6. 账号安全(1)安全设计规范
由公司安全产品经理,提供的一些设计中常见的安全规避方案 。例如:用户的手机号,姓名,密码等在数据库需要加密保存,展示在页面时需要脱敏处理等等 。(产品平时遇到安全性的问题是,自己也要多加总结)
(2)安全风控功能
弱密码稽查:密码在之前没有做格式的限定,导致用户设置的密码过于简单,在用户登录成功后提示用户修改密码的复杂度 或 定期通过密码库的查询,发现有密码安全性低的情况通知到用户去修改 。
手机号/邮箱的绑定与解绑通知:用户进行核心资产的解绑时,需要通过短信或邮件通知到用户 。
异地登录提醒:当发现用户的账号在非常用地登录时需要通知到用户或者增加验证码步骤 。
非常用设备登录提醒:当发现用户的账号在非常用设备登录时需要通知到用户或者增加验证码步骤 。
设备登录数限制:同一个账号在相同的设备上只能登录一个等等
输错次数锁定:同一个用户登录时密码连续输出5次,把账号冻结一天等 。
用户注销提醒:用户发起注销操作时,一定需要通过短信或者邮箱通知到具体用户 。
运营商二次放号:解决之前的手机号停机后,被运营商再次放号给到其他人使用的场景 。
(3)常见的安全风控问题
提示手机号已注册问题:
例子:某官网,在用户注册时,只要用户输入手机号已经注册,在输入框失去焦点时就提示用户该手机号已注册;导致竞品拿不同的手机号去试,凡是已经有注册的用户就一个个给用户打电话推销自己的产品;导致了公司花费了巨额费用引入的用户,被竞品亲而一举的盗取,损失惨重 。
解决方案:a, 登录注册一体化,不要分开;b,像这种非要提示的,建议验证身份后再提示,会损失一些用户体验 。
用户ID自增问题:
例子:某官网,在用户注册时,将用户的ID展示出来了,而且用户ID的生成方式为自增;被竞品抓到漏洞,导致竞品很轻易的知道公司新增用户数,不停的使用ID自增的方式暴力破解通过用户ID获取用户信息的接口,造成用户数据的泄露 。
解决方案:用户ID随机分配 以及 内部接口使用的ID与外面用户展示的ID分开 。
密码被暴力破解的问题:
例子:某官网,在用户注册时,没有做用户名 以及 密码复杂度的校验,导致用户大量的输入 123456 这种类似的密码 。竞品通过暴力破解随意登录网站并对用户造成困扰 。
解决方案:使用密码注册时,一定要有复杂度校验,不管是前端页面还是后端接口 。
登录设备不限制问题:
例子:某付费视频网站,在用户登录是没有限制登录设备数量,导致不法份子购买一个账号后,以低价大量的将此账号卖给其他的用户,导致了公司收入大量受损 。
以上几个例子一方面说明,账号本身十分的重要,一不小心就容易出问题 。我们在设计的时候一定要有安全意识跟思维,这种安全意识跟思维只有慢慢的积累或者学习才能形成 。
四、用户账号建设的几个阶段用户账号并不是说一定要按照我提供的这种方式来设计,如果说业务单一简单就完全不必想我这样规划,我这方案比较适合中大型的互联网公司 。
企业的不同阶段,其实对用户账号的需求也是不太一样的,企业的发展上我们大致可以分为:前期试错,扩大规模,精细化运营寻找第二曲线;每个阶段账号的侧重点是不同的,我们需要结合业务,进行一步步的迭代 。
以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!
「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助:- 公允价值变动损益是费用还是收入 公允价值变动损益属于什么科目
- 电子面单有什么好处 电子面单怎么开通
- 添加商品要注意什么 微店怎么添加商品
- 拼多多出价多少合适 拼多多怎么出价
- 淘宝猜你喜欢如何使用 淘宝猜你喜欢在哪里
- 个人参与外汇保证金交易详解 个人外汇投资怎么做
- 人群标签如何引流 人群标签怎么打造
- 哪种类型的小程序赚钱 小程序怎么赚钱
- 闲鱼发布成功但找不到是什么原因 闲鱼发布成功但找不到怎么办
- 注册公司有人数限制吗 注册公司需要几个人