欢迎投稿到早读课，投稿邮箱：[email protected]

　　已经许久没有更新文章了，一方面最近事情比较多且杂，另一方面自己也没好好地整理自己的思绪，有些东西一直没有成型，所以也不好下笔成文，所以一直憋到了现在。

　　今天聊聊我们无可避免，但是又存在感不高的登录与注册场景。

　　为什么要有登录注册？

　　从用户使用场景上讲，登录/注册绝大部分是系统提醒而非自主选择的操作--他们往往在购买、收藏、分享、社交等阶段收到系统的提醒而注册/登录，而遵循一般产品原则，我们一般也只在必须登录/注册的场景，增加登录态的触发点，而其它场景，非必须勿打断用户的产品使用。

　　从系统层面上讲，登录/注册是我们标识用户，并将其与相关的数据汇总、对应的唯一办法，任何一个产品要做大，绝对不能不做登录/注册。

　　在安全角度，登录注册要关注什么？

　　登录注册，与其它场景有个区别性，atv直播，就是属于「未登录」状态下的场景功能，「未登录」场景有个特殊性，那就是它对任何人是无门槛可触达的，当然也包括黑产和恶意用户。如果一个资源类产品（包含电商、金融、个人隐私等属性）没有做好安全风控方面的考虑，那对用户将是一场灾难。

　　1、账号密码保护

　　密码，永远是个让人厌烦的东东，现在互联网产品那么多，让用户记住那么多密码，的确有难度，但是针对账号密码登录/注册场景，密码是一定要输的，而且必须保障一定的强度，推荐：数字+密码，11位以上，区分大小写，最好必须有大写字母。同时需要杜绝弱密码，比如12345abc之类的。各位可视自身产品的情况自行决定密码强度。

　　然而针对密码，没有人保证一定能记得住。所以需要有找回密码这个场景。一般找回密码，是往自己的第三方注册依赖ID--手机号、电子邮箱等发送验证码，验证身份。但是这个为产品的安全性留了坑：

　　1）允许任何人向任何手机号、电子邮箱发送短信验证码；

　　这样就可能让一些图谋不轨的人通过机器甚至人工发送验证码给一堆不相干的人，这就会让用户被骚扰而不厌其烦，产生投诉甚至永远离开你的产品。

　　这种情况，需要做找回密码场景做风控行为限制，甚至出图片验证码/滑动验证吗，阻挡恶意用户骚扰行为。

　　2）验证码的安全性、到达率存疑；

　　短信验证码的发送，是依赖了运营商的渠道，从它点击发送的那一刻起，我们就无法控制它的到达率，与使用率。最好最贵的短信通道，也无法保证短信到达率达到100%，而且短信到达用户手机后，atv，用户的感知，以及提醒用户对短信验证码的隐私保护（试想想任何人都可以拿这个短信验证码登录你的账号），其实也是产品需要解决的痛点，至于如何解决，大家可以参照淘宝的短信验证码文案：

　　2、保证账号的唯一性

　　现在登录/注册 有很多的方式，邮箱、手机号注册、手机短信快捷登录、二维码扫码登录、各种第三方联登等等。让用户轻松按照自己的情况选择登录/注册方式。

　　然而多种账号注册/登录方式的存在，也照成了一个难题：如何保证多种登录场景下用户ID的唯一性问题。

　　比如一个用户今天可以通过手机号注册账号A，过段时间忘记了已经注册过，又用邮箱、或者微信等方式注册账号B，那账户A与B就很难做关联，系统很难辨识为同一个用户，就会导致用户运营与数据分析方面的一些难题。

　　这种情况，解决方式是尽量只采用一种第三方ID做用户标识，比如现在主流的第三方ID注册方式是手机号注册，那我们就可以考虑取消邮箱的注册方式，或者一些应用直接只用安全性与稳定性最好的微信联登（考虑到微信在中国强大的覆盖率），让用户最低成本更快捷地注册，比提供五花八门的注册方式，更能提高注册转化率。

　　而针对第三方联登方式，存在的缺陷问题（无密码、无绑定手机号、商业合作风险），建议首次联登流程，都应该让用户做一次选择：登录绑定已有的账号，或者注册一个新账号，并完善手机号等个人必要信息。

　　对了，手机号有流动性这个特点，所以它作为用户账号的唯一标识ID，是有风险的，具体怎么规避风险，不是本文要讨论的话题，有兴趣可以私下沟通。

　　3、马甲防刷、账户防盗号能力