账号体系设计:如何解决手机号二次使用导致的账号问题
发布时间:2017-05-16 14:14:43 所属栏目:运营 来源:woshipm.com
导读:副标题#e# 手机号已经成为了目前绝对的主流注册方式,大多数产品的帐号体系也是依赖手机号来建立的,但如果用户手机号不使用之后,再被运营商放号,新的用户拿到了这个手机号,那么该不该给这个用户注册呢?产品的安全机制如何保证?今天来临摹下大厂的做法
|
用户进入密码的场景有四种: 真忘了自己密码;二次放号后,小红买了新手机号,提示已注册,如果没有相应的注册引导,于是来到忘记密码,改了小明帐号的密码;二次放号后,小红改了小明的密码,小明无法登录,来到忘记密码页面;二次放号后,小红注册了手机号A,帐号a的手机号为空,小明无法登录,同时真把自己密码Aa忘记了,所以没法通过登录页面的“历史手机号+密码“登录后来重新绑定手机号,于是来到忘记密码页面。常规的流程是通过已有手机号+短信验证码来重置密码,但为了避免上述的小红直接将小明帐号密码改了的问题,需要有安全机制,这部分放到安全机制中讲述。 另外,不管小明是被改了密码,还是手机号都没了密码也忘了,都属于接收不到短信验证码的问题,这时候要留出口子让这部分用户能通过身份验证自主的重置密码,这部分也放到安全机制中讲述。 总结忘记密码流程:
再回过头看二次放号产生的忘记密码问题,产生的问题是: (1)若产品中的找回密码没有考虑接受不到短信验证码的场景,小明无法重置密码,无法登录产品。 答:增加身份验证流程,验证通过后可重置密码; (2)若产品中的找回密码没有相应的安全机制,小红可以轻易的更改帐号a的密码。 答:增加安全机制,验证通过后可重置密码。 4、安全机制上述的注册,登录,忘记密码流程中,为了避免二次放号后用户可以直接登录成功,都需要有一个验证身份的流程。 但为了不影响正常用户的使用,需要先判断是否需要进行身份验证,以下情况是可以不用身份验证的: 用户注册不到4个月(前面提到,运营商二次放号至少需要4个月,若有特殊情况,找客服,不考虑);常用的设备不需要身份验证(例如使用超过了7天);设置为安全的设备不需要身份验证(例如用户已经将设备加入了“受信任设备列表”中)等。如何进行身份验证? (1)好友辅助验证 QQ和微信采用的是让两位好友帮忙辅助验证——将验证信息转发给你的好友,页面提示让好友确认是本人后再点击验证通过,两位好友帮忙验证通过后即可通过身份验证。 这种验证方式安全度极高,但是也麻烦,适用于社交类的产品。
(2)历史信息验证 (编辑:西安站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
