快生活 - 生活常识大全

有关重置密码的设计我从学到的以及要吐槽的


  说到密码重置这个话题,大家一定都不陌生。每个人都有很多个网上的账号,每个人估计都有过忘记密码或者账户被锁定的经历,所以说到"密码重置"的产品设计这个话题,估计真的可以说"人人都是产品经理了":D。然后你应该猜到,我该说"但是"了。但是,什么才是好的密码重置方式呢?让我从一次亲身经历说起吧…
  前不久苹果推出了Apple Pay,作为一个产品经理,同时又是电子产品发烧友,我于是兴冲冲的准备体验一下,熟话说"好事多磨",设置到一半的时候手机上忽然弹出让我重新输入Apple ID密码的提示,然后就提示我账户被锁定了,好吧我按照提示开始解锁账户的旅程。
  Apple是如何完成账户解锁的
  Apple 账户在手机端提供了两种解锁方式:
  通过回答密码问题解锁
  通过邮箱验证解锁
  我先试验了第一种方式(因为这个不用我再登录邮箱吗),结果是我回答的问题不对,唉。好吧,谁让我开始设置账户的时候觉得自己肯定能记住呢(实际上当时我觉得以后用不上,我这么好的记忆力怎么会忘记密码呢?);
  没关系,还有第二种办法,邮箱验证吧,这个肯定没问题。按照想到操作,Apple告诉我解锁账户的邮件已经发到我邮箱了。
  当我自信满满的打开邮箱的时候发现并没有Apple发来的任何邮件,此时我的第一个判断是"肯定是邮件有延迟,我再等等吧",1个小时后再看邮箱,还是没有;
  "是不是Apple的邮件服务器出问题了?再发一次",打开邮箱,还是没收到邮件。
  "不对啊,难道是因为邮件被当做垃圾邮件过滤了?" ,不对,垃圾邮件里也没有。
  "会不会是Apple的邮件服务器比较慢,我再等等?",第二天再看邮箱,还是没有。崩溃…
  这时候我想,为什么Apple没有国内通常都提供的 短信验证
  对了,我可以给Apple客服打电话,幸好还有 人工客服
  在给Apple的客服打了27分钟电话后终于完成了账户的解锁,期间我先后完成了:
  一次电话形式的密码问题验证(我答对了2个问题中的一个);
  一次手机短信验证码验证(电话了告诉客服我收到的验证码,人工协助认证)
  我终于知道了Apple的账户解锁邮件是发到了我很久前设置的一个"紧急联系邮箱"中(这个邮箱是gmail的)
  最后通过Gmail中的提示完成了账户的解锁(进行了翻墙,你懂得,别问我为什么用Gmail)
  目前有哪些主流的账户解锁方式?
  经过这次的账户密码找回经历,我特意总结了一下目前各大互联网应用中找回密码(解锁账户)的个各种方式,并简单分析了一下优缺点:
  邮件找回:这种方式使用的较多,历史也最悠久。其优点是普及率高,很多用户已经习惯了这种做法;其缺点是,邮箱可能无法送达(比如某些邮件系统有缺陷),或者,如果用户的邮箱也无法登录了那就麻烦了(比如,可能账户被锁定就是因为邮箱密码和某个账户的登录密码是一样的,黑客获取了邮箱账号就相当于获取了邮箱主人很多个账号的密码),这也是为什么Apple会甚至一个紧急联系邮箱的原因;
  短信验证码找回:这种方式目前使用也很多,尤其是在国内,基本上成了各个手机端应用的标配。它的有点很明显,验证方式简单快捷,而且通过提醒用户开启短信保护验证,可以间接的获取用户的手机号,让用户的忠诚度更高;其缺点是,对于运营方有一定的成本(短信再便宜也是要花钱的),短信在容易被一些手机软件拦截;而且,如果用户手机也丢失了,账户的安全风险就很高了;
  安全问题验证找回:这种方式一般会让用户预先设置几个标准问题的答案,在用户需要找回密码是进行回答,回答正确就可以重置密码。这种方法的优点是不依赖于邮件或者电信运营商,但缺点是用户很容易忘记当时设置的密码问题(比如我,当时设置密码问题时时在5年前,现在还能想起一个已经属于瞎蒙了);
  人工客服找回:这个是没办法的办法,一般客服那里还有一些专门的工具来验证你的身份,比如我在给Apple客服打电话时,他们会要求我说出现在使用Apple手机的设备编号,还有一些其他能证明你身份的信息。这种方法的优点是,一般总能帮你解决问题(要不然还能怎样?),缺点是对于运营方和用户来说都要付出很高的代价,人工和时间成本非常高;
  通过好友帮你找回密码:这个一般在QQ和微信这样的社交软件中出现。这个就不在这里具体说了。
  说了这么多方法,其实就是为了帮助系统的运营方证明"你是你"。
  总结
  如今,我们在互联网上会有很多歌账号,电商网站的、电子邮箱的、银行的、各种社交软件、门户网站、BBS等等等等;有时候为了方便记忆,我们会在很多个网站使用相同的账号和密码,但是一旦发生账号被盗的情况(比如之前发生的CSDN账户信息大批量泄露事件),损失可能是巨大的。
  安全性和便捷性有时候往往是矛盾的,为了方便我们采用了各种加密技术、对账户密码设置了各种保护措施;安全性提高了,可是使用时有时候会让我们觉得不方便,比如:系统要求我们注册时的密码必须包含大写字母和数字、登录时要输入验证码(现在还出来了滑块方式进行验证的,虽然我一直觉得这是一种用户体验的倒退)、注册账户后要验证邮箱有效性、要绑定手机号等等等等。
  这确实给我们的产品设计提出了挑战,在提高用户注册率和保护用户账户安全这两个方面要纠结的事情很多。一方面,你希望用户很方便快捷的完成注册,这就不能让用户输入太多信息,最好是只有用户名和密码就好了;另一方面你又要不断的引导客户让他们主动使用产品里提供的功能,完成账户的保护。所以包括Apple这样的企业在内,这方面也是一个循序渐进逐步引导客户的过程,先让用户尽快注册,然后在用户使用了一段时间后一步步提示用户补充账户的安全信息。
  后记
  在我完成了Apple账户的解锁后,Apple提示我必须修改一下密码,而且密码必须包含字母、数字和下划线等特殊符号。我想这也是为什么忽然提示我账户被锁定的原因,可能原来的密码太简单了,由于推出了Apple Pay的功能,涉及到了金融支付,苹果对用户账户的安全性要求越来越高了。
  然后我接下来马上去修改了那个"紧急联系邮箱",原来的Gmail邮箱在中国很不稳定。于是我首先改成了自己常用的一个163邮箱,Apple提示我发了一封保护修改确认码的邮件到我的163邮箱中,我用Outlook收取邮件,发现竟然也收不到邮件,重复试了2次都不行;无奈之下修改成了QQ邮箱,这下终于成功了。有意思的是,5分钟后,我收到了网易163邮箱发来的短信,说我有2封来自Apple的"很重要"的邮件,请立即查收。我于是用Outlook软件收取,发现还是收不到,于是登录了163邮箱的网页版,赫然看到有2封Apple发来的邮箱修改确认邮件,鼠标点击一下,163提示我这是一封很重要的邮件,已经向我邮箱绑定的手机发送了一个 打开邮件的确认码 ,我不免要吐槽一下了,"相比163邮箱是识别到了Email中标记为重要的标识,所以才会这样处理;但是,既然这个邮件很重要,为什么不马上发给我,还要我输入短信验证码?为什么不允许邮件客户端收取这样的邮件?" 不得不说,163邮箱的这个设计有待商榷。这又是一个典型的 在安全性和便捷性方面权衡的例子,只不过我觉得这个设计有点反直觉。
网站目录投稿:春海