发表于: 2019-06-10 21:45:19
3 626
今天完成的事情:
1. 整理登录注册忘记密码内容
2.听老大直播
3.做任务五深度思考
提取码:6k0i
明天计划的事情:
1.完成任务五深度思考
2.提交任务八
3.开始任务六深度思考
遇到的问题:
暂无
收获:
一、用户账号的安全等级有哪几种,分别适合于什么场景
密码长度:
5分:小于等于4个字符
10分:5到7个字符
25分:大于等于8个字符
字母:
0分:没有字母
10分:全是大写(小写)字母
20分:大小混合字母
数字:
0分:没有数字
10分:小于等于1个数字
20分:大于等于1个数字
符号:
0分:没有符号
10分:1个符号
25分:大于1符号
奖励:
2分:字母+数字
3分:字母、数字、符号
5分:大小写字母、数字、和符号
最后的评分标准:
≥90非常安全
≥80安全
≥70非常强
≥60强
≥50一般
≥25弱
每一个账户都应得到最高保护,用户在输入密码可自主选择密码强度,系统要给予提示密码安全强弱。
二、短信通道是什么,你知道哪几家短信公司?什么是到达率,群发短信和点对点短信有区别吗?
短信通道是由中国移动、联通、电信等运营商直接提供的短信发送接口,实现与客户指定号码进行短信批量发送和自定义发送的目的。所以国内短信通道市场主干是由中国移动、中国联通、中国电信所组成的。群发是一对多,点对点是一对一
到达率=到达数量/发送数量
三、找回密码时如何判断用户密码为丢失还是被恶意破解,系统中需要做哪些防范
暴力破解攻击是指攻击者通过系统地组合所有可能性(例如登录时用到的账户名、密码),尝试所有的可能性破解用户的账户名、密码等敏感信息。攻击者会经常使用自动化脚本组合出正确的用户名和密码。
怎样检测暴力破解攻击?
大量的暴力破解请求会导致服务器日志中出现大量异常记录,从中你会发现一些奇怪的进站前链接(referring urls),比如:http://user:password@website.com/login.html。
有时,攻击者会用不同的用户名和密码频繁的进行登录尝试,这就给主机入侵检测系统或者记录关联系统一个检测到他们入侵的好机会。当然这里头会有一些误报,需要我们排除掉。例如,同一个IP地址用同一个密码重复登录同一个账户,这种情况可能只是一个还未更新密码或者未获得正确认证的Web/移动应用程序而已,应排除掉这种干扰因素。
防范:
1、 用户提交手机验证码的请求不需要带上手机号和用户名等信息,可以直接通过cookie从数据库查询,避免被恶意篡改。
2、 为手机验证码提供放暴力破解机制,即如果尝试3次提交手机验证码错误,则立马让该手机验证码失效,此外,正常情况下,手机验证码最初有效期为半个小时。
3、 当用户密码被修改时或者用户异地登录时应给予登录或手机提醒。
4、 不提示是 用户名错误还是密码错误,始终提示“无效的用户名或密码”。
四、什么是短信炸弹,原理是什么,如何防范?
短信炸弹:即通过特制的软件不断往一手机号码发重复的垃圾短信,以达到骚扰和恶搞的效果。它的原理其实很简单,现如今网络上,需要用到手机验证的地方越来越多了,比如购物、注册、确认信息什么的,都需要往手机下发验证码,所以短信炸弹就是利用这些验证码来做文章,使用特制的软件不停地请求验证码
防范:各种验证、滑块、拼图等
五、薅羊毛产业链和风控策略
总结的几点风控事项
a、身份信息和银行卡信息一致
b、同卡同进出(涉及充值、赎回)
c、优惠活动和产品功能挂钩
d、参与无门槛,结束提现等操作时有门槛
e、建立电话号码黑名单
f、建立拦截规则
主要就是外部拦截和内部规则门槛,作为两个大的风控策略
注册和登录的字符所需字段一致,登录页面,注册页面。还考虑登录成功页,登录失败页,注册成功页,注册失败页。
如用户没有登录或注册使用产品,在涉及用户身份验证的页面:支付,加入购物车,回复等,判断当前用户身份,非认证用户即转入登录或注册流程
第三方登录降低登录注册难度,减少登录注册步骤,提高效率,减少流失率,提高转换率。
重置密码/找回密码
用户访问热点和行为监控,采用用户在页面上的不同行为,获取用户使用浏览习惯,作为优化产品的重要数据支撑。
表单区域设计:
- 视觉聚焦,引导用户填写信息
- 标签,输入应填何种信息
- 输入提示,提示输入区域如何填写
- 输入域,包括文本输入框、密码输入框、多选框、下拉列表、单选框和滑块等
- 操作区,包括链接、按钮、切换验证码、展开提示或协议
- 验证,所输入信息可用性和给用户的判断和建议反馈
- 流程指示,让用户知道交互预期
提交返回有误项:
- 点击提交之后焦点自动返回有误的项;
- 不直接清除该项;
- 直接返回有误字符右侧;
- 直到全部选项填写正确后才允许提交。
进程中较慢的情况:
一、用户能够得到机器仍在运作的反馈信息
1.机器是否在运作,给用户明确的答案。
2.让用户知道自己所填的信息,确认自己已填。
二、锁定用户不可操作和可操作的部分
1.锁定注册信息内所有操作,以免用户再次操作,搅浑究竟注册的是哪套信息
2.上传较久而没有进展的时候能够返回
注册表单基本内容:
1. 手机号(邮箱)或其他联系方式
2. 密码
3.确认密码
4. 验证码
6. 使用协议(可选)
7. 昵称
8. 已注册的登录入口
9. 忘记密码
选填内容:
1. 第三方登录
2. 语音验证码
安全内容:
- 姓名
- 证件号码
- 银行卡绑定
密码部分
密码基本安全内容:
密码输入后是否为暗码'*****"
密码规定长度输入规范和安全建议
验证密码强度
密码是否可粘贴
网银输入密码时自动挂起大写并提示
密码较高标准的安全措施
注册操作的安全交互 | 适用范围 | 安全程度 | |
①安装安全插件 | 与金钱账户有关 | ***** | |
②邮箱验证 | 所有 | *** | |
③手机验证 | 重要帐户 | ***** | |
④浏览器自带截图功能屏蔽 | 与金钱账户有关 | *** | |
⑤换页再输确认密码 | 希望用户持久使用(如垂直社区) | 加深用户记忆 | |
⑥密码保护问题 | 重要帐户/深度用户 | 帮助找回密码 | |
输入密码的交互:
截图时输出的是被屏蔽的黑图
验证码:
验证码的种类:
- 短信/数字/图形验证码(普通)
- 字母/音频验证码(主要盲人使用)
- 简单算法验证码(较高安全标准)
- 认知图片验证码(较高安全标准)
输入验证码的情况:
- 注册时,防止恶意注册
- 第一次登录输入错误时,防暴力破解
- 验证码登录时
- 网络风险高峰期,如密码泄露,黑客出没高峰,内部系统问题等
注册协议:
- 新窗口/标签页打开链接
- 浮窗模式,默认收起
- 文本区直接显示,不收起
登录入口:
链接到登录页面(大多数)
直接登录框(直接但占用宝贵空间)
登录页面基本内容:
- 账户
- 密码
- 登录按钮
- 忘记密码
- 立即注册
选填内容:
第三方登录
登录风格设计;
、简约版登录框
- 用户操作区域明确,无用功能少;
- 视觉绝佳体验,优雅大方,简洁流畅
- 凸显公司/产品形象
对于登录框中注册通道的突出程度:
1.大多数登录框的主要任务是确保用户登录的注意集中,将注册放在不抢夺眼球的地方,只是用户有需要时能够找到。在这里突出的是登录
2.社交网站对拓展用户群有极大需求,在登录框比较显眼的位置放置注册通道,鼓励用户加入。
如何在两者之中找到侧重点和相对平衡状态,需要将产品的定位和当前所处的环境考虑进去。而且需要随时根据时势和用户群的反应作出合适的调整,
服务器崩溃提示:
温馨语提示,缓解用户焦急心情
登录稍等的提示语,操作建议
三种操作选择:(操作反馈提示)
- 返回登录页面等待
- 再次提交
- 退出登陆
对于低频应用,如果可能,尽量明确告诉用户,该用什么账号登录。至少要像微信那样,默认仅给一种最推荐最常用的登录方式;如需其它登录方式,可以点击专门的“切换登录模式”按钮。
对于低频应用,有如下的账号设计建议:
- 默认使用服务本身所需的标识作为登录方式,并明示用户;
- 至少绑定两种身份信息,另外一种用于安全验证,密码找回和绑定解绑其它身份信息等;
- 其它的登录选项折叠到“切换登录模式”背后。
用户嫌贵的真实原因是什么?
是因为参照物选错了,因为用户是通过对比来判断产品的价格,而不是严谨的分析成本。
2、如何选择合适的参照物?
要因人而异。
第一类消费者:通过价格对比来判断产品是否贵了。
参照物的策略是:利用价格锚点。
第二类消费者:通过价值对比来判断产品是否贵了。
参照物的策略1:利用光环效应。
参照物的策略2:利用禀赋效应。
第三类消费者:通过预算对比来判断产品是否贵了。
参照物的策略:利用心理账户
另外,一个产品可以同时使用多种策略,因为消费者也有可能会做多方位的对比。
返回列表
评论