以前写过一篇 可不可以只有密码没有用户名? 。里面提过一个让用户使用 email 做用户名,不设置密码的方案。今天想细化一下。
不设置密码有时候比设置密码,给用户的安全方面的感觉更好。因为,有些服务用户并不在乎帐户数据的私密性,也不在乎被人冒充。(比如在我的 blog 的留言,并不需要注册)要求输入一个密码,对用户反而是件很纠结的事情。用自己常用密码吧,若被服务商恶意记录的话,自己别的位置的帐户变得不太安全。随便选个新密码吧,很可能忘记。输入个简单的统一密码吧,基本行同虚设,跟没有密码区别不大。反而提供了虚假的安全感。这种安全感比没有更差。
而服务提供商在乎的只是用帐户名去标识一个用户,制作用户注册的流程,即费时,又费力,还提高了新用户进入的门槛。
我个人认为这样会好一些。
-
用户使用仅仅需要输入一个他使用的 email 地址(鉴于中国国情,另兼容输入 QQ 号也可以)
-
当发现用户第一次使用这个服务,触发注册确认的流程。提示用户激活,从 email 中收取激活链接。在这步,如果用户是误输入帐号(比如他曾经注册过,就会发现自己输入错误),可以取消。这样不会对他人造成骚扰。ps. 这个步骤也可以酌情取消或可选(并不阻止用户进行下面的服务体验),毕竟让用户通过 email 确认也有一定门槛。
-
用户登陆后,可以选择给帐号加上密码,但不是必须。可以根据用户的使用情况,采集用户在帐户里使用的服务种类、数量和时间,向用户推荐加上密码保护。或者建议用户不要加密码。
-
在用户不采用密码保护期间,收集用户登陆的资料,例如 ip 地址和登陆时间。对异常登陆做一些猜测。并结合用户帐号的安全性需求,定期发 email 通知用户。或是定期向用户 email 发送帐号登陆记录(以不骚扰用户的频率),比如长期没有使用服务,某天登陆了,就发一封 email 通知用户。