发表于: 2019-07-16 22:58:38
1 787
今天完成的事情:
1.任务五总结,通过后再更新wiki
注册方式常见为手机号码,对于支持第三方登录的用户来说,应用也会对其进行手机号码绑定引导,完成从虚假用户到真实用户的转变。
登录方式越来越往简单化方向发展,在pc端加入移动端扫码或确认的方式比起账号密码的方式虽然操作上稍显麻烦,但使得用户在多个应用的情况下不用去记忆不同应用的密码,还是利大于弊。移动端的快捷登录方式有SIM卡号码一键登录及扫脸登录等。
忘记密码即为修改密码,与注册流程保持一致。
思维导图如下:
2.任务五深度思考
1. 用户账号的安全等级有哪几种,分别适合于什么场景?
用户账号的安全系数,常被应用于大型应用,需要保证用户安全的情况下,常采用百分制,分数与用户账户信息完善程度相关。常加入奖励机制引导用户填写。
2.短信通道是什么,你知道哪几家短信公司?什么是到达率,群发短信和点对点短信有区别吗?
短信通道是由中国移动、联通、电信等运营商直接提供的实现与客户指定号码进行短信批量发送和自定义发送的目的短信发送接口。
正常的短信到达率基本在99%左右,受到影响的情况包括:1.服务商质量 2.号码本身问题 3.《广告法》对房产,教育,金融和医疗行业的审核限制。
3.找回密码时如何判断用户密码为丢失还是被恶意破解,系统中需要做哪些防范?
暴力破解攻击是通过巨大的尝试次数获得一定成功率的的。因此在web(应用程序)日志上,你会经常发现有很多的登录失败条目,而且这些条目的IP地址通常还是同个IP地址。有时你又会发现不同的IP地址会使用同一个账户、不同的密码进行登录,这种情况就是恶意破解。
验证码等机制可以一定程度上防范这种情况
4.什么是短信炸弹,原理是什么,如何防范?
短信轰炸是指通过恶意程序,利用从各个网站上找到的动态短URL(比如验证码发送的URL)和前端输入的被攻击者手机号码,发送HTTP请求,每次请求给用户发送一个动态的短信(比如验证码短信)。
最终的效果,就是朝许多无关的手机用户,发送很多验证码短信。导致手机用户被骚扰。
恶意攻击者采用恶意工具,调用“动态验证码短信获取接口进行动态短信发送,究其原因是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止恶意工具的自动化调用,即当用户进行“动态验证码短信发送”操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决被利用实施炸弹攻击的问题。
另外,安全的图片验证码必须满足以下条件:
①生成过程安全:图片验证码必须在服务器端进行产生与校验;
②使用过程安全:单次有效,且以用户的验证请求为准;
③验证码自身安全:不易被识别工具识别,能有效防止暴力破解。
5.薅羊毛产业链和风控策略
6.注册页面是设计成一页式,还是分页式比较好?有哪些用户信息是在注册过程中可以跳过的?注册环节应该在多少次操作之内完成比较好?
理论上一页式设计对于用户来说更方便更便捷,但是有些情况有些设计必须使用分页式,在这种时候最好给用户进度展示,告诉用户还有多少完成注册,减少等待感和焦虑感。
有些产品的用户id、登录密码、头像等信息可以在注册过程中跳过,3次最好不要超过5次
7.什么情况下应该有锁死用户登录的状态?锁死之后多长时间解除?
金融类比较要求安全程度的app,各家银行的app之类。为了保证用户账户安全,一定试错机会用完之后应该进行锁死,次日解锁。
8.忘记密码的安全性怎么设置,怎么防止短信炸弹的攻击
a. 限制每个手机号的每日发送次数,超过次数则拒发送,提示超过当日次数。
b.每个ip限制最大限制次数。超过次数则拒发送,提示超过ip当日发送最大次数。
c. 限制每个手机号发送的时间间隔,比如两分钟,没超过2分钟,不允许发送,提示操作频繁。
d.发送短信增加图片验证码,服务端和输入验证码对比,不一致则拒绝发送。
9.为什么很少见到第三方登录之后有解绑的功能,第三方登录的价值和意义到底是什么
对于用户而言,第三方登录的价值和意义主要包括:
1.方便用户使用第三方账号快捷登录,简化注册过程;
2.不必费尽心思地记住账户密码,可以实现一键登录。
对于平台而言,第三方登录的价值和意义主要包括:
1.简化注册登录环节,避免因为注册流程繁琐带来的用户流失;
2.简化用户设置过程,可直接获取用户第三方账号的个人信息;
3.可以获得用户在第三方平台的好友社交关系,丰富用户来源;
4.可以通过用户在第三方平台分享推广,提升影响力和知名度。
不提供解绑功能则是因为用户这类经常使用的第三方账号上的个人信息已经相当完善, 在社交或者支付方面已经可以作为识别该用户的ID,具有明显的唯一性和准确性。
10.第三方登录的时候,是否必须要求用户绑定?为什么很多App在第三方登录后必须重新注册一个ID
第三方登录中有个永恒的问题矛盾,到底是用户方便快捷的体验在第一位,还是为了产品要求绑定自建账号更重要,大多app选择了后者,因为三方永远是一个不稳定的状况,永远不知道下一刻会不会有什么问题,所以大多产品选择了绑定之后要求用户重新注册,第一次虽然会麻烦点,但是后续免除了后顾之忧,下一次登录体验也会恢复正常。调研过程中发现携程采用了非强制的形式,建议用户进行注册,但是用户如果选择不注册,三方登录之后也是可以使用的。
11.语音验证码和短信验证码的区别是什么,验证码为什么都会选择是4位或6位,重复发送验证码的话,是否应该发送同一个验证码?
验证码接受方式不同:短信验证码以短信方式发送到用户手机上,而语音验证码是以电话的形式语音接听的 。
传播形式不同:一般情况短信验证码是大众所常用的一种验证方式,但短信当信号不好的时候,当所在地域为屏蔽地区的时候,短信验证码收不到时,电话语音验证可以保证整个流程顺利进行下去。
安全性方面不同:短信验证的方式会受手机木马、信息泄露等的影响,使得验证失败,财产丢失。手机验证码短信要求核实方必须是个真实的用户,而语音验证码的出现防止刷单且更加安全。
应用方式不同:语音验证码是以用户接听电话的形式,容易被客户不小心挂断。短信验证码方便快捷,更容易被人们接受。
目前大多数的短信验证码都是采用的6位验证码,其主要原因在于:6位短信验证码更为安全。相较于更长的,用户会不方便记忆
12.在什么样的时间点里去做登录操作比较好,登录完之后应该跳转到什么原来的页面,还是直接跳转到用户中心。
web:跳转至之前页面 app:用户中心
13.常见用作登录ID的字段,除了手机号,邮箱,用户名,ID,身份证号还有别的吗?这几种分别适合于什么场景。
14. 用户密码的强度是越高越好吗?不同的应用场景下应该选择什么样的密码强度。
密码强度要分app情况,金融类应该强度越高越好,但是强度越高也意味着记忆成本越大,应慎重选择
15. 什么是用户体验五要素?![]()

明天计划的事情:
任务六
遇到的问题:
收获:
1.网站后台管理系统
管理系统后台的部分功能举例:新闻发布、图片及其他文件上传、新闻定时发布和定自动更新、内容采集、图片及影音文件加水印、新闻审核、新会员审核、邮件群发、域名绑定和解析……以及对上述所有信息的修改删除等操作。
根据不同的需求,网站后台管理系统有几种不同的分类方法。比如,根据应用层面的不同,可以被划分为:
1、重视后台管理的网站后台管理系统;
2、重视风格设计的网站后台管理系统;
3、重视前台发布的网站后台管理系统;
产品结构
“穷尽不重复”是Mutually Exclusive Collectively Exhaustive,简称MECE分析法。它是麦肯锡的第一个女咨询顾问巴巴拉·明托在金字塔原理(The Minto Pyramid Principle)中提出的一个很重要的原则。MECE(相互独立、完全穷尽)是麦肯锡思维过程的一条基本准则。 “相互独立”意味着问题的细分是在同一维度上并有明确区分、不可重迭的,“完全穷尽” 则意味着全面、周密。
评论