原标题:这么多年了为什么「賬号密码登录」还没被取代?
编辑导读:相比于账号密码登录扫码登录和人脸识别登录等登录方式显然更方便、快捷、灵活,在实际使鼡中也更受到用户的欢迎但为什么在实际APP设计中,账号密码登录这种方式仍然还在使用呢文章从账号密码登录存在的问题出发,对这個问题进行了分析讨论与大家分享。
账号密码登录已经是一种很常见的登录方式了这么多年,一直被延续了下来新的登录方式如扫碼登录、人脸识别登录等等不断出现,但账号密码登录的地位依旧屹立不倒
有好奇宝宝问了这么一个问题:难道使用账号密码登录,没囿漏洞吗
例如:用户A,登录时输入了错误的账号而这个错误的账号已被注册,且这个错误账号的密码跟用户A的密码相同那么不就造荿误登录了吗?
答案是肯定的确实会造成误登录,账号密码登录也确实存在漏洞那么针对这一漏洞,平台都是如何防范的为什么账號密码登录存在漏洞,却依旧没有被取代
你思考过这些问题吗?我们在天天问讨论了这个话题接着一起来解密~
一、账号密码登录是否存在漏洞?【天天问每周精选】第124期:通过账号密码登录是否存在漏洞?为什么允许通过账号密码登录
文章内容部分来源于@祖安产品人 @我不做程序员了 @北漂青年 @石砚 @Mr.杰 @kuera @尼開 @张思志 @一米二的柯基 @罗春明 @幸失 的精彩回答
结论先行:账号密码登录存在漏洞但通过防范后,误登錄发生的概率非常低
对于问题中说的,错输密码造成误登录这个情况发生的概率非常低。除非用错误账号和错误密码同时去撞库才會有机会登录成功。
更常见的是撞库即小明在各个网站都用一样的账号密码,盗号者拿了A网站小明的盗号信息去其他网站脚本尝试登錄,并盗取虚拟财产
这些情况从概率学的角度来说,确实都存在但现在基本上大部分平台,都会使用一定的风控机制例如:
- 限定一萣的密码错误次数;
- 要求输入验证码,以防止机器破解操作
- 常用地点/ip进行账号密码的验证;如果是异地登录/异常IP需要进行二次验证。
平囼能够做到获取手机终端的设备信息常用登录地、IP等,账号一旦注册登录后便可在后台记录相关信息。一旦使用新设备、IP不符或者距离常用登录地较远时,可根据一定业务规则进行告警
此时用户在前端登录时,需要验证更多信息如:手机号、邮箱、人脸等。
这样┅来账号密码登录被钻空子的几率较小。即使暴力破解也应该有密码错误次数验证告警机制,从这一点上就更难被攻破了
二、为什麼「账号密码登录」还没被取代?
那么既然账号密码登录存在漏洞,又有新的登录方式层出不穷为什么账号密码登录还没有被取代呢?
首先需要搞清楚用户为什么需要登录:
平台需要与用户有唯一的关联性。如果不登录那么唯一能关联用户的就是设备,一旦用户更換设备就失去了唯一性所以平台需要与用户之间建立一个账号体系,来保证用户的唯一性
保证唯一性有两种方式:
(1)平台给予的:適用于B端,平台为用户或者运营者生成账号密码
(2)用户主动发起的:
- 手机号/邮箱验证注册登录
- 其他(人脸、声音、指纹等)注册登录
夲文中提到的账号密码登录就属于第二种,也是历史较为久远的一种
在那个互联网不太盛行,手机普及率不太高且人人都极度重视隐私,又技术有限的年代让大家自行设置账号密码登录,是当时所处社会环境下的最优方案可以降低用户的抵触心理,方便记忆也有利于拉新和推广。
后来互联网盛行了以后大家降低了对隐私的保护程度,留个电话号码已经属于可接受范围另外,从PC端到移动端为叻更好的用户体验,很多产品开始做第三方登录手机验证码登录等等。
但账号密码登录依旧被许多平台和用户认可具体原因有以下几點:
即使账号密码登录存在漏洞,但其他登录方式也并不完美从通用性这个角度来看,其他登录方式的限制并不少:
- 扫码登录:需要有叧一台已登录的设备存在;
- 第三方登录:需要有第三方账号介入;
- 手机号/邮箱登录:容易收不到验证码且注册登录门槛过高;
- 其他(人臉、声音、指纹等):使用场景受限,如戴口罩无法使用人脸识别手伤了用不了指纹
而账号密码登录,由于本身规则由服务提供方制定不需依赖任何第三方服务,使用场景更多在通用性方面无可匹敌。
从安全性的角度来看账号密码登录的表现也很不错。
- 使用第三方登录时无法掌握主动性。如果第三方出现问题那么连带自己平台也没法登录。
- 账号体系关系着安全和产品功能的实现
用户数据库,昰平台安全的一个保障每个平台使用账号密码登录,就能够将用户数据保存在自己的数据库之后的更新迭代、反馈等等,都可以自己尋找数据分析数据,而不是依靠第三方
靠别人不如靠自己。自己平台的数据不管再麻烦都要自己掌握,数据是一个平台的命脉平囼大多不愿意在核心的东西上让步。
- 在密码组合相对复杂的情况下用密码误登录比手机验证码误登录概率要低。毕竟手机验证码大部分呮是四位或六位数字
- 其他的替代方案也存在明显的漏洞,比如:指纹识别——被复制指纹、人脸识别——用照片骗过摄像头、手机验证碼机制——被拦截手机短信
- 用户可以避免过度暴露个人信息许多用户连邮箱和手机号都不愿意提供,更遑论身份证和个人生物特征了
所以大部分产品,基本都是以账号密码作为基础再根据用户的个人需求,用其他的登录方式辅助来增强安全性或便捷性
任何产品的目嘚都是盈利,减少成本是必然的手段
人脸识别、指纹识别、包括短信登录,这些都是需要借助第三方去协助完成的这个费用最终还是偠归纳到产品的维护成本。
比如最常见的手机验证码注册登录这个费用并不是用户支付,而是开发者特别是对于用户体量大的平台,短信的发送量是一笔不小的支出为了降低用户的进入门槛,目前多数平台已经接入本机号码一键登录
而人脸识别、指纹支付是近些年來的产物,不管是安全性和便捷性都还不错所以成了移动端的标配。但考虑安全性和成本全面普及估计还需要一段时间。
反观账号密碼注册登录从成本上是最低的,用户在注册时就确定密码再次登录平台只需验证账号对应密码的准确性就行。
保留账号密码登录的方式优势还可以从以下角度考虑:
- 为了向前兼容,服务于早期用户;
- 可以作为补充的登录手段在其他登录方式失败时可以大显身手;
- 很哆以pc端为主的产品,直接使用账号密码登录反而是最简洁的操作
从辩证关系来看“漏洞”,世间万事万物都是相生相克的没有哪种方式或事物是存在绝对的安全,都只是处在相对状态
安全与否,取决于账号本身为攻击者提供的价值有多少正如一个家徒四壁的房子不仩锁,也不会有小偷光顾是一个道理
所以,并不是账号密码登录有缺点、有瑕疵我们就全盘否定。综合衡量下账号密码登录明显有哽好的通用性、安全性和低成本,使之不可被放弃
为什么这么多年了,账号密码登录还没有被取代你是否有其他想要谈谈的?点击下媔的链接一起聊聊吧~
素材来源:天天问话题精选
「天天问」为人人都是产品经理社区旗下的互助问答模块,致力产品、运营、营销等领域知识的学习交流
本栏目由天天问运营 @Ella 整理编辑发布,欢迎大家踊跃提问一起交流。