù)成本。

比如最常見(jiàn)的手機(jī)驗(yàn)證碼注冊(cè)登錄，這個(gè)費(fèi)用并不是用戶支付，而是開(kāi)發(fā)者。特別是對(duì)于用戶體量大的平臺(tái)，短信的發(fā)送量是一筆不小的支出。為了降低用戶的進(jìn)入門檻，目前多數(shù)平臺(tái)已經(jīng)接入本機(jī)號(hào)碼一鍵登錄。

而人臉識(shí)別、指紋支付是近些年來(lái)的產(chǎn)物，不管是安全性和便捷性都還不錯(cuò)，所以成了移動(dòng)端的標(biāo)配。但考慮安全性和成本，全面普及估計(jì)還需要一段時(shí)間。

反觀賬號(hào)密碼注冊(cè)登錄，從成本上是最低的，用戶在注冊(cè)時(shí)就確定密碼。再次登錄平臺(tái)只需驗(yàn)證賬號(hào)對(duì)應(yīng)密碼的準(zhǔn)確性就行。

結(jié)語(yǔ)

保留賬號(hào)密碼登錄的方式，優(yōu)勢(shì)還可以從以下角度考慮：

1. 為了向前兼容，服務(wù)于早期用戶；
2. 可以作為補(bǔ)充的登錄手段，在其他登錄方式失敗時(shí)可以大顯身手；
3. 很多以pc端為主的產(chǎn)品，直接使用賬號(hào)密碼登錄反而是最簡(jiǎn)潔的操作。

從辯證關(guān)系來(lái)看“漏洞”，世間萬(wàn)事萬(wàn)物都是相生相克的，沒(méi)有哪種方式或事物是存在絕對(duì)的安全，都只是處在相對(duì)狀態(tài)。

安全與否，取決于賬號(hào)本身為攻擊者提供的價(jià)值有多少。正如一個(gè)家徒四壁的房子不上鎖，也不會(huì)有小偷光顧是一個(gè)道理。

所以，并不是賬號(hào)密碼登錄有缺點(diǎn)、有瑕疵，我們就全盤否定。綜合衡量下，賬號(hào)密碼登錄明顯有更好的通用性、安全性和低成本，使之不可被放棄。

為什么這么多年了，賬號(hào)密碼登錄還沒(méi)有被取代，你是否有其他想要談?wù)劦模奎c(diǎn)擊下面的鏈接，一起聊聊吧~

參與討論請(qǐng)戳：http://996.pm/75Edd

#相關(guān)閱讀#

【天天問(wèn)每周精選】第123期：抽獎(jiǎng)活動(dòng)，應(yīng)該設(shè)置“多發(fā)小獎(jiǎng)品”還是“抽幸運(yùn)大獎(jiǎng)”？

【天天問(wèn)每周精選】第122期：為什么我們說(shuō)「?jìng)€(gè)性化標(biāo)簽」會(huì)比「好中差評(píng)」更優(yōu)？

【天天問(wèn)每周精選】第121期：買完菜送根蔥，為什么大家都說(shuō)好？

【天天問(wèn)每周精選】第120期：不服，憑什么全互聯(lián)網(wǎng)只有程序員能過(guò)節(jié)！

【天天問(wèn)每周精選】第119期：瘋狂的盲盒：有人上癮，有人賺得盆滿缽滿

素材來(lái)源：天天問(wèn)話題精選

「天天問(wèn)」為人人都是產(chǎn)品經(jīng)理社區(qū)旗下的互助問(wèn)答模塊，致力產(chǎn)品、運(yùn)營(yíng)、營(yíng)銷等領(lǐng)域知識(shí)的學(xué)習(xí)交流。

本欄目由天天問(wèn)運(yùn)營(yíng)?@Ella?整理編輯發(fā)布，歡迎大家踴躍提問(wèn)，一起交流。

題圖來(lái)自Unsplash，基于CC0協(xié)議