【前言】

用戶體驗(yàn)是什么？ 當(dāng)用戶號碼被盜需要修改密碼時，不需要再絞盡腦汁想8年前設(shè)置的密保問題，也不用翻箱倒柜找你的QQ令牌，更不會讓你用手機(jī)發(fā)個短信到一長串接入號，而是掏出手機(jī)，把攝像頭對準(zhǔn)二維碼，輕輕一掃，安全改密。

為了更方便用戶安全的修改密碼，安全平臺部密碼項目組聯(lián)合微信推出了微信掃一掃。

【創(chuàng)新特性名】修改密碼：微信掃一掃，一鍵改密

【產(chǎn)品功能和使用場景】

用戶對無線端改密體驗(yàn)的訴求越來越大

隨著移動互聯(lián)網(wǎng)的快速發(fā)展，越來越多的用戶通過手機(jī)上網(wǎng)，用戶對無線端改密的訴求也越來越大。但是改密是提高帳號安全級別的重要操作，我們必須通過 嚴(yán)密、準(zhǔn)確的策略確保帳號在無線端請求改密時，只有帳號主人（而非試圖盜用號碼的盜號者）才能修改帳號密碼。但是策略是依賴用戶側(cè)證據(jù)的，比如對PC端的用戶，我們可能通過ip等信息（不限于此，由于較敏感，這里就不一一列舉）進(jìn)行策略分析。以往的證據(jù)體系是建立在PC時代的，復(fù)用到無線端用戶則不完全適用，無線端用戶目前改密成功率不理想。因此，如何尋找無線用戶的有效證據(jù)，以便盡可能地識別出帳號主人改密，做到最大程度方便好人打擊盜號者，成為密碼項目組每天思考最多的問題。

順應(yīng)無線大潮，引入移動設(shè)備證據(jù)

隨著移動互聯(lián)網(wǎng)的崛起，用戶行為習(xí)慣逐漸發(fā)生變化，越來越多的用戶選擇通過無線設(shè)備上網(wǎng)。項目組巧妙引入了微信設(shè)備證據(jù)，從而能夠識別出更多帳號主人改密情況，為無線用戶降低了改密門檻。具體場景如下：

Step1：提前預(yù)判

用戶登錄QQ安全中心網(wǎng)站aq.qq.com請求改密，身份審核系統(tǒng)會對當(dāng)前用戶進(jìn)行預(yù)判。預(yù)判系統(tǒng)將根據(jù)“用戶是否微信活躍用戶”、“該帳號是否有常用設(shè)備”等信息預(yù)估當(dāng)前用戶是否可以提供充分的微信設(shè)備證據(jù)。符合預(yù)判條件的用戶將會在改密頁面上可以看到“微信掃一掃改密”的方式，如圖1所示。

?圖1、符合預(yù)判條件的“微信掃一掃改密”頁面

Step2：微信掃一掃確認(rèn)是否本人改密

用戶登錄微信后，可使用“微信掃一掃”掃描二維碼，此時微信客戶端將帳號及設(shè)備信息傳遞給身份審核系統(tǒng)。身份審核系統(tǒng)將根據(jù)其透傳信息識別當(dāng)前登錄微信用戶是否為帳號主人，如果核實(shí)是帳號主人，則提示“該帳號請求在電腦上修改密碼，請確認(rèn)是否本人操作”（如圖2）；如果非帳號主人操作，則提示用戶不能使用微信掃一掃改密（如圖3）。

??????????

Step3：微信確認(rèn)后即可改密

用戶在微信上確認(rèn)為本人操作，然后就可以修改密碼了，如圖四。

圖4、用戶確認(rèn)微信掃一掃為本人操作后即可改密

【創(chuàng)新點(diǎn)】

PC互聯(lián)網(wǎng)時代，要識別是否帳號主人改密，我們有多樣的證據(jù)用來做策略分析（安全起見，具體證據(jù)略去）。但是這些證據(jù)是PC時代的產(chǎn)物。隨著移動互聯(lián)網(wǎng)的崛起，用戶行為習(xí)慣逐漸發(fā)生變化，越來越多的用戶選擇通過無線設(shè)備上網(wǎng)，甚至有的用戶已經(jīng)脫離PC端，只在無線端使用微信、微博、手Q等。PC時 代的證據(jù)體系已經(jīng)越來越無法滿足快速發(fā)展的移動互聯(lián)網(wǎng)潮流下的無線用戶的需求。我們只有突破現(xiàn)有的舒適區(qū)，才能提供更適合無線用戶的改密體驗(yàn)。密碼項目組 積以開放的心態(tài)擁抱移動互聯(lián)網(wǎng)大潮，積極探索業(yè)內(nèi)的未知領(lǐng)域，經(jīng)過各方面學(xué)習(xí)與分析，決定引入微信設(shè)備證據(jù)，通過這一證據(jù)識別出帳號主人改密情況，為無線 用戶降低改密門檻，優(yōu)化改密體驗(yàn)。

這一功能的創(chuàng)新點(diǎn)如下：

1） 繼手Q之后，微信也引入了手機(jī)設(shè)備信息作為改密策略證據(jù)。以往的證據(jù)體系是PC時代的產(chǎn)物，本次引入手機(jī)設(shè)備信息，是對證據(jù)體系的一次革新。新的證據(jù)體系更符合當(dāng)前的用戶行為特征，可以幫助更多無線用戶順利修改密碼，提高帳號安全。

2） 掃一掃改密完全可以確保帳號安全地改密。我們并非單獨(dú)依賴手機(jī)設(shè)備信息，而是在原有證據(jù)項的基礎(chǔ)上，利用手機(jī)設(shè)備信息對無明顯異常的帳號進(jìn)行放過，從而達(dá)到最大程度解脫好人、降低門檻的目的。

3） 掃一掃改密是一種全新的改密體驗(yàn)，其引入設(shè)備信息的方式巧妙，可以最大程度減少用戶操作復(fù)雜度。當(dāng)用戶請求改密， 身份審核系統(tǒng)會先進(jìn)行預(yù)判，找出滿足掃一掃改密條件的用戶。用戶使用微信掃一掃掃描二維碼后，觸發(fā)微信將設(shè)備信息傳給身份審核系統(tǒng)，用戶通過微信確認(rèn)本人 改密，然后就可以驗(yàn)證原密碼改密了。整個過程體驗(yàn)流暢無阻、安全感十足。

4） 相比手Q掃一掃，微信掃一掃在體驗(yàn)和安全性上都有了進(jìn)一步提高。

體驗(yàn)：從體驗(yàn)上，微信掃一掃不受版本限制（而手Q必須4.6以上版本的才支持掃一掃改密功能）。在微信掃一掃中，我們從技術(shù)上攻克了版本的限制，使得任何版本的微信都能夠支持掃一掃改密功能。

安全性：微信掃一掃在安全性上也要求更高，除了引入設(shè)備信息外，我們還將用戶微信帳號的安全級別進(jìn)入作為參考，進(jìn)一步提高了微信掃一掃改密的可靠性與安全性。

【創(chuàng)意如何產(chǎn)生】

為了讓更多的用戶可以便利地改密，項目組一直積極發(fā)掘潛在線索，以更準(zhǔn)確地識別是否帳號主人改密。大環(huán)境的變化給密碼線帶來了新的挑戰(zhàn)和機(jī)遇。隨著移動互聯(lián)網(wǎng)的崛起，用戶行為習(xí)慣逐漸發(fā)生變化，越來越多的用戶選擇通過無線設(shè)備上網(wǎng)。無線用戶有其區(qū)別于PC用 戶的明顯的行為特征，如：用戶和設(shè)備的綁定關(guān)系緊密，用戶一般在特定設(shè)備上登錄。我們是否可以利用這些設(shè)備信息，降低用戶的解脫門檻，優(yōu)化無線端重置密碼 體驗(yàn)?zāi)?？通過一系列的可行性分析后，我們認(rèn)為這個設(shè)想是可行的。借助微信部門的資源支持，以及項目組的通力合作，我們快速地將這一設(shè)想變?yōu)楝F(xiàn)實(shí)。

【實(shí)現(xiàn)方式】

考慮到安全原因，這里簡單介紹下微信掃一掃改密的實(shí)現(xiàn)方式：

Step1：用戶使用掃一掃掃描二維碼，符合特定條件則觸發(fā)微信客戶端將設(shè)備相關(guān)信息傳給微信后臺。

Step2：微信后臺將設(shè)備信息傳給身份審核系統(tǒng)，身份審核系統(tǒng)進(jìn)行策略分析識別是否為帳號主人改密。

Step3：如識別為帳號主人改密，則引導(dǎo)用戶進(jìn)入原密碼改密流程。

【產(chǎn)品的意義對未來的展望】

隨著移動互聯(lián)網(wǎng)的崛起，用戶行為習(xí)慣逐漸發(fā)生變化，越來越多的用戶選擇通過無線設(shè)備上網(wǎng)。甚至有的用戶已經(jīng)脫離PC端，只在無線端使用微信、手Q等通訊工具。因此要在未來立足，我們必須重視無線用戶的改密體驗(yàn)?！拔⑿艗咭粧吒拿堋笔敲艽a項目組在無線端的一次非常重要的嘗試，相信我們的工作會幫助微信用戶體驗(yàn)到更順暢、更便捷的改密體驗(yàn)，而這也將只是一個開始，未來越來越多的無線用戶會受惠于我們的今天的嘗試。

原文來自：騰訊大講堂