找回密码产品设计的一点点思考

题记

就在今早凌晨,我司官网发生小范围的用户账号被盗问题。经过技术排查,问题发生在用户找回登录密码这一步。为安全起见,技术同事临时关闭了找回密码功能。

来到公司之后,第一时间梳理了所有可能出现的问题,给出优化流程,协同技术和UI同事一起解决了该问题。

呜呼哀哉!何其幸哉!

解决过该问题之后,我有2个疑问:基于什么样的可能出现账号被盗?有没有好的优化方案。

一、为什么会在找回密码这一步被盗?

下图为我司原有的找回密码流程和页面。

原有流程


原有流程
原有流程

作为一名技术爱好者,百度搜索了下原因,大多都说是在提交密码修改时被黑客抓包,修改了用户手机号,从而实现盗号。

二、解决方案

如果说上述理由成立的话,那么解决问题的本质方法应该是杜绝抓包。但是在和技术同事沟通后发现短时间内解决不现实,逻辑复杂,见效慢。

我个人是这么考虑的:

既然黑客是在提交userID和psw的时候抓包,那么其中的一个解决办法就是尽可能减少黑客抓包几率,即将原有路径3步迭代为1步。即下图所示:

现有流程

三、尾记

总结来看,当前主流找回密码(或称忘记密码)大多有以下qinx:

1、借助第三方找回

包括手机、邮箱。

优点:方便快捷

缺点:极度依赖第三方账户,且存在被他人使用的风险。

2、借助已填写信息找回

常见方式有QQ密码找回,比如密保问题、好友认证和证件号码等

优点:随时可以操作,主观能动性强

缺点:存在忘记问题答案风险

3、人工方式

常见有联系客服、账号申诉

优点:安抚用户,获得心理安慰

缺点:费时耗力,只能作为一种辅助措施。

总之,今天这件事给我提了一个醒,提升用户体验的同时有一个前提:保障用户账户安全。

修改密码最重要的不是用户体验,而是逻辑健壮。

以上

你可能感兴趣的:(找回密码产品设计的一点点思考)