查看:
9638
|
回复:
36
|
需要用户手机验证登录背后的决策过程!
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 22:35:50
|
显示全部楼层
1#
电梯直达
这整个过程是我参与决策,需要手机验证是我提的,如果要骂的话那就骂我好了,这个锅我来背!
过程: 一夜之间,论坛完全是乱七八糟的色情信息,后面的过程就是删贴,再后来就是关闭论坛发贴功能,一直持续到现在,发那些色情贴的帐号除了是刻意注册的一些帐号之外,还有一些是长期下单的客户,密码极度简单,如6个1之类,对于撞库来说极其简单,此时引起了我们高层的高度重视,开始了帐号方案的大讨论: 贺总方案:贺总马提出了用复杂的密度,用大小字母6位的方式,而我对于大小字母是非常反感,当晚上讨论,最终同意密码可以字母加数字的方式,对于简单密码强制修改,三天后上线,嘉立创反映太大,因为对于简单的密码客户,方案规定是必须重置密码,但是有很多老客户原来的手机号都不用了,没办法重置,所以上线半天后暂停! 也就是上线的当天,我跟高经理,贺总,还有杨总,在午餐进行短暂的讨论: 1)贺总的强密码方式因为在实施过程中重置密码行不通,我则提出的是继续保持弱密码然后再加补充系统记录手机号码的后6位,我的观点是,手机的后6位,对于小范围是公开的,而对于大的社会来说则是密文,但是他们反对说,如果简单的密文资 料以泄透,则这部分客户无法保护以来,同样会形成大面积事件,对此观点我表示了认同 2)后续我继续提出了手机验证的方案,我的出发点两点,1)能让客户继续保留弱密码(好记)的功能,2)不要影响太多的客户,不要强制所有的弱密码必须改密码 高经理补充说有一个知名招聘网站也是采用此方式,所以最后的方案就是现在的方案: 1)增加拖动滑条 2)对于简单的密码给于提示,而不强制必须改 3)增加了当前登录人的手机验证功能,也就是大家骂得最凶的 后记: 对于在强密码无法实施的情况下,进行手机验证,我个人到认为是一个不错的选择,手机人人有,在原来的基础上也仅仅增加了一个手机验证动作,增加了这个动作对于大家的帐户安全也得到了极大的保障!手机是人人都有的,当然为了尽可能减少对于客的影响,嘉立创从一开始就记往了密码,尽可能的不要密往密码功能,对于原密码的弱密的也给于了保留,只是给于了提醒(系统认为是异常的则强制) 深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
D
6
主题
447
回复 |
发表于2018-06-09 22:58:44
|
显示全部楼层
2#
1.现在的验证方式全球独一无二。2.支持采用弱密码的想法很奇特。
|
|||
D
6
主题
447
回复 |
发表于2018-06-09 23:36:39
|
显示全部楼层
6#
既然已决心采用这种方案了,提几个建议吧,可能会在一定程度上改善现在的体验: 1. 账号设置“自动发送手机验证码”的手机号设置,设置登录时自动往特定手机号发送验证码的功能,省去了手动再输一遍手机号的步骤,特定的手机号码在账号里面可以自定义。这就相当于强制开启二次认证了。不过这是降级版的二次认证,主要用途是记录一个手机号。 2. 既然输入密码登录时候已经拖动了一次滑条,接下来验证手机的时候就不需要拖动滑条了吧?限制验收码的发送次数就好了,超出次数后需要重新回到密码登录界面。 3. 关联同一个手机号的不同账户间,增加一键切换功能(当然,一键切换功能用户可选是否打开,设置是否一键切换需要手机号验证码),方便不同账户之间的切换,否则,现在这种验证方式对于需要切换多个账户的用户来说,过于繁琐了,需要验证好多次。 |
|