作者：無痕。作者授權(quán)早讀課發(fā)表，轉(zhuǎn)載請(qǐng)聯(lián)系作者。

微信公眾號(hào)：無痕Talk（ID：wuhentalk）。

編輯：Jessie。

歡迎投稿到早讀課，投稿郵箱：mm@zaodula.com

已經(jīng)許久沒有更新文章了，一方面最近事情比較多且雜，另一方面自己也沒好好地整理自己的思緒，有些東西一直沒有成型，所以也不好下筆成文，所以一直憋到了現(xiàn)在。

今天聊聊我們無可避免，但是又存在感不高的登錄與注冊(cè)場(chǎng)景。

從用戶使用場(chǎng)景上講，登錄/注冊(cè)絕大部分是系統(tǒng)提醒而非自主選擇的操作--他們往往在購買、收藏、分享、社交等階段收到系統(tǒng)的提醒而注冊(cè)/登錄，而遵循一般產(chǎn)品原則，我們一般也只在必須登錄/注冊(cè)的場(chǎng)景，增加登錄態(tài)的觸發(fā)點(diǎn)，而其它場(chǎng)景，非必須勿打斷用戶的產(chǎn)品使用。

從系統(tǒng)層面上講，登錄/注冊(cè)是我們標(biāo)識(shí)用戶，并將其與相關(guān)的數(shù)據(jù)匯總、對(duì)應(yīng)的唯一辦法，任何一個(gè)產(chǎn)品要做大，絕對(duì)不能不做登錄/注冊(cè)。

登錄注冊(cè)，與其它場(chǎng)景有個(gè)區(qū)別性，就是屬于「未登錄」?fàn)顟B(tài)下的場(chǎng)景功能，「未登錄」場(chǎng)景有個(gè)特殊性，那就是它對(duì)任何人是無門檻可觸達(dá)的，當(dāng)然也包括黑產(chǎn)和惡意用戶。如果一個(gè)資源類產(chǎn)品（包含電商、金融、個(gè)人隱私等屬性）沒有做好安全風(fēng)控方面的考慮，那對(duì)用戶將是一場(chǎng)災(zāi)難。

1、賬號(hào)密碼保護(hù)

密碼，永遠(yuǎn)是個(gè)讓人厭煩的東東，現(xiàn)在互聯(lián)網(wǎng)產(chǎn)品那么多，讓用戶記住那么多密碼，的確有難度，但是針對(duì)賬號(hào)密碼登錄/注冊(cè)場(chǎng)景，密碼是一定要輸?shù)模冶仨毐Ｕ弦欢ǖ膹?qiáng)度，推薦：數(shù)字+密碼，11位以上，區(qū)分大小寫，最好必須有大寫字母。同時(shí)需要杜絕弱密碼，比如12345abc之類的。各位可視自身產(chǎn)品的情況自行決定密碼強(qiáng)度。

然而針對(duì)密碼，沒有人保證一定能記得住。所以需要有找回密碼這個(gè)場(chǎng)景。一般找回密碼，是往自己的第三方注冊(cè)依賴ID--手機(jī)號(hào)、電子郵箱等發(fā)送驗(yàn)證碼，驗(yàn)證身份。但是這個(gè)為產(chǎn)品的安全性留了坑：

1）允許任何人向任何手機(jī)號(hào)、電子郵箱發(fā)送短信驗(yàn)證碼；

這樣就可能讓一些圖謀不軌的人通過機(jī)器甚至人工發(fā)送驗(yàn)證碼給一堆不相干的人，這就會(huì)讓用戶被騷擾而不厭其煩，產(chǎn)生投訴甚至永遠(yuǎn)離開你的產(chǎn)品。

這種情況，需要做找回密碼場(chǎng)景做風(fēng)控行為限制，甚至出圖片驗(yàn)證碼/滑動(dòng)驗(yàn)證嗎，阻擋惡意用戶騷擾行為。

2）驗(yàn)證碼的安全性、到達(dá)率存疑；

短信驗(yàn)證碼的發(fā)送，是依賴了運(yùn)營商的渠道，從它點(diǎn)擊發(fā)送的那一刻起，我們就無法控制它的到達(dá)率，與使用率。最好最貴的短信通道，也無法保證短信到達(dá)率達(dá)到100%，而且短信到達(dá)用戶手機(jī)后，用戶的感知，以及提醒用戶對(duì)短信驗(yàn)證碼的隱私保護(hù)（試想想任何人都可以拿這個(gè)短信驗(yàn)證碼登錄你的賬號(hào)），其實(shí)也是產(chǎn)品需要解決的痛點(diǎn)，至于如何解決，大家可以參照淘寶的短信驗(yàn)證碼文案：

2、保證賬號(hào)的唯一性

現(xiàn)在登錄/注冊(cè) 有很多的方式，郵箱、手機(jī)號(hào)注冊(cè)、手機(jī)短信快捷登錄、二維碼掃碼登錄、各種第三方聯(lián)登等等。讓用戶輕松按照自己的情況選擇登錄/注冊(cè)方式。

然而多種賬號(hào)注冊(cè)/登錄方式的存在，也照成了一個(gè)難題：如何保證多種登錄場(chǎng)景下用戶ID的唯一性問題。

比如一個(gè)用戶今天可以通過手機(jī)號(hào)注冊(cè)賬號(hào)A，過段時(shí)間忘記了已經(jīng)注冊(cè)過，又用郵箱、或者微信等方式注冊(cè)賬號(hào)B，那賬戶A與B就很難做關(guān)聯(lián)，系統(tǒng)很難辨識(shí)為同一個(gè)用戶，就會(huì)導(dǎo)致用戶運(yùn)營與數(shù)據(jù)分析方面的一些難題。

這種情況，解決方式是盡量只采用一種第三方ID做用戶標(biāo)識(shí)，比如現(xiàn)在主流的第三方ID注冊(cè)方式是手機(jī)號(hào)注冊(cè)，那我們就可以考慮取消郵箱的注冊(cè)方式，或者一些應(yīng)用直接只用安全性與穩(wěn)定性最好的微信聯(lián)登（考慮到微信在中國強(qiáng)大的覆蓋率），讓用戶最低成本更快捷地注冊(cè)，比提供五花八門的注冊(cè)方式，更能提高注冊(cè)轉(zhuǎn)化率。

而針對(duì)第三方聯(lián)登方式，存在的缺陷問題（無密碼、無綁定手機(jī)號(hào)、商業(yè)合作風(fēng)險(xiǎn)），建議首次聯(lián)登流程，都應(yīng)該讓用戶做一次選擇：登錄綁定已有的賬號(hào)，或者注冊(cè)一個(gè)新賬號(hào)，并完善手機(jī)號(hào)等個(gè)人必要信息。

對(duì)了，手機(jī)號(hào)有流動(dòng)性這個(gè)特點(diǎn)，所以它作為用戶賬號(hào)的唯一標(biāo)識(shí)ID，是有風(fēng)險(xiǎn)的，具體怎么規(guī)避風(fēng)險(xiǎn)，不是本文要討論的話題，有興趣可以私下溝通。

3、馬甲防刷、賬戶防盜號(hào)能力

當(dāng)今互聯(lián)網(wǎng)無法逃避的一個(gè)問題，就是黑色產(chǎn)業(yè)問題。前面也談過，目前中國網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈的「從業(yè)者」已經(jīng)超過了40萬人,依托其進(jìn)行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人,「年產(chǎn)值」超過1100億元。所有資源類產(chǎn)品，都必須堤黑產(chǎn)的攻擊，尤其是賬戶保護(hù)方面，尤為重要：

在注冊(cè)/登錄場(chǎng)景需設(shè)置風(fēng)控?cái)r截；

在關(guān)注正常的登錄/注冊(cè)轉(zhuǎn)化率的同時(shí)，也要防止機(jī)器行為的惡意注冊(cè)、登錄。針對(duì)注冊(cè)機(jī)注冊(cè)眾多的馬甲號(hào)進(jìn)行刷單刷評(píng)論刷分?jǐn)?shù)、或者黑產(chǎn)惡意撞庫掃號(hào)意圖盜取用戶賬號(hào)等行為，需要設(shè)置一定的風(fēng)控規(guī)則，杜絕非正常、大批量的登錄/注冊(cè)行為。

植入多種校驗(yàn)流程；

除了設(shè)置一定的風(fēng)控措施，還可以植入驗(yàn)證碼，在一定的場(chǎng)景下結(jié)合風(fēng)控規(guī)則要求校驗(yàn)（比如發(fā)現(xiàn)用戶惡意多次訪問該接口），甚至可以結(jié)合設(shè)備指紋、生物識(shí)別等技術(shù)主動(dòng)攔截或者以提問歷史行為等方式校驗(yàn)訪問者身份。

現(xiàn)在很多產(chǎn)品都有APP、WAP、PC等多種產(chǎn)品端形態(tài)。在多端登錄場(chǎng)景，可以用值得信賴的一端，授權(quán)另一端快捷登錄，比如安全掃碼登錄等等。

總結(jié)

前面談了那么多，其實(shí)還是想說明登錄/注冊(cè)是賬戶體系的頂層設(shè)計(jì)，它直接或間接地決定了其余流程的設(shè)計(jì)。產(chǎn)品的穩(wěn)定性、安全性甚至可拓展性都很大程度上取決于登錄/注冊(cè)設(shè)計(jì)是否合理與高效。而賬戶安全，是登錄/設(shè)計(jì)場(chǎng)景必須考慮且需要著重考慮的事情。