我在登錄閑魚時遇到奇葩的驗證,背後原因可能是這樣

昨天我在打開閑魚App的時候,遇到了這樣的「安全校驗」:

當時我就樂了,這九張圖裡面,八張都是女性服裝,衣服啊絲襪什麼的,這些我這個單身狗完全是不可能買的嘛。我把這張截圖發到朋友圈,果然引來很多吐槽。

剛好朋友圈評論中有朋友提到這個驗證的邏輯,笑過了,就來認真討論一下這個安全校驗背後的邏輯。為了讓思路更清晰,我用提問的方式層層展開。

1.這個界面的性質是什麼?

我們先來確認一下,這是不是某種打開App的密碼?

顯然不是,因為閑魚App是不需要打開密碼的。閑魚的私密等級是不如支付寶的,支付寶都不需要打開密碼,閑魚自然也是不需要的。

而且,這個驗證只出現一次,驗證完以後就不會再出現。

所以,這其實就是驗證碼。

2.為什麼需要驗證碼?

我上周剛剛給手機刷機,刷完當時就裝上了閑魚,今天是第一次打開。對於閑魚App來說,這和在一台新設備上登錄沒什麼區別,所以要開啟安全驗證。

說到這,背後有個隱含的邏輯:在新設備上登錄某個App,需要開啟安全驗證。

很多人到這一步,會把這些事情當作理所當然,而忽視了背後真正的原因。這個問題也可以換個說法:

在新設備上登錄時要輸入驗證碼,那這個驗證碼是在防範什麼?

3.這個驗證碼在防範什麼?

驗證碼從誕生之初起,就是為了防範區別人和機器人,這裡的機器人代指能模擬人進行註冊或者登錄等行為的程序。

說到這,就要涉及到賬戶安全了。

早期的驗證碼最主要的作用是防範惡意註冊,一般是一些變形的數字,人可以讀懂但是機器人識別不了。例如這樣:

後來出現了能進行圖像識別的機器人,這種驗證碼就漸漸沒落了,有的越來越難認,有的演化成這樣:

近年來隨著移動互聯網的發展,驗證碼的場景發生了變化,很多時候我們不僅需要登錄者持有正確的賬號和密碼,還希望他是在綁定的手機上登錄,這時候,簡訊驗證碼就被推上了歷史的舞台。

從某種意義上來說,驗證碼可能比賬號密碼還重要。

現在很流行「撞庫」攻擊,很多用戶在不同網站和App用一套賬號和密碼,只要其中一處被黑客攻破,賬號和密碼就會被收集到社工庫,然後用工具對其他網站或者App進行撞庫攻擊。我曾經搜索過自己被盜過的賬號和密碼,在社工庫中找到了12處,令人觸目驚心。

社工庫中的賬號和密碼太多,互聯網上的網站和App也太多,黑客不可能一個個手動輸入,必須依賴工具批量登錄,這時候,即使登錄的賬號和密碼都正確,也很難過驗證碼的關。從這個角度上來說,驗證碼可能比賬號密碼還管用。

4.為什麼不直接用簡訊驗證碼?

前面我們已經提到,簡訊驗證碼同樣具備驗證登錄者的作用。既然都是驗證碼,那為什麼不用簡訊呢?

現在絕大部分App都在用簡訊驗證,包括銀行的客戶端,可見簡訊驗證的安全性也是經得住考驗的。

但是,「選擇購買過的商品」這種方式比簡訊驗證碼更加安全。

因為「選擇購買過的商品」的目標是這個賬號背後的人,而簡訊驗證碼的目標是這個賬號曾經綁定的手機,人顯然比手機更靠譜。

另外,用這種方式驗證比發生簡訊驗證碼的成本要低一些。

5.這9張圖的內容是怎麼決定的?

說完了安全,就需要說一下產品了。每個產品都有自身的風格,這個驗證碼既然是App登錄的一個環節,自然也是要契合這個風格的。

坦率地說,從9張圖中選1張自己買過的東西這種方式還是很有趣的,而且也不需要像簡訊驗證碼那樣讓用戶等待,徒增枯燥之感。

此時還得考慮一個新問題:如果用戶忘記自己買過什麼東西怎麼辦?

這也是選這種驗證方式不選簡訊驗證碼的不足之處——沒有人讀不出簡訊驗證碼,但是未必所有人能記住之前買過的商品。

為了解決這個問題,閑魚在演算法上做了一些設計(以下都是我的推測):

一共九張圖,除了一張用戶買過的商品之外,其餘八張全部推送和用戶從來不會購買的商品。這樣一來,用戶即使忘記了自己購買過的商品,也能推斷出哪個是自己買過的。比如說給我推送8張母嬰用品,我自然也不會去點,即使我忘了自己買過的是哪個。

至於如何給用戶推送8張完全不會購買的商品,這個就依賴淘寶的大數據支持了。根據用戶以往的購買記錄,勾勒出一個用戶畫像,然後就可以判斷出他不會買什麼了。

以上可以解釋,為何9張驗證的圖片,八張風格如此高度統一,因為那是系統選擇了某一類你最不可能買的商品。


推薦閱讀:

產品經理如何繪製高質量業務流程圖?
互聯網簡訊-20180309
章澤天在微軟擔任實習產品經理究竟做了些什麼?
這真是難過的一天
一張圖了解互聯網產品盈利模式

TAG:產品設計 | 產品經理 |