一、引言
据App Annie统计,包括中国在内的10个国家中,平均每人每月APP使用数量已经超过30个;随着移动互联网的发展,纷繁多样移动应用已经渗透到广大用户方方面面的生活中。下载一个有趣的app,注册、登录、使用;手机银行转账时,获取短信验证码后填写确认;相信大家对这些场景一点也不会感到陌生。
然而,对于产品经理而言,在这样司空见惯的场景中,却隐含着一个基础但又十分关键的设计环节——那就是“注册/登录”。众所周知,引导用户注册帐号的目的是获取用户基本信息及记录用户的行为数据,基于后续分析可用来指导产品运营、产品设计、甚至是盈利模式设计,对于提升用户粘性、产品持续发展至关重要。但在引导用户登录注册的过程中,产品经理往往需要面临一个矛盾的选择:一方面,为保证产品账号体系的质量与用户账户的安全性,必须选择适合的身份验证方式嵌入到注册登录流程中;另一方面,为提升产品的转化率,又必须可能的简化流程,保证用户体验。但去过银行柜台办过业务的同学一定清楚,安全性与便捷性是对立的;在保证安全性的同时,产品注册登录过程中必然会牺牲一定的用户体验。如何平衡两者之间的关系,那么选择一种适合的身份验证方式就显得尤为重要。
二、移动互联网时代主流身份验证方式比较分析
从使用场景上看,身份认证方式可划分为用户登录时的身份认证与操作产品功能认证。在不同场景下,身份认证方式选择会有所差异。例如,在产品登录认证过程,结合短信验证的账密认证方式应用较多;而在静态密码则常用于操作产品功能认证中。
从时间维度来看,短信验证、邮箱验证、静态密码等认证方式在互联网时代就已存在,是较为传统的身份验证方式。其中,随着手机终端在用户普及程度不断提升,短信验证已经成为当前业内主流的身份验证方式,在电子商务、互联网金融等领域得到了广泛的应用。与此同时,随着认证技术以及智能终端发展,身份认证领域又出现了以免密认证、二维码认证为代表创新性身份验证方式。
1. 传统身份验证方式
1) 短信验证
短信验证实现流程:一般需要用户在注册过程中通过移动网络向服务器提交手机号作为凭证,服务器将动态认证码以短信形式发送到用户注册手机号中,用户及时输入动态认证码即可完成身份验证。
对用户而言,短信验证操作使用较为便捷,整个过程只需一次点击与一次数字输入,能够较好的保证用户体验;但认证实现过程需要依靠网络,由于用户在收到认证码后需要在一定时间内完成操作,在网络信号差时会出现短信延迟的情况,从而增加用户重复申请的几率。
从安全性来看,由于短信验证实现的流程线路较长且必须依靠移动网络,该方式的安全方案必须很大程度上考虑移动网络的安全性,这也是当前依靠伪基站的电信诈骗高发的原因。
2) 邮箱验证
邮箱验证实现流程与短信验证类似,这里不再赘述。从操作便捷性上,邮箱验证的动态认证可通过验证链接实现,整个无需用户进行输入操作;但从操作流程上,用户必须二次跳转至网页登录邮箱完成验证操作,然后跳回APP界面,相对短信验证方式体验较差。另外,邮箱本身也存在认证用户身份的问题,目前绝大部分邮箱要求用户绑定手机号码,最终还是依赖手机号码来认证用户身份。
3) 静态密码
静态密码认证是按照用户预先设置的操作密码认证用户的操作行为。该种认证方式从用户体验上看较为便捷,用户无需跳转只需输入密码即可完成。对于产品提供商来讲,实现成本较低,仅需存储用户密码即可;但在安全性方面较为欠缺,容易被盗或者被拖库,风险较高,所以目前一般用于产品操作功能认证。
2. 新型身份验证方式
1) 免密认证
免密认证是中国电信天翼账号推出一项互联网身份验证解决方案,基本原理是依托电信运营商的移动数据网络,采用“通信网关取号”及SIM卡识别等技术,准确识别用户手机号码。
对于用户而言,用户使用免密认证的过程中,无需注册,只需点击页面登录即可完成认证。相较于其他登录认证方式,免密认证省去了账号及密码(验证码)输入操作,甚至是丢弃了密码,极大简化了用户操作流程;与此同时,由于在认证过程中,免密认证的信息交互是基于移动数据网络实现的,安全方面也会更具优势,不会出现短信验证验证信息被拦截得情况。
对于产品服务提供商而言,极简的用户体验流程将会极大提升用户注册及转化率;同时,相对于短信验证来讲,更能够直接短信成本支出。
2) 二维码认证
二维码认证的实现原理:用户打开扫码登陆页面后,浏览器请求验证系统获取二维码图片地址并显示在网页上;用户打开移动APP扫描二维码,打开APP端引导页;APP端引导页会将用户的信息传递给业务系统;业务系统收到APP端用户信息后,通知验证系统扫码成功。
这种认证方式简化网页登录注册过程中的输入操作,使用方便快捷,体验较好。但从安全性上看,二维码承载信息尚未有主管机构或者第三方机构审核,易出现病毒与流氓软件安装到扫描该二维码的用户手机。因此,在场景上,二维码认证多应用于同一产品在不同终端设备上的认证登录,应用范围较为有限。
三、总结
依据CNET报道,2016年美国在《数字身份认证指南修改草案》中,作为认证软件必须遵守其规范的美国国家标准和技术研究所(NIST)表示,出于用户安全方面的考虑,美国将放弃基于SMS短信的双因素身份验证,美国正式结束短信验证时代。对于中国而言,在网络安全、电信诈骗问题频发当下,或许以免密认证为代表的新一代认证技术才是新一代互联网身份验证解决方案的发展方向。
点击打开链接
扫一扫
950
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
