互聯網產品如何做好「用戶密碼找回」功能?便利性和安全性如何平衡取捨?
又問題「如何看待支付寶 1 月 10 日被曝光的非密碼登錄模式下可能出現的賬戶安全風險?」想到,似乎各種互聯網產品都有類似的密碼找回功能,利用設備、社交、生物特徵等進行判定。這些安全措施的業務邏輯是怎樣的?便利性和安全性如何取捨?
非安全專業的人嘗試來答一下這題。
為了弄清這個問題的本質我們安在詢問了一下相關專家:
眾人科技CEO 談劍鋒:
產品設計當中的安全性與便利性很難平衡,只能通過為產品定義不同的安全等級,設定不同的安全性要求。例如,眾人科技的很多面向企業產品在密碼機制上都使用了更嚴格的密碼鎖產品。題目中所引述的事件,在其看來所有的第三方平台都該實行更為嚴格,複雜的認證程序。
華中安全評測中心 孫維:
每一個互聯網產品都有自己獨特的一套風控體系,針對所有用戶進行縱深防護,後台驗證,在保證安全性的前提下獲取最大的便利性。
綜合前面兩位專家的觀點,安在覺得討論這類問題就得有前提:
1.安全產品不能一勞永逸的解決所有問題;2.安全問題不是靜態的問題,這是涉及多個層面的持續問題(包括但不限於通信技術手段,IT環境,互聯網環境);其實,現代的IT系統安全體系的建設已經不是簡簡單單的只看某一兩個指標了。而是綜合一整套系統的各個關鍵節點,基於任務做出的一個當下最優解。這也是今天支付寶密碼找回事件中多次被提及的當然,也需要指出的是,這個東西不是一成不變的,是根據外部環境進行變化的。
在現代IT互聯網公司,我們把這一系列的決策過程所涉及的所有策略與系統統稱為風控系統。而這個東西就是他們的「武功秘籍」,外人甚至內部員工的中低層都不得見全貌,所以目前安在只能以外部專家的觀點來分析這些。
1.現有的密碼體系。
@某Jason 的答案把現有的密碼找回設計原理都講過了,這裡我也就不再贅述。總體來說分為兩類:A.密碼暗語系統的密文形式。這也是人類採用的最原始的密碼方式,但是在當代的IT、互聯網環境下,密碼暗語這種方式顯然就有些弱了。因為機器不是人,它允許你多次嘗試,那麼撞庫這種黑客技術就會大行其道。如果是兩個間諜接頭,你說錯了一次暗語就沒有第二次機會了。
B.密碼暗語系統的生物學特徵形式。這裡面有@某Jason 提到的人臉識別與指紋系統外,還有,虹膜識別等等,這些都是新增的一種密碼辦法。2.現有流行的互聯網產品都是怎樣設置密碼找回功能的。
其實,在我們談論「密碼找回」功能的策略時,不能忽略在註冊登陸時的安全策略。
i.阿里系
採用企業用戶與個人分開註冊的方式,個人主要以手機加實名銀行卡的內容進行認證。後續用戶可以自行添加更多詳細個人信息。ii.百度
只需要手機註冊便可,真正的使用支付環節時才需要綁定實名認證的銀行卡。
iii.騰訊
手機綁定註冊,使用綁定手機、QQ、郵箱,以及申訴找回。
iv. 國外其它的網站蘋果
郵箱註冊加安全問題,密碼取回也同樣使用郵箱驗證碼加安全問題回答。後續加入了雙重驗證功能,但需要用戶主動選擇開啟。在這一步之前,相當於apple ID的安全性主要依據您的郵箱安全程度。
谷歌
註冊需要手機,備用郵箱。找回密碼使用印象中最後一次使用的歷史密碼。
在這裡需要強調:漫無目的的安全措施只是在為攻擊者服務,所以我們需要,制定信息資產及風險優先順序,並讓業務領導參與其中;給最重要的資產提供差別保護,為優先順序信息資產提供有針對性的保護 。
那麼我們顯然可以看到,在國內,主流廠商都是使用手機+另一非安全問題的保證,進行雙因子認證,而國外則有兩種不同的態度。蘋果早期安全政策很差,現代來說第一層防護守舊且不好用,第二種好用,並且有機的結合了自己的硬體產品,但他不宣傳,多數普通人都不會用的吧?很多人都誇讚谷歌的安全策略最好,融入於無形當中。國內的產品主流策略我個人以為,雖然我們仍能看到中了手機木馬驗證碼被監視,sim卡被劫持,而收不到驗證簡訊。但是,這個因素被打破的幾率相對於其它因素會好很多。
從這個賬戶安全設計體系中來看,密碼取回很重要,但絕對不是最高優先順序的。一個好的密碼取回功能可以準確的授權給真正需要的人即可了。
關於賬戶安全設計需求部分,感謝東巽科技的CC老師講解。
參考文獻:基於多目標決策信息系統風險評估和安全策略.pdf麥肯錫的數字業務安全策略_百度百科謝邀!回答樓主的問題「互聯網產品如何做好「用戶密碼找回」功能?便利性和安全性如何平衡取捨?」
無論是互聯網產品還是相關應用場景,都要解決的問題具有統一模式:時間空間當中傳遞物品或者信息的系統,如何做使用者身份識別和授權。「密碼找回功能」是整個「加密/解密」系統中的一環。解決這個問題需要平衡三個元素:安全性,便利性和成本。
安全性往往會和後面兩者形成矛盾。比如:一個人給自行車上了十把鎖。一般都會認為不合理。安全性提高了,便利性下降,而成本大幅增加了。多數情況下,安全性和成本正相關,安全性和便利性負相關。
產品安全等級需求要與行業和用戶群體相匹配,而考量的指標就是破解後帶來的損失,損失越大,用戶會願意投入更多成本,或者降低便利性,以提高安全級別。
所以問題的回答就是,依據用戶不能承受的損失,度量三個元素,在三個指標體系中找到一個切合的平衡點。
回到現實問題,支付寶/微信支付都是互聯網思維的支付模式,而此模式的安全性是建立在銀行金融安全基礎之上,這種模式的興起,給用戶帶來一定的便利,但不要忽視的是,一定程度上降低了系統安全性。
從這方面也可以理解了這種金融創新一定發生在互聯網公司,而不是傳統金融企業。因為互聯網公司更注重用戶體驗,而後者更關注金融安全。傳統金融容易或者樂於按部就班,以避免創新造成系統風險。
例如,原來我們採用的網上銀行,除了用戶名和密碼,還有U-KEY,U盾。光有賬戶名和密碼是不能完成支付和轉賬的,這種方式被銀行業廣泛採用,說明安全級別滿足要求。而U盾的方式,安全性好,便捷性略低,成本高。而目前對於年輕消費者,這種方式已經漸漸淡出。其本質的問題是這種方式已經滿足不了年輕消費者所見即所得,高頻率,小金額的支付購買方式。
從中可以反思,銀行在產品安全方面以前沒有做好需求細分,沒有做好支付與產品服務的全場景對接。後者不是本問題範疇,主要說產品安全需求細分。打個比方,存一百塊,和一萬塊,幾十萬的三個賬戶,銀行對待的安全級別是相同的。仔細一想就會發現,這裡有很大問題。如果,我為了存取或支付個幾十元,要銀行折騰半天,想想都會頭痛。反之,如果十萬塊存在微信,只有6位的密碼,你會不會擔心?支付寶和微信正好做了這種按照消費者需要的安全服務區分,這是銀行所不能的。而去年央行也頒布了新的銀行賬戶方式,其中明確了不同場景賬戶類型,雖然來的有點晚,但也算與時俱進吧。
用上面例子,再反思互聯網產品安全級別做法,就很有意思了。比如:郵箱,不同用戶的多個郵箱使用方式不同,郵箱賬戶被破解所造成的損失也不同。簡單舉幾個例子:- 日常郵箱 我的QQ郵箱,平常都不看。
- 商務郵箱 商務郵件,損失要看你做多大生意,技術保密級別高低
- 註冊郵箱 所有網路應用註冊,找回密碼等填寫的郵箱,一旦攻破代表全部網路賬戶 被攻破。
是不是安全服務也應該不同?讓用戶自己在便捷性和安全性尋找適合自己的,對於要求高端的用戶收取費用,採用特別的安全方式,比如VIP客戶找回密碼,打電話,發快遞確認;雙電話簡訊確認,一個電話發一部分信息。
這裡也可類比U盤產品:- 一般U盤,插在哪個電腦也可以讀取,價格便宜。 無密碼。
- 密碼加密U盤,只有輸入密碼才可讀取,價格較高。 密碼忘記,很難找回,需專業機構。
- 指紋識別U盤,只有用戶指紋識別後才可讀取,價格高。指紋不會丟失,如果設備損壞,需專業機構找回。
越高級別的密碼肯定是越難找回的,只不過要消費選擇才好。順帶說一句,現在一些公司比如企鵝,天地融等,推出了安全域的概念。金立已經銷售的主打信息安全的手機。都是主打的軟硬結合的加密和解密方式,相信以後會出現更多的,安全服務細分作為賣點的軟硬體產品。
總結:- 對用戶安全需求細分,通過考量用戶損失來考慮產品安全級別,
- 把安全性,便捷性和成本三者劃分級別,然後找到三維連線找需求點。
- 對於免費產品可以考慮用戶自己選擇安全策略。對於高端付費用戶,可以挑選增加成本的產品和技術,增加安全係數,提高便捷性。
瀉藥~(小透明第一次被邀)
2017.1.12更新,經 @baskice提醒,修改了安全問題驗證的內容,以及增加了第9項安全令牌。最近做的產品功能正好和用戶資料驗證有關,當時也沒考慮這麼細,現在正好藉此機會梳理一下,不過我沒有深度做過信息安全方面的產品,也只能試著總結和分析。
現在大多數平台,都是移動端和PC端都有的,因此考慮這個問題的解決方案,我也會根據兩個平台用戶使用場景的特點都兼顧的到。
功能使用背景:用戶忘記密碼,需找回(重置)密碼。那麼忘記登錄名的情況就不展開了。安全風險:在能讓用戶找回的同時,儘可能規避其他人也能操作成功的風險。問題直接矛盾:如何能向平台快速、準確的證明,你就是你。如何證明你就是你呢?
那就是你一定要給出別人沒有或者不知道的東西!(廢話)1、安全問題驗證
這一點蘋果Apple ID和QQ號做的很到位,或必填或選填,設置三個安全驗證問題,每一道問題都需自己預設答案,只有答案完全相同才算正確。優點:這個功能安全係數是很高的,因為問題是填空題,需要完全正確才算通過。比如學號,既可以是班級內的學號也可以是包含院系年份的學號;再比如出生地,既可以寫省也可以寫市,還可以寫醫院,同時可以用拼音代替漢字。總之,由於答案非選擇,因此準確性才能保證。但同時這個功能也有缺點:(1)容易忘記答案。因為安全驗證是個低頻的功能,必然在設置答案後,不會經常使用,那根據艾賓浩斯記憶曲線,隨著時間流失,很可能就忘記了;(2)被破解後會關聯其他平台。無論是信息泄漏,還是密碼庫被破解,安全問題驗證與密碼類似,都有被破解的可能,而且,用戶為了防止忘記答案,很可能在多個平台設置相同的問題和相同的答案,那就會出現連鎖反應。2、手機/郵箱驗證碼
這個是目前很成熟的安全驗證手段,操作方便,又代表了個人屬性,被絕大多數平台用來驗證用戶,甚至作為登錄手段。缺點:(1)會有被盜風險,郵箱的安全性是由郵箱服務商保證的,而手機被盜也同樣是不可控因素;(2)會有無法接收的情況,比如郵箱把郵件拉到了垃圾箱,比如甚至郵箱服務不穩定根本就沒收到,再比如手機信號問題,簡訊接收困難,就出現了支付寶曝出的這個問題了。3、指紋驗證
這功能的個人屬性非常之高,從2013年的iPhone5S開始,各手機商家都在發展指紋驗證功能,現在千元機也有相關硬體的支持。優點:(1)真正意義上的證明你就是你,除非你被盜取指紋,但如果你被有這項技術的人盯上,那也不是我這level的人能解決的了;(2)無需記憶,手指一摸,就可以通過驗證,當然,你需要記得你以前用的哪只手指;(3)方便快捷,不需要輸入文字,不需要多項選擇,幾秒鐘內直接搞定。缺點:(1)並不能支持全設備,再怎麼普及,現階段也並非所有手機都有這個指紋識別的功能,尤其PC端,沒有相關硬體的是多數;(2)X因素的影響:有些人手乾燥,很難觸髮指紋識別;手受傷,包紮了;手機的指紋模塊壞掉了。
4、面部識別
優點:與指紋類似,都是用戶本來就有、隨身攜帶、難以被盜、操作簡單的數據,支付寶折騰社交之前也有人臉識別功能,但為了突出社交,把這個安全性很高的給幹掉了。缺點:(1)技術複雜(個人認為),蘋果iOS10才根據人臉識別推出了「人物」這一類的子相簿,識別準確率還是很高的,但國內平台使用此技術的不多,QQ算一個,個人猜測是技術有那點,可能專利費貴;(2)X因素,人臉的X因素要比手少一些,但也有受傷、整容等變臉的可能。5、網路/設備信息
當前訪問服務時,所處的網路環境、設備的具體信息,包括但不限於:IP地址、設備MAC地址、手機IMEI,這些數據都需要和已記錄過往數據比較,如果相同,則起碼認為是使用常用設備、常用地點的。缺點:(1)受限於設備許可權設置,未能獲取相關數據;(2)難以滿足更換設備、移動網路下的使用環境,需要其他驗證方法。6、個人行為
這一類都是比較分散繁瑣的數據,每個平台可根據自己的特點、能用的數據,做對應的設計。比如:從一堆頭像中勾選是自己好友的,從一些收貨地址中勾選屬於自己的地址。(支付寶就是使用這兩種踩到雷的。 )缺點:這些數據畢竟是很常規的數據,容易被其他人獲得。優點:雖然私密性不高,但數據的發散性、擴展性都很強。那麼如何設置問題,既能確保私密性,又能方便回答,還不要引起用戶反感,都是在設計功能時需要考慮到的。7、證件號碼
這個是我自己發散想到的。優點:身份證號、護照號、軍人證件號碼等等,都是很私密的數據,只要別人沒有拿到你的這些證件,很難記住這些號碼,破解難度很高。缺點:由於這些都是實際物體相關的,那麼當這些證件丟失時,也會有賬號安全的問題了。8、歷史數據
這一項我列出來,其定義是當前用戶數據中沒有,但曾經的設置里有過記錄,以此來作為驗證依據。比如:以前設置過的密碼,以前登錄過的城市,以前設置過頭像,以及如果更改過就會有以前用來登錄的郵箱/手機號,等等。優點:歷史久遠的個人數據,當前狀態無法查看,也無法盜取。缺點:但這些數據有著很強的個人風格,特別熟悉的人也可以破解。9、安全令牌
安全令牌有兩種:手機安全令牌,以及單獨的安全令牌硬體。優點:用戶和令牌是一對一綁定的,在手機或硬體沒有被盜的情況下,其他人幾乎不可能獲取到令牌的信息。而且安全令牌支持斷網操作,雖然我不懂其中具體的邏輯,也許是一套很複雜的預先設置好的隨機數生成邏輯吧。缺點:增加攜帶成本。單獨硬體自不必說,手機令牌也需要單獨安裝App,並且進行綁定關聯。所以目前應用的場景以銀行和PC網遊為主。先這麼多吧,各種方法的取捨分析,有空再寫。我覺得支付寶這次是被自己繞進去了。貌似設計了一套合理的閉環來保證賬戶密碼安全,同時也保證了用戶使用的便利性。但其實他們忽略了這些閉環並不是所謂的完整閉環,而是可以通過不同的點去打通。而一旦打通,這一套所謂的保障系統就完全崩潰。人類社會有很多類似的例子,處心積慮思考出一系列複雜的制度和流程,最後卻輕易被一根稻草顛覆。支付寶為了提高用戶體驗,提供了便利的找回密碼服務,然而這種所謂的便利和周全,就會暴露很多漏洞。但是歸根結底,我覺得支付寶更應該思考的是,支付寶真的只是一個工具。隨時開啟,用完即走。而不是要指望靠著這個APP黏住用戶,提供一些畫蛇添足的功能。本著一顆做好工具的心來做產品,這些問題都能解決。
看了一下,都是扯了些沒用的,找回密碼這個東西無論怎麼樣去設計,風控不做好都會有問題。
找回密碼功能 在產品人員看來是可大可小的。
小的就是只提供個聯繫郵箱,要找回密碼 發郵件聯繫技術人員大的就是各種用戶自己操作,最終實現可以找回密碼的功能。至於平衡的取捨,則完全取決於產品的特性。
如果你是個涉及金錢支付的,那麼安全性很重要,所以找回密碼應該設計的很細緻很複雜。如果你是個提供資訊論壇交流的,安全性也就那樣。用戶密碼找回的功能做做基本的就夠了。在做複雜的找回密碼功能時,需要考慮到用戶手機被盜或丟失的情況。再具體的就是產品邏輯了,就不展開了。只提一點。gmail 有類似登錄機制的判斷,然後對應的有自助阻斷登錄或者異常登錄的提醒邏輯(猜測gmai應該有類似的保護期機制)。這個也是建立在對用戶長期使用習慣的判斷上。支付寶的話這塊應該之前也有不少的數據儲備。最起碼旺旺的登錄IP或設備異常都會進行提醒。謝邀。
個人覺得,這跟社交並未有很大的關係,而是支付寶正在深挖極致用戶體驗的一種體現,希望考慮到更加細化的應用場景,這樣的精神是肯定的。但是生活中,本身就存在各種限制,各種規則,想打破這些規則還能實現閉環和安全實屬不易。而這次的錯誤示範,證明產品經理的砍需求要果斷,不能為了做需求而想像出需求。
其實這件問題的解決思路有很多,但我覺得最有趣的思路是不要把密碼本身的地位放的太高。
人云亦云!最早使用隱私認證的是微信.支付寶是加了可信的,只有在自己的手機上才能使用隱私認證,熟人如果拿到你手機許可權,這種本來就無解,用得著扯隱私的問題嗎?騰訊真是毫無節操!
互聯網都這麼多年了,還在扯密碼?密碼這東西是一個鬆散的協議,誰都難以控制,所以導致脫褲,洗庫、撞庫猖獗,然後你能有什麼辦法解決呢?沒有,全他媽的屎上堆屎。看看阿里的體系,從流量監控、人機識別、撞庫策略、被盜策略、撞庫模型、被盜模型。。。。然並卵,還不是天天被撞。怎麼辦?不要密碼不就完了嗎?你見微信在pc端,在web有密碼登陸這種模式嗎?微信app端你不換手機設備需要密碼登陸嗎?微信app端即便你換了設備,此時輸入密碼有用嗎?還不是要你 驗證手機簡訊?這就相當於不認密碼了。你見滴滴、易到、uber登錄用密碼嗎?你見典典養車登陸要密碼嗎?答案是什麼?可信體系,什麼意思,很簡單,老子識別不了壞人,那我就不識別壞人,只識別好人,不是好人的全部是壞人,全部給老子簡訊驗證。so,請大家多一點創新思維,少做一點屎上推屎的事情。謝邀,正好最近在研究用戶賬戶體系的問題。
支付寶的問題回歸到最本初,其實就是我在第二部分會說的機器識別向生物識別靠攏過程中單純疊加邏輯和流程,而邏輯一定會有漏洞,邏輯越多,漏洞也就會越多。
至於如何取捨還是得結合產品自身特點,具體說明可以看下面的回答。
1、深度定位
像大家都提到的一樣,一般來說密碼相關驗證的強弱與用戶的使用深度有密切的關係。這裡的使用深度可以簡單理解為一些功能模塊,如果產品涉及到這些功能模塊,就應該具有同等級的密碼驗證功能。
舉個栗子(可能不太確切,明白意思就行)
如果產品只是單純的瀏覽,或者是輕度工具(比如天氣類應用),這類產品甚至不需要有用戶系統。
但是如果產品包括了較深資金交易等模塊的話,就必須讓系統嚴格確認你是你。
所以我沒有必要去修長城去擋一隻螞蟻,也不能拿衛生紙去擋洪水。。。為毛是衛生紙我也不知道
2、唯一標識
一般的系統需要有用戶的唯一識別,這個唯一識別不一定是生物學上的唯一的人,而是系統的唯一識別。比如,目前大多數產品都是以手機號作為唯一識別,相當於系統認為一個手機號就是一個人,不存在一個人兩個手機號的可能。這樣的結果就是,當你換了手機時你只能作為另外一個用戶出現,這也是犧牲便利性贏得安全性的方式。
現在主流的大廠的識別方式其實都是在向生物識別靠攏,因為這樣最人性化。但是如果只是在邏輯上進行疊加,而不在技術上革新的話,會導致整個邏輯體系異常龐雜,邏輯漏洞就不可避免。這次的支付寶事件其實就是在向生物識別靠攏的過程中,單純進行邏輯疊加的結果。
3、驗證方式
常見的確認你是你的方式無外乎簡訊、郵箱、指紋、語音、社交關係等,有些牛X的公司會有聲紋識別、虹膜識別、面部識別這些黑科技。
4、驗證流程
關於如何做好用戶密碼找回功能這個問題可以分成三個部分,首先需要明確的是「密碼找回」、「密碼重置」和「密碼修改」是兩個功能。這三個功能在應用場景上是不一樣的。
在部分產品上密碼修改是包含於密碼找回的流程里的。
先看看找回和重置,主要的應用場景是存在於登錄的時候(一般人性化一點的入口文案會寫成「忘記密碼?」)。常規邏輯是:
- ①確認你要找回哪個賬號;
- ②驗證你是你;
- ③修改密碼(或者重置,或者直接發送密碼到手機或者郵箱);
密碼修改一般驗證方式都是用原密碼驗證,有的產品會加上手機進行雙重驗證。
--------------------------------------我是分割線--------------------------------------
先寫這些,要是大家有興趣再補充。
謝邀。
找回密碼,其實就是便利性與安全性的相互妥協,主要還是要看產品定位,產品的定位不同,便利性和安全性各自的權重自然會不同的。像社交類、競爭性強的產品安全性要向便利性妥協一部分,對於涉及金錢、重要隱私的,一般安全性都是向便利性妥協的,並且一般便利性稍微差一點,反而能增加用戶的新任感。如此而已
可以參照金融系統,特別是銀行系統的方式,個人認為目前又安全又便利的方式應該是刷臉加指紋。
我個人感覺這是個基本無解的難題 在面臨盜號風險時 人們覺得安全性更重要 但只是自己忘了 就希望3秒搞定
找回密碼業務邏輯幾位答主已經說的比較詳細了。
回答下便利性和安全性如何取捨的問題:
找回密碼是賬戶一個重要流程,而賬戶的核心就是安全性,無論如何,安全性都是必須要保證的!便利性才是需要取捨的。
在找回密碼的主流程中,通過手機號,郵箱等註冊時留下的認證信息即可找回。此流程已經很便利了。
當常用信息無法用於找回密碼時,那麼需要備用的流程來找回賬戶。此流程的核心不是便利,核心仍然是安全地讓用戶找回自己的賬戶。而支付寶的坑就在於這個流程看起來很完善,依賴的信息很多,但是這些信息外露也很多,安全性無法得到保障。
不瀉藥,因為沒有體驗到這個漏洞,好氣。
首先我想說便捷性和安全性本身就不是平衡的,在支付這件事上,無論什麼時候便捷性都要給安全性讓路,所以我們設計的思路就應該是在保證安全性的基礎上,再去考慮便捷性。
那麼回到主問題,互聯網產品如何設計密碼找回?
密碼找回這個需求,對於廣大的用戶群,首先他是一個必要需求,因為沒有找回密碼你密碼丟失了會非常痛苦,其次他是一個低頻需求,因為一個用戶不可能隔三差五的忘記密碼,忘記密碼多半是太久沒有來登錄了。那麼對於這麼一個低頻但必要的需求,在我們的設計理念裡面,便捷性的地位其實也並不是那麼高,這樣也映照了我最開始說的,應該在安全性的基礎上,再去考慮便捷性。1. 先保證安全性
安全性,我理解來看就應該是無論我的賬戶發生什麼事情,都應該是我操作的或者我授權操作的,那麼就找回密碼來看,我們先討論自己操作的情況,那麼最常用的,手機驗證碼模式,現在絕大多數賬號都和手機號有綁定關係,通過手機號收到的動態密碼來執行找回密碼是可行的,那其實支付寶也有這種方式,但是支付寶又考慮了如果手機不在身邊怎麼辦,那你去把手機拿過來再登錄啊,那如果手機號不能用了怎麼辦,給客服打電話啊。再者本來找回密碼就低頻了,找回的時候還沒手機能收簡訊,會有多少這種情況,所以對於這種情況我們沒必要專門去給他設計一條路,直接轉到人工客服來解決好了。那另外一種我授權給別人操作,那其實很簡單,我只需要把我收到的驗證碼發給我授權的人,就可以了,如果手機號不在了,那你還是只能自己去找人工客服解決,畢竟該麻煩的事還是要麻煩的,安全第一。2. 再考慮便捷性那麼在保證執行找回密碼的人要不是你本人,要不是你授權的人的時候,我們可以稍微考慮一下便捷性,我覺得正常情況下通過手機收取驗證碼找回密碼已經是一種很便捷的方式了,大概再簡便就是直接幫你把簡訊驗證碼給貼到輸入框里?反正我覺得現階段沒有必要去再去提升便捷性了,還是那句話,這是只是一個低頻的需求,想想銀行忘記密碼你得拿著身份證去營業廳的感覺吧。謝邀。然鵝專業並不對口,沒做過互聯網產品。只能說說某通信運營商的集團產品的幾種密碼找回方式供大家參考。1.正確輸入集團編碼+集團管理員手機號碼:集團編碼是系統隨機分配給集團的唯一的不變的一串數字,一般只有集團的客戶經理知道。要找回密碼,只能通過客戶經理和管理員才能找回。2.用戶名+驗證碼:正確輸入用戶名和驗證碼後,系統自動將密碼下發給預先設定好的手機號碼和郵箱。3.申請密碼重置:通過集團的客戶經理向管理員賬號提出密碼重置申請。客戶經理要對客戶身份真實性進行審核。4.準確輸入企業的營業執照號碼:密碼將自動下發給預先設定的手機號碼和郵箱。上述這幾種密碼找回方式安全性相對較高,但是均無法直接複製到互聯網產品。而且並不是所有的互聯網產品都需要高安全性密碼找回方式。個人覺得涉及資金、身份信息等等人身利益相關的產品,可以在密碼找回方式上向安全性傾斜。其他產品則可以向便利性傾斜。
支付寶的問題沒有暴露出來之前,很多人都覺得這個不同於其他網站的找回方式,他們的找回密碼的方式安全有保障,真的沒想過會出現這麼大的漏洞;
謝邀!
本人產品小白一個,對於這方面也沒有什麼獨到的見解。對於支付寶這次的事件,只能說只有程序員沒有責任,其他各方,包括高層,產品,測試等等,都有責任。另外,用戶找回密碼的安全性和便利性的取捨,主要看產品性質,類似社交等,個人觀點手機或者郵箱驗證碼即可,便利性為主;如是涉及大額(多大額就自行衡量咯)金錢交易類產品的,那安全性肯定是首要考慮的問題,必要的驗證環節是必然的。以上僅個人觀點,歡迎指正交流!
第一次回答,有點緊張,如有不對求輕拍~謝邀;
我是個新人講的不對多多包涵;
在我的知識範圍內,目前市面上主觀的找回密碼方式有以下幾種:一.手機(號碼/簡訊);二.各類郵箱;三.外用設備(XX寶之類的很多的);四.指紋、聲音、臉部識別;目前大多數app、web、商城等是應用了手機號碼/郵箱/簡訊/找回。大致分析一下就明白,這些類別的業務邏輯方式,都是便利性為主(手機人手一直;用於上班等聯繫的人手一個的郵箱);這兩種的使用率都是最高的,但反之安全性也是最低的;資料庫被盜,撞庫,攻擊埠(介面),攻擊本地數據,買賣個人信息/電話號碼,等比比皆是。所以總結下,我覺得這個取捨是完全看待產品定位的;(金融類/交易類/商城,這些一般都是安全大於便利。遊覽展示/社區論壇等更傾向於便利大於安全)。反正是仁者見仁智者見智,看定位取捨就好。做的時候記著帶上腦子!
推薦閱讀:
※hash與消息摘要的關係是什麼?
※拉杆箱密碼忘記了怎麼辦?
※2436 926 246 742 24這串密碼有什麼含義?
※解密單表代換密碼?
※為什麼Ubuntu判斷密碼時,正確密碼比錯誤密碼反應快好多?