作者記錄了自己在進(jìn)行產(chǎn)品安全設(shè)置模塊改進(jìn)過(guò)程中遇到的問(wèn)題以及幾點(diǎn)思考，分享給大家，希望對(duì)大家?guī)?lái)啟發(fā)。

背景

筆者最近在處理所負(fù)責(zé)的產(chǎn)品的「安全設(shè)置」模塊。我們的產(chǎn)品是 Web 端，最初是用郵箱作為登錄主鍵的，之后轉(zhuǎn)為將手機(jī)號(hào)作為第一主鍵，每位用戶必須有手機(jī)號(hào)，而郵箱則成為了可選項(xiàng)。一直以來(lái)，我們的產(chǎn)品都只有「通過(guò)原密碼改密」和「通過(guò)郵箱 / 手機(jī)號(hào)重設(shè)密碼」這兩個(gè)基礎(chǔ)的改密功能，而不能修改手機(jī)號(hào)和郵箱，這已經(jīng)被用戶多次吐槽過(guò)了。

為什么這么基礎(chǔ)的功能我們卻一直都沒(méi)有提供呢？

首要原因自然是開(kāi)發(fā)力量有限，而無(wú)論是修改手機(jī)號(hào)、修改郵箱，甚至修改密碼，都算是很低頻的操作，與之前我們?cè)谶M(jìn)行的支付相關(guān)功能的開(kāi)發(fā)相比，顯然沒(méi)有那么重要。

用戶對(duì)「安全設(shè)置」的期望，大概有這三種，分別是：修改手機(jī)號(hào)、修改郵箱和修改密碼。

為了滿足這些需求，我們可以通過(guò)這樣幾種方式來(lái)達(dá)成：驗(yàn)證密碼、驗(yàn)證手機(jī)號(hào)、驗(yàn)證郵箱和進(jìn)行人工申訴。

實(shí)施過(guò)程所遇到的問(wèn)題與看法

雖然作為一名產(chǎn)品經(jīng)理，我曾體驗(yàn)過(guò)大大小小上百個(gè)產(chǎn)品，但說(shuō)實(shí)話，改密和改帳號(hào)的流程，卻從來(lái)都沒(méi)有關(guān)注過(guò)，這時(shí)候自然要拿出作為產(chǎn)品人的第一把武器：抄！在抄的過(guò)程中，我想到了這些問(wèn)題，并且給出了自己的看法。

Q1：通過(guò)驗(yàn)證原密碼改密的方法為什么不可取？

觀察一下現(xiàn)在各大廠的做法，通過(guò)原密碼改密的方式已經(jīng)稍顯落后了。

對(duì)于我們的產(chǎn)品來(lái)說(shuō)，若提供了通過(guò)原密碼改密的功能，一旦用戶密碼被盜取，第一時(shí)間就會(huì)對(duì)賬戶的主人造成困擾，而郵箱、手機(jī)號(hào)則盜取的難度會(huì)相應(yīng)更高一些。手機(jī)號(hào)的盜取難度自然不必說(shuō)，而郵箱則又多了一層密碼防護(hù)，并且即使被盜也未必會(huì)對(duì)用戶在我們產(chǎn)品中的賬戶造成直接影響。因此，我在產(chǎn)品中并不會(huì)提供這個(gè)改密方式。

Q2：用戶登錄后，是否有必要提供改密功能？

這是在體驗(yàn)簡(jiǎn)書(shū)網(wǎng)站時(shí)發(fā)現(xiàn)的，登錄簡(jiǎn)書(shū)后，簡(jiǎn)書(shū)并沒(méi)有提供修改密碼的功能（修改綁定郵箱和手機(jī)號(hào)的功能也沒(méi)有）。講道理，用戶修改密碼最大的可能性，就是忘記了密碼，這時(shí)在登錄后提供一個(gè)修改密碼的功能顯然是沒(méi)有什么幫助的，除非——用戶就是想改密碼，但哪怕只是因?yàn)檫@一個(gè)「除非」，這個(gè)功能也還是需要做的。

Q3：綁定郵箱 / 手機(jī)號(hào)時(shí)，是否應(yīng)通過(guò)已綁定的另一個(gè)途徑進(jìn)行驗(yàn)證？

這是必須的，否則，賬戶被盜取后依然很容易被改密——直接綁定盜號(hào)者的郵箱或手機(jī)號(hào)就可以了。出于這個(gè)考慮，綁定時(shí)的驗(yàn)證必須是已綁定的另一個(gè)途徑，而不能是密碼，否則也沒(méi)有太大意義。

Q4：變更郵箱 / 手機(jī)號(hào)時(shí)，應(yīng)當(dāng)通過(guò)需要變更的途徑進(jìn)行驗(yàn)證，還是通過(guò)任意一種已綁定的途徑進(jìn)行驗(yàn)證？

后者。無(wú)論是手機(jī)號(hào)還是郵箱，一個(gè)人對(duì)其進(jìn)行更換都不會(huì)非常頻繁，而更換的原因主要是因?yàn)椤獰o(wú)法找回了。例如，很典型的例子，一些大學(xué)會(huì)給學(xué)生統(tǒng)一辦一批連號(hào)的手機(jī)卡，以便在學(xué)校中使用，當(dāng)學(xué)生畢業(yè)后，來(lái)到另一個(gè)城市工作，多數(shù)會(huì)更換新的手機(jī)號(hào)，并注銷掉學(xué)校的手機(jī)號(hào)，很少會(huì)有人一直保留之前的號(hào)碼。在這個(gè)過(guò)程中，用戶并不會(huì)把上一個(gè)手機(jī)號(hào)綁定的所有賬戶都換綁新號(hào)，在這個(gè)時(shí)候，我們必然應(yīng)當(dāng)允許用戶通過(guò)進(jìn)行郵箱驗(yàn)證來(lái)更換綁定的手機(jī)號(hào)。同理，在用戶手機(jī)壞了、手機(jī)在外地丟失等場(chǎng)景下，這個(gè)功能也是有必要的。

Q5：為什么要屏蔽綁定郵箱 / 手機(jī)號(hào)中的部分字符？

A5：這是一個(gè)能給盜號(hào)者帶來(lái)極大困擾，而一般不會(huì)影響到用戶的措施。當(dāng)盜號(hào)者盜取賬戶后，這個(gè)策略能夠有效的保證盜號(hào)者不會(huì)通過(guò)明文的郵箱和手機(jī)號(hào)進(jìn)行社工。特別是針對(duì)一些可以自定義登錄賬戶（用戶名）的網(wǎng)站會(huì)更有用。

Q6：人工申訴時(shí)，如何判斷申訴者是用戶本人？

人工申訴一般是針對(duì)其他途徑均無(wú)法找回密碼時(shí)使用的。我們的產(chǎn)品是可以進(jìn)行上傳身份證進(jìn)行身份驗(yàn)證的，因此我們可以通過(guò)要求用戶提供身份證后 6 位的形式來(lái)進(jìn)行驗(yàn)證；如果用戶在我們的網(wǎng)站上進(jìn)行過(guò)購(gòu)買(mǎi)，我們也可以要求其出具具體的購(gòu)買(mǎi)時(shí)間及訂單號(hào)；比較通用的，還可以要求用戶提供曾用密碼（但很少會(huì)有產(chǎn)品記錄這個(gè)）。

其實(shí)在思考這些問(wèn)題的時(shí)候，我的心里就已經(jīng)有了方案了，而且思考的焦點(diǎn)也沒(méi)有只盯在自己的產(chǎn)品上。在設(shè)計(jì)產(chǎn)品的過(guò)程中，我們思考的越多，策略就會(huì)越復(fù)雜，當(dāng)然也就會(huì)越安全，而安全和便捷無(wú)法兼得，為了安全，就必然會(huì)犧牲一部分用戶體驗(yàn)，但這都是值得的。

本文由 @青暉 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載。