密码找回场景:验证码是最好的解决方案吗?

问题5:验证码是最好的解决方案吗?

解决了“证明我是人”后,接下来的问题就是“证明我是我”。

在密码找回场景下,涉及到“证明我是我”的具体情况如下:

  • 用户忘记密码,目标是尽快登录 or 修改密码
  • 陌生人试图修改用户密码,目标是将威胁及时告知用户,并让陌生人无法轻易修改密码
  • 用户账号被盗,密码已被陌生人修改,目标是尽快让陌生人无法操作账户,并让用户有办法修改密码

用户在第一个场景中不需要额外的验证过程,需要的是尽快登录和修改密码。第二个场景中涉及到了权限和通知设计,第三个场景中则需要设计后门。

本质上通知和验证是一体的,因为用于通知的媒介也是事先经过验证的。无论权限、后门,还是通知,核心都是对身份的验证:是我/非我,非常简明的权限结构(不讨论超级管理员)。

对身份进行验证的一般策略是:线索约定、模式识别。线索约定策略中包括:个人拥有的通信服务、个体特征、第三方证明、公共服务。模式识别策略通常会主动收集当前使用信息与历史记录进行比对。

举几个线索约定策略的例子:

  • 个人通信服务:手机号码、电子邮箱、设备系统级别推送、私人信件
  • 个体特征:指纹、面孔、声音、虹膜、社会关系、个人经历
  • 第三方证明:信用、工作证明、身份证件、银行信息、二维码等
  • 公共服务:组织的公开紧急联系方式

不同的密码找回场景中,验证策略的设计原则是:随着用户处境的紧急程度逐渐升高,验证过程中的沟通复杂程度也逐渐变大。

个体特征和第三方证明验证的使用场景都比较特别,用于安全优先级比较高的场景。由于手机号码、电子邮箱是当前应用最广、最贴近生活、使用最方便的通信方式,在密码找回场景的初期,目前的常用验证方式是:通过手机号码和电子邮箱进行验证。

当手机号码和电子邮箱无法正常使用,沟通就需要承载更多的信息,这个时候的方案有两种:通过提供第三方证明和个体特征等复杂程序来验证身份;通过人工服务与组织进行沟通。

那么就到了巅峰对决的时候了:短信验证、电话验证码、邮箱验证码、邮箱链接,哪个体验更优?

手机验证有三种方式:收到短信验证码并填写、主动发送验证短信(QQ,iOS 端)、电话语音接听验证码,它们的操作步骤如下:

  • 被动收到短信验证码:点击发送验证码 - 等待并收到验证码 - 查看验证码并记忆 - 输入验证码 - 点击下一步 -
  • 主动发送验证短信:复制短信内容 - 点击快速发送 - 跳转到短信界面并粘贴内容 - 发送短信 - 跳转回App界面 - 点击我已发送
  • 接听电话验证码:点击发起验证电话 - 等待并接听电话 - 等待并记忆验证码 - 挂断电话并输入验证码 - 点击下一步

无论从操作步骤的多少、还是操作的复杂程度来看,主动发送验证短信的用户操作成本显然要高很多,说明它有具体的使用场景限制,如安全因素优先级比较高的场景。而电话验证的使用场景有两个特点:使用习惯、使用环境,如果用户习惯使用电话进行验证、或处于不太友好的视觉环境中,那么电话验证就会多一些优势。

对于被动收到短信验证码,如果用心设计验证内容文本,结合短信和邮件通知的预览功能,用户可以不跳出当前界面来完成验证任务,这几乎已经是当前体验最佳的权限问题解决方案了。

比比才知道什么是好设计
  • 除了图中标明的两处设计缺陷,对比右侧可以发现 Facebook 通知的可读性更差:与中文阅读习惯不符;验证数字和引导词“验证码”的距离比较远,干扰对验证码的阅读。
  • 关于可读性与个人隐私的权衡,有两个影响因素:不同产品特点决定用户收到的是快递还是保险箱;密码找回场景下,当前用户被默认为本人,可读性的权重要高于个人隐私。

邮箱验证也有两种方式:验证码、链接。它们的操作步骤如下:

  • 邮箱验证码:点击发送验证码 - 等待并接收邮件通知 - 查看邮件内容并记忆验证码 - 跳转到 App/网页内 - 输入验证码 - 点击下一步
  • 邮箱链接:点击验证 - 等待并接受邮件通知 - 查看邮件内容 - 点击链接

从操作步骤来看,链接验证方式要比验证码方式步骤更少;但从页面流程来看,用户在使用验证码方式时页面环境的变动更小。不过,经过对邮件通知和内容信息的优化后,免于点开邮件查看详情并跳转,验证码方式的操作步骤已经可以与链接方式相当,唯一的区别就是记忆验证码和页面跳转操作的区别。这时候,记忆验证码的方式看起来更优雅一些。

总结一下:

  • 短信验证码、邮箱验证码适用于普通的密码找回场景
  • 主动发送验证短信适用于安全因素优先级比较高的密码找回场景
  • 接听验证电话适用于视觉环境不友好的场景和有相应操作习惯的人群(如老人、海外)
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,542评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,596评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,021评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,682评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,792评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,985评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,107评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,845评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,299评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,612评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,747评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,441评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,072评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,828评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,069评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,545评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,658评论 2 350

推荐阅读更多精彩内容