陈好刘海峰结婚照本文是作者系列文章的第三篇,笔者对“注册登录流程基于不同行业、不同类型、不同的安全要求,是否存在最优的设计方案?”这篇文章从剩下的四个维度:权限获取、注册协议、登录方式和整合账号进行解答。
——“这个软件想干什么,为什么要我这些权限?它想窃取我的隐私吗?它……然后进入受妄想中……”
从图2可以看到:如果不授权,微博是直接用户使用的。这个就要根据自身的知名度、用户粘性等,来判断了,毕竟供求关系决定了谁更有主动性,比如:快手,就算在启动页时了授权也可以正常使用。
要求用户授权的时机也是需要考虑的,是启动页获取?用户同意隐私协议户获取?注册登录后获取?登入首页后获取?还是用户使用到对应需要授权的功能时再获取?也是要结合产品的实际情况来进行判断和选择。
这里一句,比如:微信上线的看一看,把公号文里的点赞改成了“好看”,而后改为“在看”,也是为了降低用户的使用压力,“好看”参杂了个人态度和意见,显然不如“在看”来得轻松了。
注册协议 / 用户注册协议 / 注册服务协议 / 使用协议 / 用户协议 / 服务协议 / 服务条款/ 用户服务协议 / 服务许可协议 / 注册用户服务合同
隐私政策 / 隐私权政策 / 隐私政策 / 隐私政策更新 / 隐私权协议 / 隐私权政策 / 法律声明及隐私权政策
比较常见的搭配是1和2:服务协议+隐私政策。协议主要是为了公司的风控,所以有法务的找法务,没法务的,就多看看竞品的。
绑定了手机的,那就密码/短信。相对来说,短信更安全。毕竟很多用户喜欢使用相同的密码,一旦某个应用的用户账号数据库被攻破盗取,那么黑客就可以通过撞库来窃取用户其他平台的账号(所以非常用设备登录的安全控制也很重要)。不过短信需考虑网络延迟、公司费用等问题,不过登录是个非常用操作,只要结合防刷机制,也不会多太多成本。
总的来说:第三方授权登录和手机+验证码,是目前最常见的登录方式(也是主流的注册方式)。而年份比较久的产品,过往采用了邮箱注册等方式,所以也保留着邮箱+密码登录。有些产品过往需要设置登录密码,而后放弃了登录密码,所以只有老用户才能使用密码登录。
比如:微信,如果使用非常用设备,需要进行短信/好友验证。而如果账号在别处登录成功,原登录设备,会收到很详细的弹框提示,如果用户账号被盗,可以第一时间得知,并采取措施。
如金融产品等安全级别很高,涉及资金安全的,还会需要短信、人脸、银行卡等结合验证。我在使用京东时也遇到过,“输入历史订单收货人”的验证。
不久前一个同事的手机掉到了地铁铁轨旁边的水沟里(水沟的口子也没多大,这运气也是没谁了,关键泡了一天还能用,苹果也是可以的),然后只好用公司手机登录微信,由于手机卡也没有,只好使用好友验证。
微信本来要求至少两个好友,发送一个随机码给该用户(说到这,确实是啊……),可是因为我在10秒内就发送了随机码给她,所以在只有我1人验证的情况下,她直接通过了验证。
如果这不是偶然或者我的误会,那么应该是微信设置了超短时间验证的特殊机制,也就是“验证人的朋友正好在他身边”的场景,还是小有惊喜的设计。
整合账号,就是:用户可以通过一个账号,登录某个公司研发的多款产品,而不再需要注册多个账号;或者,用户可以使用某个应用的账号,登录另一款应用,比如使用淘宝账号登录支付宝,使用支付宝账号登录淘宝,也就是用户不同账号实现了关联。
整合账号的好处:一方面降低了用户的注册成本,更重要的是,有助于对用户的管理和数据的整合分析。
所以,在这次分析中,发现很多大公司都进行了账号整合。(微信的OpenId和UnionId也是类似的概念,在第二篇中有描述,有兴趣的朋友可以点击查阅)
某些公司下多个应用间,就算没有完成账号整合,但只要绑定了用户的唯一身份码,如手机号、身份证号等,要对用户数据进行整合也是很方便的。
作者:Arya.阿雅,微信号:aryawang419,干了3年会计,考了潜水教练,最后入了互联网的坑。