使用者體驗設計執行個體:找回使用者帳號功能設計

來源:互聯網
上載者:User

文章描述:陳皓:如何設計“找回使用者帳號”功能.

因為《騰訊帳號申訴的使用者體驗》一文中好多人覺得騰訊申訴是世界級先進的,並讓我拿出一個找回使用者的帳號的功能來。本來不想寫的,因為大家看看其它系統的就行的,但是,很明顯有些人就是很懶,也不會思考,而且不會觀察,所以,我就只好寫下這篇科普性常識性的文章。

在行文之前,我得先感謝騰訊公司的至少30名員工在《騰訊帳號申訴的使用者體驗》一文後的回帖(我STFG(Search The Fucking Google)看到了你們使用的那個固定IP在各個大學論壇上的騰訊的招聘廣告),我感謝你們主要有兩點:

1、你們有半數以上的人留下的是gmail而不是QQMail/Foxmail的電子郵件,這點讓我感到很欣慰。

2、你們在加班到晚上11點的時候都能在本站回複,的確如你們的Andy Pan所說,你們的核心競爭力很強,包括水軍方面。

好了,讓我正式談談這個設計。找回使用者帳號通常就用三個事就可以了:郵箱,安全問答,手機。

郵箱,安全問答,手機

大多數的系統都會使用郵箱和安全問答,這足夠了,很多系統直接用郵箱做帳號名(Apple ID,Facebook,新浪微博 …),這樣一來,就算你的系統口令被盜,帳號的是改不掉的,於是你可以用郵箱找回(註:這些系統都會驗證你的郵箱是否正確)。但是,如果用郵箱做帳號,會導致你的郵箱暴露了,這樣為成為垃圾郵件的受害者,而且如果你還比較2的把郵箱的口令和帳號的口令設定成一樣的,那麼就相當坑爹了。所以,但凡是用郵箱用為帳號的系統都不會讓人看到你的註冊郵箱,比如,大家就不知道我新浪微博帳號註冊的郵箱,就算是知道也應該是受信的人知道(新浪微博帳號的郵箱地址的預設可見度是“你關注的人”)。

這裡要說一下,Google Mail使用的是電子郵件,安全問答和手機。你可以使用其中一種找回口令。gmail最漂亮的使用者體驗是其會提示你,你綁寫的郵箱(哪家公司的郵箱和帳號名的第一個字母)和手機(3個尾號)。MSN和gmail相似,也會提示你綁定的郵箱,也可以使用手機,還可以使用你設定好的受信PC,以及通過客戶支援(通過客戶支援——收集你註冊時用的名字,生日,國家地區,安全問題,使用過的口令,最近發送過的郵箱標題,連絡人等,或是你綁定過的信用卡資訊,但是不會有身份證)。

使用手機的一般是安全性比較高的網站,比如:淘寶、Gmail等。這樣,使用手機找回口令也不錯。因為你註冊的安全問答你可能會忘了,你的綁定的郵箱也可能忘了口令,而很多木馬可以盜取你的這些電腦上的安全問答或郵箱口令,但是這些木馬程式盜不走你的手機(註:在移動互連網時代很可能會盜取你的手機上的資訊,但是也盜不走你的手機號——無法像郵箱那樣改個口令就盜走了)。你會說,手機還不是會丟失,但是你要明白,你丟失的手機,你是可以停機的,可以通過你的手機密碼卡或是身份證恢複你的手機號的。另外,使用手機的好處還在於,我的系統不需要收信你的真實資訊(如:姓名,身份證,住址等),這些真實資訊的驗證交給行動電信業者驗證就好了。在程式設計的裡,我們把這種事叫“解耦”。Amazon就一種通過電子郵件,然後通過你使用過的信用卡後四位,以及帳單的郵寄的郵遞區號,如果你的郵箱變了,沒問題,打電話給客服吧,客服會問你的錢行卡號和帳單地址,電子商務的好處就是可以有信用卡或銀行卡來恢複號。因為這——把使用者的真實資訊“解耦”到了銀行,並“耦合”和銀行方面的安全性原則。很明顯,銀行和移動公司的安全層級更高,而且使用者也更信任他們。最好不要自己收集使用者的真實資訊,要是丟失了,你就麻煩了(在國外你就要被起訴了)

在這裡,你可能會有疑問,如果我的帳號口令丟失了,那麼盜取者會進入我的系統改我的郵箱,改My Phone,改我的信用卡等,那不也一樣嗎?我想說,對於郵箱和手機,其和密碼的層級一樣,你改密碼的時候,你都要輸入舊密碼,所以,你改郵箱和手機的時候也要使用舊的郵箱和手機。關於你綁定的銀行卡或信用卡號,就算是自己也看不見的(只能看見四個尾號),這就就可以防盜了。當然,盜電子商務帳號的人一般會用你一帳號買東西,但是其會遇到另一個麻煩,那就是要面對銀行方面的審計工作——1)對於銀行卡通過銀行的網銀,銀行的安全系統會幫你審計。2)對於信用卡則要受到信用卡驗證和簽名的驗證,還能讓商家會幫你檢查信用卡簽名是否正確。

一些人說,QQ的帳號申訴過程的“美妙”在於其他儘可能多的收集你的資訊,這樣一來,反而是安全的,因為密碼容易被盜,而你的那麼多的資訊則不容易被盜。這樣認識只對了一半。真正的安全系統是協同整個社會的安全系統做出來的一道安全長城,而不是什麼都要自己搞(當然,我們都知道騰訊的DNA就是什麼都要自己搞,連FBI和CIA的事也已經在搞了),什麼自己都搞反而不安全了。

其它討論Q&A

問題一:通過申訴找回帳號靠不靠譜?

明顯不靠譜,而且還很愚蠢。這反而成了惡意者的溫床。他人可以通過申訴讓正常人的帳號失效,這是一件多麼愚蠢的事啊!(我的QQ帳號前兩天不就被這樣攻擊了嗎?)

問題二:通過連絡人恢複帳號靠不靠譜?

不全然靠譜,因為你的QQ總是會有陌生人加你,你的郵箱連絡人也會有一些你不受信的人。那些人可能就是攻擊者的小號。所以,如果你要通過連絡人的話,就不要像QQ或MSN那樣坑爹的做法,讓使用者自己來選。而是要像Facebook那樣的做法——系統隨機挑些人來讓你認。

問題三:在註冊時設定受信的連絡人靠不靠譜?

看似靠譜,但是個人覺得還是還一點問題。因為受信者通過電子資訊無法分辨是本人還是盜號者,還要受信者實際聯絡一下對方。這就好像我們在手機號存電話號碼的時候,寫上了爸爸,媽媽這樣的字眼,這樣當惡意者拿了你的手機後,就可以向你的家人敲詐了,因為其直接就可以叫出對方那頭的人和被攻擊者的關係。

問題四:恢複帳號的時候收集使用者的真實資訊靠不靠譜?

這要看是什麼情況了。如果使用者在註冊時提供了這些真實資訊,就靠譜,如果沒有就相當不靠譜。試想:你去銀行開戶存錢的時候,銀行沒有讓你出示身份證,只讓你設了個口令。然後我就可以用我的身份證去重設你的口令。你覺得這個事是不是相當的坑爹?!

問題五:小白不懂郵件,不懂安全問題,不懂綁定手機啊?

那就用耐心地客服教導這些小白(可參看銀行等機構的做法——強制使用者輸入8位以上的口令,強制使用U盾才能進行大額轉帳),提高他們的能力和對安全的認識,當有一天這套東西形成社會標準的時候,安全才會真的到來。安全的問題本來就是雙方的事,只有大家都有安全意識,才能做得好。而不是遷就使用者。還是Henry Ford的那名話——“如果我問使用者要什麼,使用者會說他要一匹更快的馬”,所以這世上也就不會有汽車了。QQ不應該為降低使用者安全意識起推動性作用。

問題六:我的經曆是什麼樣的?

我基本不上QQ,我上QQ都是被朋友和同學逼的。因為上周四我想寫點關於騰讀使用者體驗的東西,所以我才上QQ想看看,結果發現上不去了,說是帳號被投訴了,讓我申訴,我猜想估計和我最早發布的關於騰訊的文章有關係。我1999年來註冊的這個QQ號根本沒有提交過什麼身份證或是地址系統之類的東西,我曾經綁定過手機,大概在5年前綁定過。

於是在走申訴流程的過程中,騰訊說的綁定的手機沒有被驗證過,我還記得曾經我使用我的hotmail郵箱代替過我的QQ號,不過這些在被投訴的面前都不能用了。而我感到騰訊無法知道我提交的這些資訊是否真實,又因為我以前曾經幫朋友註冊過QQ號(我這些朋友就是騰訊員工說的小白使用者),所以,我就用一些看上去比較真實的但實際是假的資訊,並用幫人註冊的這些QQ號成功申訴回來了。

有的網友說我不分不清找回密碼和申訴的差別,我在這裡想說,你分明綁定了手機,但是當你發了簡訊後卻被告訴你的手機沒有被驗證過。這個就很扯了。

於是,我才意識到QQ的這個申訴過程相當的不安全。關於一些細節問題,還請我們的我們騰訊的員工@larry同學給大家更多的細節。

問題七:QQ還有什麼樣的坑爹的Use Case?

有兩個朋友在回複中說到了兩個有意思的比較坑爹的Use Case。

@gqjjqg 說,他有個朋友被惡意申訴,有段時間和這個惡意申訴者來來回回地申訴這個QQ號,搞了一個多月都沒有搞定。最後只得和那個惡意申訴者達成和解才解決了這個事。

@Jack Yang說,他有個朋友在網上買了一個QQ號,沒過幾天就被申訴回去了(畢竟那是別人用過的),然後人家再接著賣,怎麼申訴都申訴不回來。欲哭無淚。

可見,在QQ的申訴流程下,什麼密保,什麼手機綁定,都成了浮雲。

(如果你還有什麼樣的問題,我可以在繼續更新並回答你的問題)

希望你現在明白,關於騰訊的帳號申訴過程,看上去相那麼回事,實際上漏洞百出。當然,我不能說騰訊是愚蠢的,因為人家搞得那麼大的企業,我只能說人家是在下一盤很大的棋……



相關文章

Beyond APAC's No.1 Cloud

19.6% IaaS Market Share in Asia Pacific - Gartner IT Service report, 2018

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。