登錄註冊體系已經用手機號+簡訊驗證碼碼登錄的情況下,還有必要再加密碼嗎?
產品的登錄註冊體系已經採用了「手機號+手機簡訊驗證碼」登錄的方式,但是考慮到一些特殊場景,有讓用戶增加「設置密碼登錄」的必要嗎?
-----------------------
看完目前 10 個回答,反對者反對的是「不設密碼」?
Young Simple 「反對者」反對的是用「手機號註冊」
麻煩先讀題,再答題 O(∩_∩)O ~ ~ ~ ~
這幾天剛好在研究這個,借題主這個機會和大家討論一下我的想法.
個人認為手機驗證碼登錄或者說用手機作為用戶賬號(甚至是識別ID)的做法本質上和第三方快捷登錄的初衷是一致的,第三方登錄的用戶作為應用方能得到用戶的頭像和一些簡單的個人資料,這些資料的完善更有利於應用業務的展開,或者說是業務中不可或缺的一部分.手機號作為一種用戶信息幾乎在所有應用的業務中扮演著重要角色,更不用提電商類應用對手機號的重視程度,按照原有的做法,用戶在正常設置賬號密碼後還需要驗證手機,甚至是用戶在接觸核心業務邏輯前強制綁定.如此,把流程精簡,鑰匙歸一,手機作為賬號或者免註冊手機驗證登錄應運而生.以上,只是我對產品前輩們的一種想法解構,也許是其他的某種巧合吧.我的第一個產品,就使用了免註冊手機驗證的做法.那時恰好是手機驗證流行的前夜。------------分隔線-----------關於驗證簡訊資費的問題我的第一個產品,因為出於手機遺失(那時手機實名的法律剛要推行)或者手機號無法正常登陸等情況的考慮,做了用戶在手機驗證登陸後引導綁定社交賬號的設定.這樣用戶至少有找回密碼的依據,當時的我只是這樣想.後來我發現智通前輩的作品中,允許我這樣稱呼.
引導用戶在驗證碼登錄後綁定社交賬號.同時告知用戶下次可以直接通過社交賬號授權快速登錄綁定的手機賬戶.這樣的設定,也許能部分解決資費成本的問題,同時提高用戶體驗。社交賬號的授權操作只要點擊兩次即可完成,相比於驗證碼的操作簡單許多.這對於用戶來說也是個福音.和大家探討,在此感謝題主!謝邀,
手機不在身邊手機被盜手機換號了
所以用手機號這種不是綁定了用戶的「賬號」,綁定的是手機啊!手機號循環使用,所以之前的用戶隱私全沒了沒必要。記得簡訊驗證碼碼這裡要足夠長(譬如6~8位數字)
單從手機簡訊驗證本身來說有必要,因為:1、如果用戶所在環境手機運營商信號不好,卻可以連上WiFi,這時候長時間接受不到簡訊驗證碼,分分鐘哭暈在廁所啊…2、如樓上所說,手機被偷了,丟了,換了新號碼,都有很大可能無法接收到賬戶對應手機號的簡訊驗證碼這個時候,添加一個密碼登錄的方式,就很有必要啦。PS,啰嗦補充個人觀點:
一直不覺得「只」用手機號+驗證碼的註冊登錄方式是一種更好的選擇,因為從另一個角度來說,現階段的互聯網用戶對於註冊時只有手機+簡訊驗證碼的方式是存在一定排斥意見的。舉個不恰當的例子,這就像和一個不熟的人第一次正式見面,對方就問你要電話號碼說以後常聯繫,你會願意給嗎?信任基礎很弱的~
其次人們在飽受電話銷售轟炸的情況下,對註冊提交手機號就更加謹慎了,會十分在意自己的電話號碼以及個人信息會不會被泄露出去。當然,優先推薦用戶採用什麼註冊登錄方式也與產品的定位和未來的運營規劃有關。如果是一個電商或者安全性很高的產品,要求賬戶信息反饋及時,並且手機號碼是一個重要組成部分的時候,偏好用手機號+簡訊驗證的方式可以理解,用戶也不會產生排斥心理。最後,註冊登錄行為,是在用戶操作使用產品的過程中被自然引導出來的話,就更順暢絲滑惹~當然需要。第一,可能會出現網頁端登陸、手機未帶等情況;第二,簡訊驗證也是錢呀!別拿豆包不當乾糧,要知道極少也能成多的。第三,每次都需要驗證碼對於用戶體驗而言是非常糟糕的
當然有必要。。。
如果手機號碼註銷了或者停號了一段時間後,運營商會回收號碼並賣給其他人。。
說個我自己的例子,去年我新換的手機號碼,我拿來登錄百度,發現只需要輸入手機收到的驗證碼不用密碼就能登錄百度,然後之前用這個號碼的人的網盤裡有啥我都知道了。。不知道現在版本的百度還有沒有這個風險。。。
這個風險的原因可能是上一個用這個手機號的人忘記改綁手機了,也可能是上一個人壓根就用的手機號註冊和登錄的百度,沒設置郵箱或帳號名。所以說啊,設置密碼(如果考慮開通支付功能的話,密保也是相當重要的)還是非常有必要滴剛剛用這個號碼試著登了下去哪兒網,又發現了之前用這個號碼的人下過什麼訂單、收藏夾里有什麼,評論過些啥。。。
不知道運營商有沒有相關介面可以供互聯網公司查詢手機號碼是否被重置過(回收),如果有都話,應該可以定期查詢下,清空帳號信息,保障用戶隱私不被泄露。如果現在已經有了,那麼顯然某些公司做得不夠好啊。。。
手機號+簡訊驗證碼,是為了保證是本人在操作(限於該手機號仍為原註冊者所有),畢竟現在的整個網路安全形勢是很嚴峻的,賬號密碼存在著很大的被泄漏風險。但手機號註冊形式存在一個固有問題就是:手機號可能會被二次利用,那麼如果單純以 手機號+簡訊驗證碼,該如何區分手機號舊持有者和新持有者,舊持有者又如何獲取驗證碼,對於這種情況目前大多數的做法是允許更換手機,但這種做法在實際場景下(比如需要設置帳號更換有效期,或者用戶自己忘了選擇更換手機)仍比較麻煩。我個人看來,手機+簡訊驗證碼的方式,更為安全有效,目前之所以不是市面上各應用最主要的登錄方式,主要是其手機號二次利用的問題不好解決。如若已經選擇了該種情況,則不需要再加上密碼了。特殊場景,指的是手機無法接受驗證碼?這種情況下,如若提供了密碼途徑,那麼依然存在被別人惡意利用的的風險,因為此時無法確認該手機是否屬於安全情況下。但不管怎樣,要不要採用還是看自己產品在帳號唯一性安全性上會有多大的重視。比如涉及到賬戶現金,那麼恐怕安全性得為重中之重,如若僅是普通的資訊軟體,或許可以往用戶體驗上靠攏一些。
找回密碼
手機號+簡訊驗證碼可能能解決90%的場景。
然而產品很大一部分的工作內容就是解決那10%場景情況下可能出現的問題。往往這百分之十的場景會耗費掉90%的精力。很多時候是為了避免風險,保證可用性來做這些工作。再說回來,一個user對應一個account,如果使用手機號作為唯一account,且不使用別的唯一id,其他答主提到的竄號問題就出現了。因為一個account 對應一個 手機號,而一個手機號對應到多個自然user。某種意義來說,這也是為什麼要添加昵稱或者唯一id的原因:保證一個人一個賬號這一基本原則。但是一個賬號可以關聯在不同的手機號上。而與之對應的,這也是為何需要增加密碼的原因,保證一個賬號和密碼這一組真*唯一身份識別。(前提是移動端)我認為在手機號+驗證碼的狀態下,沒必要加多一種登錄方式,這樣登錄體系會顯然的特別臃腫。再一個,要基於產品內部屬性來看這個事兒,比如內部支付或者相關事件也涉及到驗證碼,那就沒必要考慮手機號+密碼。說安全的,手機都丟了,我忘記密碼不一樣能登陸上么。
其實手機號+驗證碼登錄方式解決的是現在的應用太多了,用戶很多記不住密碼的苦惱,同時如果用戶為了省事所有應用密碼都一樣,那麼一個app密碼被盜,可能導致很多賬號被盜,修改密碼成本也很高;手機號+密碼解決的是用戶手機不在身邊,信號不好_但有wifi,手機號停機,手機丟失等情況下的登錄。各有好處。用戶可以選擇一直用手機號+驗證碼登錄,而不設置密碼,就沒有密碼被盜的風險。用戶選擇用手機號+密碼登錄登錄受制約的條件更少些。
基本上是不用了 不過如果你不放心的話 也可以加
有必要。其實單純「手機號+手機簡訊驗證碼」並不安全。另外也正如你說的,要考慮到一些特殊場景。比如手機不在身邊,手機在別人手上。
有必要。其實單純「手機號+手機簡訊驗證碼」並不安全。另外也正如你說的,要考慮到一些特殊場景。比如手機不在身邊,手機在別人手上
如果擔心手機被別人拿走盜用身份,就需要加。
看你網站業務是否需要那麼嚴密的驗證了。
推薦閱讀:
※哪些產品讓人在選擇時會比較傾向於買貴的?
※做一名做過程序員的產品經理是一種什麼樣的體驗?
※如何判斷一個需求是強需求?
※在醫療器械行業,作為廠家代表,對相應產品進行學術推廣時要注意些什麼呢?
※開發人員最討厭產品經理的哪些做法?