帐号体系:密码是必需的吗?

22 评论 3356 浏览 13 收藏 9 分钟

编辑导语:现在用户在进行登录或注册时,似乎用到密码的频率相对降低了,更多情况下,人们会采取手机号验证码来实现登录或注册。不过,在进行帐号体系设计时,密码模块保留与否,还是要依具体场景而定。本文作者就帐号体系中的密码设计进行了解读,一起来看。

用户在登录注册时,通常都会被要求输入登录密码。但在当下的互联网阶段,密码已经是一个被淘汰的设计。因为已经有体验更好的设计,来替代密码解决用户需求。

一、为什么要有密码?

密码只由帐号所有者掌握或授权,解决了用户身份校验的需求。

出于使用的方便性,很多产品的用户帐号是公开可查看的,任何人都可以合法地知道另一个用户的帐号。加QQ好友,就需要知道对方的QQ号;发送邮件,就需要知道对方的邮箱地址。

用户在登录系统时,系统无法通过用户输入的帐号,就确认当前尝试登录的用户就是帐号的所有者。因此,必须输入一个只有帐号所有者掌握,且与该帐号绑定的信息,系统才能确认当前尝试登录的用户,是帐号所有者。帐号是门,密码是开门的钥匙。

二、密码认证的问题

安全性、便捷性不足,是密码认证的主要问题。

用户在设置帐号密码时,为了避免被人轻易破解,通常都会设置一个比较复杂的密码。这也是系统的要求,如包含数字、大小写字母、不少于8位。

复杂密码满足了帐号的安全性需求,但给用户带来了很大的记忆负担。很多用户为了方便记忆和使用,会给多个产品帐号设置相同的密码。这样用户只需要记忆一个密码,即可用来登录多个产品的帐号。

一旦密码泄漏,所有使用了该密码的帐号都随时可被其他人登录使用,给用户带来极大的数据泄漏和帐号丢失风险。

当然,以上问题并非不能解决,但需要为此开发更多复杂的验证逻辑,带来更高的研发成本。如非常用手机登录验证、异地登录提醒等。

三、密码为何被淘汰?

随着移动互联网的发展,催生了手机、微信这类基础硬件设施和国民级产品,手机号和微信号成为了这个时代下,验证用户身份的最重要媒介。

手机已经成为了用户的“新器官”,用户随身携带、随时使用。手机使用的手机号,运营商销售给用户时,已经完成了身份证实名认证,通过手机号,可唯一确认用户身份。

根据官方公布的数据,截止到2021年底,微信已经有12.6亿用户,日活超过10亿。几乎每一个能上网的用户,都拥有一个微信号,且用户使用频次非常高。

1. 安全性

由于提供方的完善风控体系和用户的使用习惯,相对于密码,手机号和密码的安全性更高。

手机号开卡时,运营商要求用户提供身份证,用户的手机号一般是给自己使用,或者授权给其他人使用,很难被冒名盗用。微信为了确保帐号安全,设计了严格的风险控制规则,如绑定手机号、绑定银行卡、新手机登录验证等等,大幅度降低了被盗用的可能性。

而密码可能会因为用户设置过于简单、多个产品使用相同的密码、攻击方通过撞库等方式暴力破解等原因,发生泄漏,导致帐号被盗用。

2. 便捷性

手机号和微信号不仅安全性更高,验证身份的过程也更便捷。

使用手机号有两种便捷的验证身份的方式,分别是手机验证码、运营商认证。

1)手机验证码的验证过程是:

  1. 用户输入手机号;
  2. 点击发送短信验证码,系统生成一个短时间内有效的4位数字凭证;
  3. 输入验证码,系统校验,完成身份认证。

只要用户准确输入了验证码,即证明当前用户是该手机号的所有者或授权使用者。

2)运营商认证的过程是:

  1. 进入页面时,自动调用电信运营商接口,获取当前手机使用的手机号;
  2. 点击申请授权,完成授权过程。

只要用户当前能正常使用蜂窝网络访问电信运营商基站,就可以一键完成身份验证。

3)微信号验证身份也非常简单:

  1. 点击微信授权登录,跳转到微信授权界面;
  2. 用户点击同意授权,完成身份验证。

若使用密码,为了弥补密码的安全性漏洞,想要更安全,就必须要为每一个产品单独设置更复杂的密码,带来记忆负担。输入密码时,必须要输入不同类型的字符,消耗更长时间。

综上所述,无论是安全性还是便捷性,密码都已经完全被以手机号和微信号为基础设计的身份验证方式所超越,已经不再有存在的意义,完全可以被淘汰。

四、两种密码处理方式

基于以上分析,密码是一个可被淘汰的身份验证方式。那么我们在设计帐号体系时,应该如何考虑密码的去留呢?主要有两种方案。

1. 直接舍弃密码

对大部分新产品来说,建议直接舍弃密码。

新设计开发的产品,没有历史包袱,不需要为已经设置了密码的老用户保留密码,而密码的安全性和便捷性已经被新方案所超越。

因此,完全可以在设计帐号体系时,直接舍弃密码,替换为上文所述的新方案。典型案例有拼多多、小宇宙、朴朴、叮咚。

2. 保留密码,降低权重

对于一些使用了密码,且有一定老用户积累的产品来说,建议保留密码,但要降低密码的权重。

对这类产品来说,依然存在老用户使用密码的场景,如果贸然舍弃密码,将导致部分老用户无法登录,甚至丢失帐号。

用户只设置了密码,在上线了新的身份验证方式后,用户从未使用过。如未绑定过手机号、微信号。

若用户长时间未使用,某一天想要使用时,发现无法使用密码登录,直接导致用户原来的帐号丢失。

由于密码的安全性和便捷性不足,应该要降低密码功能的权重,引导用户接受和使用新的身份验证方案。如Keep,把密码登录移到了3级页面:

五、总结

密码存在的意义是解决身份验证的需求,但由于安全性和便捷性不足,被手机验证码、运营商认证、微信认证等新的身份认证方式所超越和替代。在设计新产品时,建议直接舍弃密码,已经使用了密码的老产品,建议降低密码功能的权重,引导用户接受和使用更安全、更便捷的身份验证方式。

#专栏作家#

誓博,微信公众号:产品慎思录。人人都是产品经理专栏作家。5年产品经验,电商售后平台后端产品负责人。

本文原创发布于人人都是产品经理,未经作者许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 如果手机号弃用了,回到号码池,下一个人就可以直接登录了。。。 我用手机号就登录了一个网盘,里面全是别人的东西,还有私人信息,尴尬

    来自广东 回复
    1. 嗯,手机号重新被运营商销售出去,原来的账号的数据的确要处理。这个值得单独来写一篇文章了。

      来自广东 回复
  2. web端需要密码,记住密码是个很好用的功能。
    有个典型场景:只有网页的产品如果还只能手机验证码登录,那用户还得随时把手机带身边

    来自北京 回复
    1. 现在的用户基本都是随时随身带手机了。不过具体情况具体分析,并不是说一定要舍弃掉密码这个设计。

      来自广东 回复
  3. 设置的密码太多也记不住,都设置一样的又怕不安全。

    来自山东 回复
  4. 这是个伪命题,不管是验证码,还是一键登录,第三方登录,或者指纹、刷脸,本质上都是密码的一种。
    密码是一种用来混淆的技术,使用者希望将正常的(可识别的)信息转变为无法识别的信息。(百度百科)。
    至于用什么密码,还是看产品的服务和定位。

    来自湖南 回复
  5. 验证码和手机号一键登录会让公司的成本增加,每个月要多支出几万元,现在我们的产品基本都是主推三方登录

    来自浙江 回复
    1. 嗯,可以根据实际需要和成本控制来决定各种登录方式的权重。

      来自广东 回复
  6. 手机号,验证码,或者电信获取手机号验证都是存在安全风险的,比如手机放在这里,没锁屏状态,别人拿去,接下来很容易做一些事情了。补手机号也不是3.5分钟完成的事

    回复
    1. 这种风险,就类似于你的钱包丢了一样。丢失后风险高的产品,比如要加强风险控制,比如银行App通常会有人脸识别,几分钟不操作,再次使用就会要求登录等等。

      来自广东 回复
  7. 如果想在同一个手机上登不同的账号呢

    来自广东 回复
    1. 手机号登录就可以解决

      来自广东 回复
  8. 我的京东 微信账号,前几天可能被盗号了,被人登了一次,还好我看到了!!!

    来自山东 回复
  9. 手机验证码挺方便的,我好多不同的密码,我自己都有些记混了,但是密码还是不能淘汰。

    来自陕西 回复
    1. 为什么不能被淘汰呢?

      来自广东 回复
  10. 密码还是不能被软件淘汰,万一手机丢了,里头的东西就都没了。

    来自陕西 回复
    1. 手机丢了,手机号码不会丢啊

      来自广东 回复
    2. 这么看的话,服务器丢了,里头的东西就没了

      来自广东 回复
  11. 手机验证码相当于流动的密码,非常方便但是一旦手机号码丢失还是需要密码助阵

    来自广东 回复
    1. 什么情况下会手机号码丢失?

      来自广东 回复
    2. 手机号码弃用的时候

      来自广东 回复
    3. 手机号欠费且很久不用就会被回收不再属于自己了

      来自广东 回复