這么多年了,為什么「賬號密碼登錄」還沒被取代?

7 評論 1.3萬 瀏覽 66 收藏 12 分鐘

編輯導讀:相比于賬號密碼登錄,掃碼登錄和人臉識別登錄等登錄方式顯然更方便、快捷、靈活,在實際使用中也更受到用戶的歡迎。但為什么在實際APP設計中,賬號密碼登錄這種方式仍然還在使用呢?文章從賬號密碼登錄存在的問題出發,對這個問題進行了分析討論,與大家分享。

賬號密碼登錄已經是一種很常見的登錄方式了,這么多年,一直被延續了下來。新的登錄方式如掃碼登錄、人臉識別登錄等等不斷出現,但賬號密碼登錄的地位依舊屹立不倒。

有好奇寶寶問了這么一個問題:難道使用賬號密碼登錄,沒有漏洞嗎?

例如:用戶A,登錄時輸入了錯誤的賬號,而這個錯誤的賬號已被注冊,且這個錯誤賬號的密碼跟用戶A的密碼相同,那么不就造成誤登錄了嗎?

答案是肯定的,確實會造成誤登錄,賬號密碼登錄也確實存在漏洞。那么針對這一漏洞,平臺都是如何防范的?為什么賬號密碼登錄存在漏洞,卻依舊沒有被取代?

你思考過這些問題嗎?我們在天天問討論了這個話題,接著一起來解密~

【天天問每周精選】第124期:通過賬號密碼登錄是否存在漏洞?為什么允許通過賬號密碼登錄?

文章內容部分來源于@祖安產品人 @我不做程序員了 @北漂青年 @石硯 @Mr.杰 @kuera @尼開 @張思志 @一米二的柯基 @羅春明 @幸失 的精彩回答

一、賬號密碼登錄是否存在漏洞?

結論先行:賬號密碼登錄存在漏洞,但通過防范后,誤登錄發生的概率非常低。

對于問題中說的,錯輸密碼造成誤登錄,這個情況發生的概率非常低。除非用錯誤賬號和錯誤密碼同時去撞庫,才會有機會登錄成功。

更常見的是撞庫,即小明在各個網站都用一樣的賬號密碼,盜號者拿了A網站小明的盜號信息,去其他網站腳本嘗試登錄,并盜取虛擬財產。

這些情況從概率學的角度來說,確實都存在。但現在基本上大部分平臺,都會使用一定的風控機制。例如:

  • 限定一定的密碼錯誤次數;
  • 要求輸入驗證碼,以防止機器破解操作
  • 常用地點/ip進行賬號密碼的驗證;如果是異地登錄/異常IP,需要進行二次驗證。

平臺能夠做到獲取手機終端的設備信息。常用登錄地、IP等,賬號一旦注冊登錄后,便可在后臺記錄相關信息。一旦使用新設備、IP不符,或者距離常用登錄地較遠時,可根據一定業務規則進行告警。

此時用戶在前端登錄時,需要驗證更多信息,如:手機號、郵箱、人臉等。

這樣一來,賬號密碼登錄被鉆空子的幾率較小。即使暴力破解,也應該有密碼錯誤次數驗證告警機制,從這一點上就更難被攻破了。

二、為什么「賬號密碼登錄」還沒被取代?

那么,既然賬號密碼登錄存在漏洞,又有新的登錄方式層出不窮,為什么賬號密碼登錄還沒有被取代呢?

首先,需要搞清楚用戶為什么需要登錄:

平臺需要與用戶有唯一的關聯性。如果不登錄,那么唯一能關聯用戶的就是設備,一旦用戶更換設備就失去了唯一性。所以平臺需要與用戶之間建立一個賬號體系,來保證用戶的唯一性。

保證唯一性有兩種方式:

(1)平臺給予的:適用于B端,平臺為用戶或者運營者生成賬號密碼。

(2)用戶主動發起的:

  • 賬號密碼注冊登錄
  • 掃碼注冊登錄
  • 第三方注冊登錄
  • 手機號/郵箱驗證注冊登錄
  • 其他(人臉、聲音、指紋等)注冊登錄

本文中提到的賬號密碼登錄就屬于第二種,也是歷史較為久遠的一種。

在那個互聯網不太盛行,手機普及率不太高,且人人都極度重視隱私,又技術有限的年代,讓大家自行設置賬號密碼登錄,是當時所處社會環境下的最優方案。可以降低用戶的抵觸心理,方便記憶,也有利于拉新和推廣。

后來互聯網盛行了以后,大家降低了對隱私的保護程度,留個電話號碼已經屬于可接受范圍。另外,從PC端到移動端,為了更好的用戶體驗,很多產品開始做第三方登錄,手機驗證碼登錄等等。

但賬號密碼登錄依舊被許多平臺和用戶認可,具體原因有以下幾點:

1. 通用性強

即使賬號密碼登錄存在漏洞,但其他登錄方式也并不完美。從通用性這個角度來看,其他登錄方式的限制并不少:

  • 掃碼登錄:需要有另一臺已登錄的設備存在;
  • 第三方登錄:需要有第三方賬號介入;
  • 手機號/郵箱登錄:容易收不到驗證碼,且注冊登錄門檻過高;
  • 其他(人臉、聲音、指紋等):使用場景受限,如戴口罩無法使用人臉識別,手傷了用不了指紋

而賬號密碼登錄,由于本身規則由服務提供方制定,不需依賴任何第三方服務,使用場景更多,在通用性方面無可匹敵。

2. 安全性高

從安全性的角度來看,賬號密碼登錄的表現也很不錯。

(1)從平臺的角度

  • 使用第三方登錄時,無法掌握主動性。如果第三方出現問題,那么連帶自己平臺也沒法登錄。
  • 賬號體系關系著安全和產品功能的實現。

用戶數據庫,是平臺安全的一個保障。每個平臺使用賬號密碼登錄,就能夠將用戶數據保存在自己的數據庫。之后的更新迭代、反饋等等,都可以自己尋找數據,分析數據,而不是依靠第三方。

靠別人不如靠自己。自己平臺的數據,不管再麻煩都要自己掌握,數據是一個平臺的命脈,平臺大多不愿意在核心的東西上讓步。

(2)從用戶的角度

  • 在密碼組合相對復雜的情況下,用密碼誤登錄比手機驗證碼誤登錄概率要低。畢竟手機驗證碼大部分只是四位或六位數字。
  • 其他的替代方案也存在明顯的漏洞,比如:指紋識別——被復制指紋、人臉識別——用照片騙過攝像頭、手機驗證碼機制——被攔截手機短信
  • 用戶可以避免過度暴露個人信息。許多用戶連郵箱和手機號都不愿意提供,更遑論身份證和個人生物特征了。

所以大部分產品,基本都是以賬號密碼作為基礎,再根據用戶的個人需求,用其他的登錄方式輔助來增強安全性或便捷性。

3. 成本低

任何產品的目的都是盈利,減少成本是必然的手段。

人臉識別、指紋識別、包括短信登錄,這些都是需要借助第三方去協助完成的,這個費用最終還是要歸納到產品的維護成本。

比如最常見的手機驗證碼注冊登錄,這個費用并不是用戶支付,而是開發者。特別是對于用戶體量大的平臺,短信的發送量是一筆不小的支出。為了降低用戶的進入門檻,目前多數平臺已經接入本機號碼一鍵登錄。

而人臉識別、指紋支付是近些年來的產物,不管是安全性和便捷性都還不錯,所以成了移動端的標配。但考慮安全性和成本,全面普及估計還需要一段時間。

反觀賬號密碼注冊登錄,從成本上是最低的,用戶在注冊時就確定密碼。再次登錄平臺只需驗證賬號對應密碼的準確性就行。

結語

保留賬號密碼登錄的方式,優勢還可以從以下角度考慮:

  1. 為了向前兼容,服務于早期用戶;
  2. 可以作為補充的登錄手段,在其他登錄方式失敗時可以大顯身手;
  3. 很多以pc端為主的產品,直接使用賬號密碼登錄反而是最簡潔的操作。

從辯證關系來看“漏洞”,世間萬事萬物都是相生相克的,沒有哪種方式或事物是存在絕對的安全,都只是處在相對狀態。

安全與否,取決于賬號本身為攻擊者提供的價值有多少。正如一個家徒四壁的房子不上鎖,也不會有小偷光顧是一個道理。

所以,并不是賬號密碼登錄有缺點、有瑕疵,我們就全盤否定。綜合衡量下,賬號密碼登錄明顯有更好的通用性、安全性和低成本,使之不可被放棄。

為什么這么多年了,賬號密碼登錄還沒有被取代,你是否有其他想要談談的?點擊下面的鏈接,一起聊聊吧~

參與討論請戳:http://996.pm/75Edd

#相關閱讀#

【天天問每周精選】第123期:抽獎活動,應該設置“多發小獎品”還是“抽幸運大獎”?

【天天問每周精選】第122期:為什么我們說「個性化標簽」會比「好中差評」更優?

【天天問每周精選】第121期:買完菜送根蔥,為什么大家都說好?

【天天問每周精選】第120期:不服,憑什么全互聯網只有程序員能過節!

【天天問每周精選】第119期:瘋狂的盲盒:有人上癮,有人賺得盆滿缽滿

 

素材來源:天天問話題精選

「天天問」為人人都是產品經理社區旗下的互助問答模塊,致力產品、運營、營銷等領域知識的學習交流。

本欄目由天天問運營?@Ella?整理編輯發布,歡迎大家踴躍提問,一起交流。

題圖來自Unsplash,基于CC0協議

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 通用性這個觀點贊,但是不是也看具體的產品?有的需要保障個人安全度高的產品 是不是可以以密碼為主?

    回復
  2. 感覺這話題太無聊了,但我還是手欠點開了。

    回復
  3. 移動端如果主推賬號密碼登錄,隱藏驗證碼登錄,會對用戶的注冊轉換率有多大的影響?這個有相關數據調研嗎

    回復
  4. 老年人都懂

    回復
    1. 暴露年齡了

      回復
  5. 一個家徒四壁的房子不上鎖,也不會有小偷光顧是一個道理。莫名聯想到自己

    回復
    1. 俺也一樣 T T~

      回復