一直在跟的h5业务要独立出来做个 App,首先遇到的就是登录注册。
按照方便用户的思维,原本的用户要迁移过来,用原来的手机号和密码就好。流程设计为用户在新app中,先输入手机号,判断是否注册,若已注册就给登录页面;若未注册就给注册页面,方便用户。
评审时风控安全同事提出,设计成此种流程,很容易被程序跑出来那些号码已注册了此app,被跑出注册量和注册号码的数据;所以还是建议注册和登录分开。
以及又谈到,类似的,当用户登录时,手机号和密码只要有一个是错的,给的反馈提示会是:账号或密码错误;不会暴露,账号是否注册。如果反馈设计为密码错误,会暴露此号码已注册。
问PM,为什么我们不把短信验证码登录放的级别高一点,直接短信验证码登录用户就不用记密码了。PM说太花钱了。优先给账号密码登录的页面,记得登录密码的用户就会帮我们省一部分钱。
点忘记密码,不用短信验证码,同理,也是为了少花钱,用户点了忘记密码用短信验证码可以登录,下次还会靠此手段短信验证登录。
又问,为什么现在的忘记密码不是找回原密码了,都是走修改密码流程,然后用新密码登录。得到确认,确实是如果返回的是原密码,有安全风险,如果不是本人在登录,别人知道了密码,可以去其他平台试验,撞库。
整个设计流程听取多方的意见,收获很多
还在做找回密码、重置密码和更换手机号的流程,以及周例会上抛出了我的所得和问题,跟另一个交互设计师和设计研究同学成立了一个临时小组,后续继续补上对整个登录注册的思考。
