入口理论,是我在很多文章中提到的一个理念。作为互联网公司,一定要找到与用户重度连接的产品和服务,并将其做到极致,这样的产品,就是入口级产品,譬如百度的搜索、腾讯的QQ,都是入口级产品。
这个理论还可以进一步拓展到产品本身。无论是产品还是服务,最关键在于入口,也就是用户接触的第一个界面。
在PC产品上,就是看似最简单最基础的登录和注册流程,影响到用户的第一体验;手机上的APP注册登录环节同样重要,而对于手机本身而言,解锁屏幕几乎每天必备的入口操作。
正所谓“病从口入”,吃了不干净的东西,人们会得病;糟糕的产品入口设计,不仅严重影响用户体验,还可能带来巨大的安全隐患。为了提升入口的登录体验,过去20年里,网络企业以及运营商们纷纷推出了各种黑科技。
可以说互联网产品的进化,也伴随着登录黑科技的进化。
【互联网产品登录黑科技进化史】
最近几年,手机发烧友会发现,智能手机屏幕解锁的黑科技正在不断迭代和进化。互联网产品和服务在过去20年间,大约经历了PC互联网时代、移动互联时代、还有人工智能时代,每个阶段不同的登录黑科技,也被打上了深深的时代烙印。
一、PC时代:静态密码
在银行卡密码、QQ密码都是静态密码,他们必须和账号一起使用,不同的账号与静态密码一一对应,一个错误就无法打开。
静态密码易用性和安全性是一对矛盾体往往不能兼顾,容易记忆的密码很容易被破解;而太过复杂的密码安全性虽然高,却不容易记忆和维护。
互联网最初野蛮生长的时光,也是黑客木马最为横行的年代。一旦电脑上被植入了木马,所有网站的密码都如同裸奔,用户输入的密码在黑客眼中都是明文。那一时期,也是网游盗号和电商钓鱼网站最为猖獗的年代。
二、移动时代:动态密码+双端验证
手机,尤其是高性能的智能手机普及,为移动时代的登录安全带来了新思路。
第一是动态的短信验证码。网站或者APP按照规则生成短信验证码,验证码通过运营商下发到用户的手机,网站根据用户填写的验证码对比是否一致。
第二是把手机变成一个类似密保的硬件产品。手机令牌软件可以生成动态口令,不占用网络,不会产生任何费用,却可以实现网游密保和银行USB-key级的数据安全。
第三是二维码。现在微信、QQ和淘宝开始流行用二维码扫码登录方式,二维码是个动态密码,PC端和手机端获得的信息完全相同时,才能验证登录。双端动态密码验证,除非手机和电脑同时被入侵,否则根本不可能破解,所以,安全等级也很高。
三、智能时代:生物识别技术流行
指纹、人脸识别、指静脉识别、虹膜识别、掌形识别等利用人体生物特征的技术,一般被列入生物识别技术。这些技术很早就有了相关概念,却一直没能普及的关键,其实并不在于特征难以采集,而是人工智能算法并不成熟。
传统的数字按键和图形解锁,已经遭遇全面淘汰;Home键指纹识别,正在被全面屏手机上的屏下指纹锁取代;人脸识别、3D结构光黑科技的出现,不但可以刷脸解锁,而且安全解锁的效率也随着提高。
生物识别技术的流行,背后不仅有手机硬件性能提升的因素,更重要的是图形识别算法日渐成熟,才让识别率和识别速度达到了商用的标准。生物识别技术的流行,是人工智能技术的成果。
【登录科技无法摆脱的魔咒】
在登录黑科技的进化过程中,一个魔咒似乎永远无法摆脱,产品易用性与安全性往往是不可兼得。
短密码容易记,却很容易被破解;包括大小写字母和数字的长密码,安全度很高,但不方便记忆。同样,静态密码简单容易部署,在使用中却极不安全;硬件的密保产品,VPN、游戏密保的安全程度高,但每次使用都要拿出一个硬件,也确实不方便。
有人图省事儿,所有的网站和账号都使用同一个密码,一旦遭遇某个网站被黑客破解“脱裤”,通过简单的撞库就能破解很多网站的密码,使用高强度的长密码也无济于事。自媒体三表龙门阵丢失的企鹅号,就是遭遇了黑客撞库而被破解。
此外,登录黑科技的进化,本身也是一种博弈。比如验证码曾经一度可以防止暴力破解,但当人工智能的图片识别技术逐渐成熟,机器也可以像人一样读懂验证码图片,很容易突破验证码的防线。
登录技术也会受到技术本身的限制。比如生物技术的保密性强,比如指纹的安全性很高,但使用场景往往受限,戴手套、手指湿等场景,往往很难解锁;人脸识别曾让很多人叫好,但当孩子使用父母照片解锁手机玩游戏时,人们才意识到3D人脸识别技术的迫切性。
如何在提升用户体验和安全体验双赢,就是摆在所有网站面前,不得不解决的问题了。
【黑科技集合:天翼账号的免密登录】
在登录黑科技进化的历史中,伴随着三条进化脉络:第一个算法越来越趋于成熟,无论是加密算法,还是人工智能算法,算法迭代的速度超过人们的想象;第二个硬件加密,尤其是类似手机电脑双端验证,为账户安全筑起了高墙;第三个是多种方案并行,带来安全系数叠加。
而且我们发现,其中运营商起着重要的作用,比如验证码方式的流行,关键在于SIM卡这种硬件难以被破解和复制。所以,智能手机天生就是一个安全密保。而最近几年,运营商提出的登录解决方案尤其值得我们加以关注。
2017年,各大运营商推出的统一账号、免密登录,中国网民可以实现一键登录且免密操作,获得越来越多用户青睐,其中,中国电信天翼账号的免密认证机制既简单又便捷,成为很多用户的首选登录方式。
不用输入密码,也不用验证,天翼把账号的登录流程简单到了极致,很多用户最初使用免密认证,因为太方便,甚至有点小小的不适应。其实原理简单,技术可靠。
在免密登录时,系统会自动提取SIM卡上的手机号,与预留给APP的手机号匹配,手机卡与手机号匹配,就自动登录到手机号对应的账号上。以京东为例,用户登录时长缩短80%,投诉率降低50%,而转化率提高了30%。
天翼免密登录的效率之高也来自算法和硬件两方面,天翼作为运营商的产品,对于电信的SIM加密算法了如指掌,这是免密登录提速的奥秘;同时,这种算法依赖对SIM卡硬件。因此这又决定了免密登录的安全性。
掌握算法、硬件加密,这是天翼账号破解安全和易用性死结的关键所在。而免密登录的另一大看点是开放的账号体系。
开放账号、开放平台,在互联网上并不是新鲜事儿,微信、QQ、开心网、新浪微博这些产品都推出了开放账号和开放平台,但结果并不理想。
互联网巨头之间的博弈,就像是神仙打架,遭殃的是普通用户。微信最近封杀头条产品,原来使用微信登录抖音的用户,不得不重新注册,有时甚至可能连之前账户的资料也无法访问。还有的平台,比如当年的人人网,现在已经淡出人们的视野,这样的账号授权着实有些让人担忧。
天翼账号是中国电信打造的账号体系,根本不必担心实力。他们不但拥有独家的免密认证能力,还有特有的电信能力,为合作伙伴输出账号合作。其中,合作对象包括知名的互联网公司,如淘宝、天猫、抖音、头条、小米、京东、招商银行等等。
【结束语】
账号登录看似简单,但如果真正做到免密登录,而且还能为整个行业赋能,那还真不是容易的事儿。
从手机验证码的流行就能看得出,智能手机天生就是一把完美的钥匙。而天翼在免密登录上的三板斧:独家智能识别能力、SIM卡的硬件密保属性以及电信作为运营商的实力,足以让合作企业“托付终身”。
登录科技在不断进步,人工智能、硬件加密、生物技术等新技术的出现和迭代,正在打破安全性与用户体验不能两全的魔咒。而在天翼账号登录的解决方案,让行业看到了新的希望。
王冠雄,著名观察家,中国十大自媒体(见各大权威榜单)。主持和参与4次IPO,传统企业“互联网+”转型教练。每日一篇深度文章,发布于微信、微博、搜索引擎,各大门户、科技博客等近30个主流平台,覆盖400万中国核心商业、科技人群。为金融时报、福布斯等世界级媒体撰稿人,观点被媒体广泛转载引用,影响力极大,详情可百度搜狗360。
