帐号体系:密码是必需的吗?
用户在登录注册时,通常都会被要求输入登录密码。但在当下的互联网阶段,密码已经是一个被淘汰的设计。因为已经有体验更好的设计,来替代密码解决用户需求。
一、为什么要有密码?
密码只由帐号所有者掌握或授权,解决了用户身份校验的需求。
出于使用的方便性,很多产品的用户帐号是公开可查看的,任何人都可以合法地知道另一个用户的帐号。加QQ好友,就需要知道对方的QQ号;发送邮件,就需要知道对方的邮箱地址。
用户在登录系统时,系统无法通过用户输入的帐号,就确认当前尝试登录的用户就是帐号的所有者。因此,必须输入一个只有帐号所有者掌握,且与该帐号绑定的信息,系统才能确认当前尝试登录的用户,是帐号所有者。帐号是门,密码是开门的钥匙。
二、密码认证的问题
安全性、便捷性不足,是密码认证的主要问题。
用户在设置帐号密码时,为了避免被人轻易破解,通常都会设置一个比较复杂的密码。这也是系统的要求,如包含数字、大小写字母、不少于8位。
复杂密码满足了帐号的安全性需求,但给用户带来了很大的记忆负担。很多用户为了方便记忆和使用,会给多个产品帐号设置相同的密码。这样用户只需要记忆一个密码,即可用来登录多个产品的帐号。
一旦密码泄漏,所有使用了该密码的帐号都随时可被其他人登录使用,给用户带来极大的数据泄漏和帐号丢失风险。
当然,以上问题并非不能解决,但需要为此开发更多复杂的验证逻辑,带来更高的研发成本。如非常用手机登录验证、异地登录提醒等。
三、密码为何被淘汰?
随着移动互联网的发展,催生了手机、微信这类基础硬件设施和国民级产品,手机号和微信号成为了这个时代下,验证用户身份的最重要媒介。
手机已经成为了用户的"新器官",用户随身携带、随时使用。手机使用的手机号,运营商销售给用户时,已经完成了身份证实名认证,通过手机号,可唯一确认用户身份。
根据官方公布的数据,截止到2021年底,微信已经有12.6亿用户,日活超过10亿。几乎每一个能上网的用户,都拥有一个微信号,且用户使用频次非常高。
1.安全性
由于提供方的完善风控体系和用户的使用习惯,相对于密码,手机号和密码的安全性更高。
手机号开卡时,运营商要求用户提供身份证,用户的手机号一般是给自己使用,或者授权给其他人使用,很难被冒名盗用。微信为了确保帐号安全,设计了严格的风险控制规则,如绑定手机号、绑定银行卡、新手机登录验证等等,大幅度降低了被盗用的可能性。
而密码可能会因为用户设置过于简单、多个产品使用相同的密码、攻击方通过撞库等方式暴力破解等原因,发生泄漏,导致帐号被盗用。
2.便捷性
手机号和微信号不仅安全性更高,验证身份的过程也更便捷。
使用手机号有两种便捷的验证身份的方式,分别是手机验证码、运营商认证。
手机验证码的验证过程是:
用户输入手机号;
点击发送短信验证码,系统生成一个短时间内有效的4位数字凭证;
输入验证码,系统校验,完成身份认证。
只要用户准确输入了验证码,即证明当前用户是该手机号的所有者或授权使用者。
运营商认证的过程是:
进入页面时,自动调用电信运营商接口,获取当前手机使用的手机号;
点击申请授权,完成授权过程。
只要用户当前能正常使用蜂窝网络访问电信运营商基站,就可以一键完成身份验证。
微信号验证身份也非常简单:
点击微信授权登录,跳转到微信授权界面;
用户点击同意授权,完成身份验证。
若使用密码,为了弥补密码的安全性漏洞,想要更安全,就必须要为每一个产品单独设置更复杂的密码,带来记忆负担。输入密码时,必须要输入不同类型的字符,消耗更长时间。
综上所述,无论是安全性还是便捷性,密码都已经完全被以手机号和微信号为基础设计的身份验证方式所超越,已经不再有存在的意义,完全可以被淘汰。
四、两种密码处理方式
基于以上分析,密码是一个可被淘汰的身份验证方式。那么我们在设计帐号体系时,应该如何考虑密码的去留呢?主要有两种方案。
1.直接舍弃密码
对大部分新产品来说,建议直接舍弃密码。
新设计开发的产品,没有历史包袱,不需要为已经设置了密码的老用户保留密码,而密码的安全性和便捷性已经被新方案所超越。
因此,完全可以在设计帐号体系时,直接舍弃密码,替换为上文所述的新方案。典型案例有拼多多、小宇宙、朴朴、叮咚。
2.保留密码,降低权重
对于一些使用了密码,且有一定老用户积累的产品来说,建议保留密码,但要降低密码的权重。
对这类产品来说,依然存在老用户使用密码的场景,如果贸然舍弃密码,将导致部分老用户无法登录,甚至丢失帐号。
用户只设置了密码,在上线了新的身份验证方式后,用户从未使用过。如未绑定过手机号、微信号。
若用户长时间未使用,某一天想要使用时,发现无法使用密码登录,直接导致用户原来的帐号丢失。
由于密码的安全性和便捷性不足,应该要降低密码功能的权重,引导用户接受和使用新的身份验证方案。如keep,把密码登录移到了3级页面:
五、总结
密码存在的意义是解决身份验证的需求,但由于安全性和便捷性不足,被手机验证码、运营商认证、微信认证等新的身份认证方式所超越和替代。在设计新产品时,建议直接舍弃密码;已经使用了密码的老产品,建议降低密码功能的权重,引导用户接受和使用更安全、更便捷的身份验证方式。