艾瑞网

运营商

小米科技首席安全官陈洋:互联网账号痛点及小米探索

来源:艾瑞网    作者:yangkun      2017/9/6 11:26:42

导语:我们必须帮助用户解决账号问题,对于小米场景,上面有云服务数据、用户通讯录、相册等等敏感信息,我们一定要保证安全的前提下提升用户体验。

【艾瑞网 直播】2017年9月6日,中国电信2017天翼账号合作开放大会在北京通盈中心洲际酒店召开。

本次大会主题是“共筑生态 通行未来”,并对天翼账号能力认证作最新的解读,分享天翼账号创新经营合作案例、账号能力生态圈的创新经营之道等众多干货。

以下是小米科技首席安全官陈洋发表题为“互联网账号痛点及小米探索”的演讲实录。

陈洋.jpg小米科技首席安全官陈洋

陈洋:我去年开始负责小米账号,那么怎么样安全,怎么样体验好,怎么样降低用户的门槛?正在我苦恼于这两个问题的时候,在今年年初的时候,我发现航旅纵横有天翼账号的登录,我试了一下,简直太神奇了,简直就是我要用的,于是我马上联系看看怎么使用这套方案。

账号的痛点,安全和体验。账号是什么?就是识别谁是谁?谁是谁本质上是安全问题。但是现在的账号都很复杂,前面都是输入账号、密码,还经常忘记,真的很麻烦。以前我只做安全的时候,我不从这方面考虑,密码要多复杂,要近期修改,但是这些在互联网账号上根本行不通。

对于密码来讲,什么叫安全的密码,不同的网站每个都是不同的,还需要密码足够复杂,还需要尝试多少次锁定、定期修改。对于互联网来讲,这简直就是灾难,用户根本记不住。如果按照这样的策略做下去,就会变成用户记不住密码,输不对密码,搞不清楚,服务根本用不了。

怎么样去解决这些痛点?

从2011年开始,互联网上不断地曝出信息泄露的问题,从最开始的一些厂商到后来越来越多信息都在网上泄露,最后变成了坏人掌握了大量的数据,知道了很多用户的习惯,知道了很多用户的密码。如果我们要求用户密码很复杂,不停地修改,带来的问题是麻烦了用户,其实安全可能并没有多大的提升,坏人可以利用他掌握的数据算出每个人密码的使用习惯,大部分用户习惯于不同网站用相同密码。即使我们让他设不同,他也会让后面加上什么12345,我们让修改,就加56789这样不停地改,其实并没有什么用,只是额外增加了用户的成本,降低了他们的体验。

之前主办方吕总已经演示过了登录方面,在这里我做一个注册的演示。这个一个典型的互联网产品注册的过程,在这个过程中花了40秒,录的是产品经理的操作。我们产品经理对这一套是极为熟悉的,也花了40多秒太完成注册过程。

我们在筹备MIUI9的时候做了大量用户调查,我们发现用户对快捷的要求是最大的,用户用手机希望尽可能的快,所以我们把MIUI9定位为快如闪电。对比一下MIUI9的注册体验,7秒钟是不紧不慢,用户把每一个字都看得清清楚楚的情况下,只需要3次点击就完成注册,对账号的注册和登录流失率有很大帮助,有缩短了用户时间,大大提升了用户的体验。但是在创造这么好体验的同时,又带来了一点困惑。令人困惑的二次放号的手机号码,这个号码如果用户丢掉不用,经过几个月静默期可能重新回收回来重新售卖给用户,如果我们只是使用这么快捷的登录,用户买一张手机卡登录进去,有可能是前面一位的账号。这个问题我一直有这个概念,但是到底有多少用户受到这样的困惑,我上周做了一个调查,我去移动网上营业厅选号,扒了几千个账号,和以往的小米账号做匹配,发现等待售卖的号码中居然有7%号码之前已经注册了小米的账号,这个数据很惊人,但是这些账号的主人应该已经不用这些账号。然后我又进一步看了一下,其中7%已经有小米账号,有0.6%的账号当前还是活跃的,也就是很多人的手机号都已经被回收了,但是因为他知道账号密码,他还在用这个账号。

这是我在网上找到的一个数据,6月份三大运营商4G用户新增2000万,是不是意味着有2000万张号新放出来,乘以7%,新买到卡的人可能注册不了,因为这个账号已经被注册了,或者他找回密码的经过很复杂,有可能把旧的账号密码找回了,受到此困惑的用户应该是乘以2的,老用户受到困惑,新用户也会受到困惑,我们必须帮助用户解决这个问题,不能因为我们上了这么快捷的功能后导致老用户信息泄露,对于小米场景,上面有云服务数据、用户通讯录、相册等等敏感信息,我们一定要保证安全的前提下提升用户体验。

我们和中国电信沟通,发现他向我们推荐了二次号的查询服务,利用这个服务,我们可以很容易比较入网时间和注册时间的先后,比如他先注册账号,入网时间在后,代表这个账号已经换主,我们给他一个新账号。如果是相反的,先入网后注册,我们可以让他直接登录到账号,实现了安全和体验双重的高标准。

接下来还希望做到更多的合作,如果只是在登录和注册,等用户来的时候再做判定,可能会对老用户的绑定关系就消失了,老用户登录账号会遇到问题,或者当希望做短信验证的时候,老用户因为手机号码不可用,肯定是验证不通过的,希望做更多的合作。比如手机消户,我们用户的这些手机号如果消户会主动通知我们,我们会主动通知用户做换板。

还有一些可以发挥终端厂商的优势,每一个手机上都有加密芯片,可以进一步提高安全性,在通信协议这一层使用芯片中内置的密钥对通讯进行保障,防止别人的一些伪造APP做一些坏的事情,保证通讯层的安全。

谢谢大家!

(本文为艾瑞网独家原创稿件 转载请注明出处)
  • 合作伙伴

  • 官方微信
    官方微信

    新浪微博
    邮件订阅
    第一时间获取最新行业数据、研究成果、产业报告、活动峰会等信息。
     关于艾瑞| 业务体系| 加入艾瑞| 服务声明| 信息反馈| 联系我们| 广告赞助| 友情链接

Copyright© 沪公网安备 31010402000581号沪ICP备15057083号-1