今天的任务：

深度思考

1. 用户账号的安全等级有哪几种，分别适合于什么场景？

提高用户安全等级的方式有：

①　设置登录密码

②　绑定邮箱

③　绑定手机

④　设置个人信息

⑤　设置二级密码

⑥　设置密保问题

⑦　实名认证

用户的安全等级会随着这些安全服务的开启而逐步提高

登录密码通常在账户登录时作为最经济有效的身份认证方式；

同时可以通过绑定的邮箱或绑定的手机以接收验证信息的方式作为更加安全的登录方式；

个人信息可以作为找回密码时申诉内容之一；

二级密码通常在用户需要交易时使用，以保证用户财产的安全；

密保问题是找回登录密码的方式之一，设置一个容易记住且最不容易被他人获取的问题及答案，能更有效保障密码安全；

实名认证是对用户资料真实性进行的一种验证审核，有助于建立完善可靠的互联网信用基础，用于提升账户的安全性和信任级别。

2. 短信通道是什么，你知道哪几家短信公司？什么是到达率，群发短信和点对点短信有区别吗？

短信通道是由中国移动、中国联通、中国电信等运营商直接提供的短信发送接口，实现与客户指定号码进行短信批量发送和自定义发送的目的。只知道中国移动、中国联通、中国电信三家公司。

到达率指传播活动所传达的信息接受人群占所有传播对象的百分比，短信的到达率只要不是手机号码的问题，可以达到百分之百。

短信群发分网关短信和卡发短信。网关短信是基于中国移动、联通、电信的短信网关，通过提供的短信接口，实现与客户指定号码进行短信批量发送；卡发短信是模拟手机发短信功能，购买很多手机卡，插入短信猫设备进行群发短信，也算是点对点短信。

点对点短信是指在手机之间发送和接收文本信息的业务形式。

3. 找回密码时如何判断用户密码为丢失还是被恶意破解，系统中需要做哪些防范 

用户密码被恶意破解时，攻击者经常会使用自动化脚本，系统地组合所有可能性（例如登录时用到的账户名、密码），尝试所有的可能性破解用户的账户名、密码等敏感信息，所以大量的暴力破解请求会导致服务器日志中出现大量异常记录，那这样就能判断是恶心破解了。

防范措施：监控流量和分析，对用户请求的数据做分析，排除来自用户的正常访问并根据优先级排列出最严重最紧急的威胁，然后做出响应。

4. 什么是短信炸弹，原理是什么，如何防范？

短信炸弹是通过特制的软件不断往一手机号码发重复的垃圾短信，以达到骚扰和恶搞的效果。原理：利用可以发送手机验证码的网站，使用软件不停地请求验证码，不停地给受害者发送验证短信。

可以采用增加图形验证码、限制单IP请求次数、限制用户短信请求间隔等方式来防范。

5. 薅羊毛产业链和风控策略 

薅羊毛产业链：

风控：

①　身份信息和银行卡信息一致

②　涉及充值、提现同卡同进出

③　优惠活动和产品功能挂钩

④　参与无门槛，结束提现等操作时有门槛

⑤　建立电话号码黑名单

⑥　建立拦截规则

6. 注册页面是设计成一页式，还是分页式比较好？有哪些用户信息是在注册过程中可以跳过的？注册环节应该在多少次操作之内完成比较好？

我觉得一个页面，最好让用户只做一件事，不要让用户思考过多，这样用户体验会比较好；

在设置头像、昵称等个人信息时可以跳过，用户注册只保留用户名（手机、邮箱）、密码、绑定手机或邮箱即可；

验证手机或邮箱，设置密码两步就能完成

7. 什么情况下应该有锁死用户登录的状态？锁死之后多长时间解除？ 

该账户在服务器日志中存在大量异常记录时应该锁死，锁死之后向用户绑定邮箱或手机发送警示信息，锁死可以从1小时、3小时、8小时、24小时、72小时依次递增

8. 忘记密码的安全性怎么设置，怎么防止短信炸弹的攻击 

发送验证码之前先进行图形验证码验证是否为人工操作，同时限制单ip的请求次数，限制用户短信请求间隔等方式来防范

9. 为什么很少见到第三方登录之后有解绑的功能，第三方登录的价值和意义到底是什么

价值和意义：

1、方便用户快捷登录，降低用户的登录流失率

2、方便应用获取用户信息，减少产品设计成本

3、可共享登录应用的用户关系，提升产品的用户转化率

4、减少短信验证码发送次数，降低产品登录成本