互联网企业需要有意识地进行风险控制管理是圈内的共同认知,特别是黑客和欺诈者钻空子挖取非法利益越发猖狂的今天,风险考虑不周甚至会影响企业的生死存亡。但若企业决策者对风险判断过于谨慎,在产品体验上设置重重关卡以避免发生险情,那在用户体验为王的时代里,想要争取市场份额,难!
就以用户身份校验这一环节来说,风险与体验的冲突尤为明显。企业需要对用户真实性、准确性进行辨认,防止不良用户不断试探盗取真实用户的利益,同时,不怀好意的欺诈者也会对企业本身造成无法预计的伤害。而对用户来说,他们只想快速通过身份校验,耗费时间再久一些,步骤再复杂一些,都会随时让他们选择放弃。既要防范不良用户带来的风险,又要兼顾产品的体验性,企业如何能把握好这两者之间的平衡,尤为重要。
目前,业内大部分互联网产品在身份校验环节,都在使用渐进策略以保持安全与便捷的平衡性。首先,用户可通过填写账户密码进行身份校验,当输入多次不正确密码的情形发生时,再进行短信验证码验证,甚至还要再处理千奇百怪的验证码来证明自己的真实性,虐哭过无数人的12306图片验证码就是其中一种方式。
可是以上方式就既便捷又安全吗?那可不一定。
账号密码被泄露的风险一直不低,黑客使用撞库、盗用、欺诈等方式进行数据窃取和数据贩卖,让用户个人信息泄露及利益受损的情况时有发生。在体验层面,用户在不同服务平台设置的密码不尽相同,需要记住那么多不同的密码也是非常麻烦的一件事。短信验证码勿需用户记忆密码,看起来确实比输入账号密码登录更快捷,但是短信验证码迟迟收不到,多次切换界面、记忆并输入短信验证码的流程事实上也极其繁琐。再者,由于业务系统与用户手机短信之间属于单向信息传递,极易发生短信通道被劫持、山寨钓鱼网站和手机中木马病毒的问题,进而引发验证码劫持、中间人攻击、非授权访问等安全威胁。
似乎每一种方式都会有其风险弊端,那怎么做才是身份校验的正确打开方式呢?最近笔者接触到了一个安全又便捷的解决方案:由中国移动推出的本机号码校验能力,它能利用应用层无法截取的网络层号码认证能力验证号码的真实性,省去短信验证码等中间环节,校验更便捷。
APP接入移动认证本机号码校验能力后,当用户在进行登录、支付、密码修改等身份校验环节时,APP可以通过本机号码校验验证用户当前输入的手机号码是否与本机号码一致,再由应用商自行判断下一步操作。由此一来便提升了用户账号安全性,让黑客盗无可盗,用户操作简单无延时。
用户体验与安全风控之间并非一定相互排斥,借助优质平台,学习领先技术,处理妥当,还能产生正向效果,得到更多用户的信任,如移动认证,给你一个优质的平衡方案。
领取专属 10元无门槛券
私享最新 技术干货