做一個(gè)產(chǎn)品，注冊(cè)登錄是必需的，但是你是否考慮過(guò)賬戶(hù)安全呢？

最近一直在做賬戶(hù)安全的需求，但在調(diào)研時(shí)發(fā)現(xiàn)，資料很少。于是只好邊做邊總結(jié)。在互聯(lián)網(wǎng)產(chǎn)品中，賬戶(hù)是最最基本的功能，太常見(jiàn)了，常見(jiàn)到被我們忽略。我們理所當(dāng)然覺(jué)得，做一個(gè)產(chǎn)品，注冊(cè)登錄是必需的，可能很少會(huì)去想，為什么要有一個(gè)賬戶(hù)？賬戶(hù)的作用到底是什么？我們用戶(hù)的賬戶(hù)夠安全么？

賬戶(hù)，有必要么？

每次用個(gè)產(chǎn)品（網(wǎng)站、桌面客戶(hù)端、APP、后臺(tái)系統(tǒng)等）還要先注冊(cè)、填寫(xiě)表單、登錄，真麻煩，能省去這個(gè)步驟么？如果你用的產(chǎn)品是個(gè)免費(fèi)的工具，其實(shí)是沒(méi)什么問(wèn)題的，因?yàn)槊總€(gè)人使用的都是相同的本地功能，且彼此之間毫無(wú)瓜葛。

但假設(shè)，這個(gè)工具有高級(jí)的付費(fèi)功能，情況就不一樣了。我們需要讓服務(wù)端知道，哪些人是免費(fèi)用戶(hù)，哪些人是付費(fèi)用戶(hù)，并向付費(fèi)用戶(hù)收費(fèi)，然后開(kāi)放高級(jí)權(quán)限。為了讓服務(wù)端知道誰(shuí)是誰(shuí)，誰(shuí)有什么特征，誰(shuí)能干什么，誰(shuí)不能干什么，于是有了賬戶(hù)的概念。

在互聯(lián)網(wǎng)的世界中，一個(gè)個(gè)賬戶(hù)就好像一座座房子，注冊(cè)就是建房子，賬號(hào)是門(mén)牌號(hào)，密碼是鎖，登錄就是開(kāi)門(mén)。

在付費(fèi)類(lèi)的工具產(chǎn)品中，免費(fèi)用戶(hù)可能只打得開(kāi)一兩間房子，而對(duì)于付費(fèi)用戶(hù)，他們能解鎖這座房子的所有房間。

在即時(shí)通信類(lèi)產(chǎn)品中，房子存儲(chǔ)了你的個(gè)人資料，聊天記錄，以及關(guān)系鏈。別人想獲得進(jìn)入你房子參觀(guān)、與你交談的權(quán)利，需要事先征得你的同意。

在網(wǎng)游中，房子就是你，你就是房子。人民幣玩家可能手一揮買(mǎi)下一套大豪宅，而你仍在為小戶(hù)型的裝修費(fèi)通宵刷副本。

從功能性的角度來(lái)看，賬戶(hù)是用戶(hù)權(quán)限的標(biāo)識(shí)，存儲(chǔ)用戶(hù)信息的空間，甚至是用戶(hù)的代表。而從技術(shù)性的角度看，賬戶(hù)就是以u(píng)serID為主鍵的一大串?dāng)?shù)據(jù)表記錄

好了，進(jìn)入正題，花費(fèi)這么多步驟，辛辛苦苦建好的房子，防盜工作如何開(kāi)展？

驗(yàn)證開(kāi)門(mén)的你是誰(shuí)？

有時(shí)候找到門(mén)牌號(hào)來(lái)開(kāi)門(mén)的人很多，魚(yú)龍混雜，而我們只準(zhǔn)主人進(jìn)入房子。那么問(wèn)題來(lái)了，如何驗(yàn)證你是房子的主人？方式有很多：

1. 密碼：能用鑰匙打開(kāi)門(mén)的就是主人
2. 驗(yàn)證碼：增設(shè)一道門(mén)，并給出一把臨時(shí)的鑰匙，能用臨時(shí)鑰匙開(kāi)門(mén)的就是主人
3. 手勢(shì)密碼：能用手比劃出規(guī)定動(dòng)作，就是主人
4. 密保問(wèn)題、購(gòu)買(mǎi)記錄：記得問(wèn)題的答案，或者主人曾經(jīng)的所作所為，就是真正的主人
5. 身份證號(hào)、銀行卡信息：能說(shuō)出身份證號(hào)或銀行卡信息，就是真正的主人
6. 指紋識(shí)別、聲紋識(shí)別或刷臉識(shí)別：指紋、聲紋或臉型匹配的話(huà)，就是真正的主人

無(wú)論采用哪種方式，驗(yàn)證信息都需要在建房子的時(shí)候就做進(jìn)去，不然，你拿什么來(lái)驗(yàn)證？

對(duì)于最后一種方式，由于每個(gè)人的指紋、聲紋與臉型都是獨(dú)一無(wú)二的，而且?guī)缀鯚o(wú)法復(fù)制。。?？梢哉f(shuō)安全性相當(dāng)高。但由于技術(shù)限制等原因，目前大多數(shù)產(chǎn)品仍采用前幾種方式，或前幾種方式的組合，來(lái)保護(hù)賬戶(hù)。

如何保護(hù)賬戶(hù)安全？

1、阻止異常登錄

增加密碼復(fù)雜度：

注冊(cè)設(shè)置密碼，至少6位，英文+數(shù)字組合，英文必須有大小寫(xiě)，等等。鑰匙的棱棱角角多了，自然很難復(fù)制，不容易被盜取。

登錄頻次限制：

短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到一定量，再次登錄，則增設(shè)方式2，通過(guò)填寫(xiě)圖片驗(yàn)證碼或短信驗(yàn)證碼，防止賬號(hào)密碼被暴力驗(yàn)證。

短時(shí)間內(nèi)登錄失敗次數(shù)達(dá)到安全閥值時(shí)（如密碼錯(cuò)誤5次），則對(duì)賬戶(hù)予以暫時(shí)凍結(jié)，凍結(jié)期結(jié)束再開(kāi)放登錄操作。如下圖所示：

登錄設(shè)備更換限制：

賬戶(hù)與設(shè)備號(hào)綁定。每次登錄檢測(cè)與賬戶(hù)綁定的設(shè)備號(hào)，如果是一臺(tái)新的設(shè)備，則增設(shè)一道驗(yàn)證方式。如下圖所示：

登錄IP變更限制：

每次登錄檢測(cè)IP地址，如果檢測(cè)到新的IP地址，則增設(shè)一道驗(yàn)證方式。

2、知會(huì)用戶(hù)

檢測(cè)到異常登錄情況時(shí)，通過(guò)APP全局彈窗、短信、push或郵件等方式知會(huì)用戶(hù)，并提示接下來(lái)的步驟，一般都會(huì)提示用戶(hù)重置密碼，更新密保信息等。如下圖所示：

有人可能擔(dān)心，一道道的安全驗(yàn)證，會(huì)不會(huì)影響到操作上的體驗(yàn)？

在賬戶(hù)安全的問(wèn)題上，絕不能因?yàn)樗^的操作流暢性就降低安全標(biāo)準(zhǔn)。尤其是對(duì)于賬戶(hù)安全要求很高的產(chǎn)品，寧可讓用戶(hù)多做幾步驗(yàn)證，最大程度地確保驗(yàn)證的準(zhǔn)確性。

在交互上，用戶(hù)會(huì)存在操作負(fù)擔(dān)與認(rèn)知負(fù)擔(dān)，減少認(rèn)知負(fù)擔(dān)的優(yōu)先級(jí)理應(yīng)高于減少操作負(fù)擔(dān)。如果因?yàn)闇p少操作負(fù)擔(dān)，造成了賬戶(hù)安全問(wèn)題，極大地增加了用戶(hù)的認(rèn)知負(fù)擔(dān)，是非常得不償失的行為。

本文由 @?岸泥 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。

題圖來(lái)自PEXELS，基于CC0協(xié)議