账号安全

什么是账户？
工具类：产品是免费的工具类产品可以不必要有账户，但是又高级付费功能，就需要账户，因为产品需要进行对用户的功能权限定位。
即时通信类：账户有资料、聊天记录、关系链等。

在互联网的世界中，一个个账户就好像一座座房子，注册就是建房子，账号是门牌号，密码是锁，登录就是开门。

总结：账户是用户权限的标识，存储用户信息的空间，甚至是用户的代表。而从技术性的角度看，账户就是以userID为主键的一大串数据表记录。

登录验证

密码：能用钥匙打开门的就是主人
验证码：增设一道门，并给出一把临时的钥匙，能用临时钥匙开门的就是主人
手势密码：能用手比划出规定动作，就是主人
密保问题、购买记录：记得问题的答案，或者主人曾经的所作所为，就是真正的主人
身份证号、银行卡信息：能说出身份证号或银行卡信息，就是真正的主人
指纹识别、声纹识别或刷脸识别：指纹、声纹或脸型匹配的话，就是真正的主人。

怎么保证账户安全？
1.阻止一场登录
①增加密码复杂度；
②登录频次限制；
③登录设备更换限制；
④登录IP变更限制。
2.知会用户
①检测到异常登录情况时，通过APP全局弹窗、短信、push或邮件等方式知会用户，并提示接下来的步骤，一般都会提示用户重置密码，更新密保信息等。

image.png

在交互上，用户会存在操作负担与认知负担，减少认知负担的优先级理应高于减少操作负担。如果因为减少操作负担，造成了账户安全问题，极大地增加了用户的认知负担，是非常得不偿失的行为。