为什么在实际的APP产品外观设计中仍使用帐户密码登录

发布时间:2020-11-30 01:45:24 作者:admin 336
这么多年后,为什么不替换“帐户密码登录”?
 
编辑指南:与帐户和密码登录相比,诸如扫描码登录和面部识别登录之类的登录方法显然更加方便,快捷和灵活,并且在实际使用中受到用户的欢迎。但是,为什么在实际的APP产品外观设计中仍使用帐户密码登录?从帐户密码登录问题开始,本文分析并讨论了该问题并与您分享。
帐户密码登录是一种非常常见的登录方法,并且已经持续了很多年。扫描代码登录,面部识别登录等新的登录方法继续出现,但是帐户密码登录的状态仍然稳定。
一个好奇的婴儿问了这样一个问题:使用帐户和密码登录是否存在漏洞?
例如:用户A登录时输入了错误的帐号,并且该帐号已经注册,该帐号的密码与用户A的密码相同,是否会导致登录错误?
答案是肯定的,它的确会导致错误的登录,并且帐户和密码登录中存在漏洞。那么平台如何防止此漏洞?为什么帐户和密码登录存在漏洞,但仍然没有被替换?
您是否考虑过这些问题?我们在《每天问》中讨论了这个主题,然后让我们一起解密吧?
[每日询问每周选择]问题124:使用帐户密码登录是否存在漏洞?为什么允许使用帐户密码登录?
本文的内容部分来自@祖安产品人@我不做程序员@北飘青年@石砚@Mr。杰@kuera @尼开@张思志@一米二的柯基@罗春明@幸失的妙回复
1.帐户和密码登录是否存在漏洞?
结论首先:帐户和密码登录存在漏洞,但经过预防后,意外登录的可能性非常低。
关于问题中提到的问题,由错误的密码引起的错误登录的可能性非常低。除非您使用错误的帐户和错误的密码同时访问该库,否则您将有机会成功登录。
进入图书馆更为常见,也就是说,小明在所有网站上使用相同的帐户和密码。小偷从网站A窃取了小明的黑客信息,然后使用脚本去其他网站登录并窃取了虚拟财产。
从概率的角度来看,确实存在这些情况。但是现在基本上大多数平台都将使用某种风险控制机制。例如:
限制一定数量的密码错误;
要求验证码以防止机器破裂公用位置/ip用于验证帐户密码;如果是远程登录/异常IP,则需要进行第二次验证。
平台可以获得移动终端的设备信息。通用的登录位置,IP等。一旦注册并登录帐户,即可在后台记录相关信息。一旦使用了新设备,IP不匹配或与常用登录位置相距甚远,便可以根据某些业务规则发出警报。
此时,用户在前端登录时,需要验证更多信息,例如手机号码,电子邮件地址和面部。
结果,不太可能利用帐户密码登录。即使蛮力破解,也应该有一个针对密码错误数量的验证和警告机制。从这一点来看,更难以打破。
2.为什么没有替换“帐户密码登录”?
因此,由于帐户和密码登录存在漏洞,并且新的登录方法层出不穷,为什么帐户和密码登录没有被替换?
首先,您需要弄清楚为什么用户需要登录:
该平台需要与用户唯一相关。如果您不登录,则唯一可以与用户关联的是设备。用户更换设备后,唯一性就会丢失。因此,平台需要与用户建立账户系统,以确保用户的唯一性。
有两种方法可以确保唯一性:
(1)平台给定:适用于B侧,平台为用户或运营商生成帐号密码。
(2)用户发起的倡议:
帐号密码注册登录
扫描代码进行注册并登录
第三方注册和登录
手机号码/电子邮件验证
其他(面部,声音,指纹等)注册和登录
本文中提到的帐户密码登录属于第二种,这也是历史比较悠久的一种。
在那个互联网还不太流行的时代,手机的普及率不是很高,每个人都非常重视隐私,技术也受到限制,让每个人都设置自己的帐户和密码进行登录是最好的解决方案。在当时的社交环境中。它可以减少用户的阻力,方便记忆,也有利于新的创新和推广。
后来,在Internet流行之后,每个人都降低了隐私保护级别,使电话号码保持在可接受的范围内。另外,从PC到手机,为了更好的用户体验,许多产品开始进行第三方登录,手机验证码登录等。
但是,许多平台和用户仍然可以识别帐户密码登录。具体原因如下:
1.多功能性强
即使帐户密码登录有漏洞,其他登录方法也不是完美的。从多功能性的角度来看,其他登录方法有很多限制:
扫描代码登录:需要另一个登录设备;
第三方登录:需要第三方帐户才能干预;
手机号/邮箱登录:很容易收到验证码,注册和登录门槛太高;
其他(面部,声音,指纹等):使用场景有限。例如,戴口罩时无法使用面部识别,如果手受伤则无法使用指纹
至于帐户密码登录,由于其自己的规则是由服务提供商设置的,因此无需依赖任何第三方服务,并且存在更多的使用场景,通用性无与伦比。2.高安全性
从安全角度来看,该帐户的密码登录性能也非常好。
(1)从平台的角度
使用第三方登录时,您无法掌握主动权。如果第三方有问题,您甚至无法登录自己的平台。
帐户系统与安全性和产品功能的实现有关。
用户数据库是平台安全的保证。每个平台都使用帐户密码登录,并且可以将用户数据保存在自己的数据库中。在随后的更新迭代,反馈等中,您可以自己查找和分析数据,而不必依赖第三方。
依靠别人胜于依靠自己。您自己平台的数据,无论它有多麻烦,都必须自己掌握。数据是平台的命脉,大多数平台都不愿意在核心事物上妥协。
(2)从用户的角度
在密码组合相对复杂的情况下,使用密码错误登录的可能性低于手机验证码。毕竟,大多数手机验证码只有四位或六位数字。
其他替代方案也有明显的漏洞,例如:指纹识别——被复制了指纹,面部识别——使用照片来欺骗相机,手机验证码机制——被截获了移动文本消息
用户可以避免过多地暴露个人信息。许多用户不愿提供电子邮件和手机号码,更不用说身份证和个人生物识别信息了。
因此,大多数产品基本上都是基于帐户和密码,然后根据用户的个人需求使用其他登录方法来增强安全性或便利性。
3.成本低
任何产品的目的都是利润,而降低成本是必然的手段。
人脸识别,指纹识别(包括SMS登录)都需要在第三方的帮助下完成,并且最终将这些费用累加到产品的维护成本中。
例如,最常见的手机验证码注册和登录,此费用不是由用户支付,而是由开发人员支付。特别是对于具有大量用户的平台,发送SMS的数量并不是一笔小数目。为了降低用户的进入门槛,当前大多数平台都可以使用本地号码进行一键登录。
就安全性和便利性而言,面部识别和指纹支付是近年来的产品,因此它们已成为移动终端的标准配置。但是,考虑到安全性和成本,估计完全普及将需要一些时间。
另一方面,帐户和密码的注册和登录成本最低,并且用户在注册时确定密码。要再次登录平台,您只需要验证该帐户对应密码的准确性即可。
结论
还可以从以下角度考虑保留帐户和密码登录方法的优点:
为了向前兼容,服务早期用户;
它可以用作补充登录方法,当其他登录方法失败时可以使用它。
对于许多基于PC的产品,使用帐户和密码直接登录是最简单的操作。
从辩证关系“漏洞”的角度来看,世界上的所有事物都是相辅相成和相互制约的。没有绝对绝对安全的方法或事物,它们都处于相对状态。是否安全取决于帐户本身为攻击者提供多少价值。正如没有四堵墙的房子没有上锁一样,小偷也没有理由光顾。
因此,并不是说帐户和密码登录有缺点或缺陷,我们会完全拒绝。综合衡量,帐户和密码登录显然具有更好的通用性,安全性和较低的成本,因此无法放弃