想法由来
今天某手机软件忘记了密码,开始重置密码过程,输手机号,收发验证码,过程很顺利。但同时也想到了现在比较普遍的丢手机的风险,现在一些涉及到钱财和支付的软件对这点的防范比较普遍的做法是登录密码和支付密码分开,重置登录密码简单,重置支付密码很复杂。
想法内容
可以增加一个第三方联系人(或者叫紧急联络人,或者叫监督人,名称好说)手机号的设置,一旦账号出现异常(例如重置密码等)行为,则给该手机发短信警告,并开通一个窗口期,在该窗口期之内可以使用该手机发送短信或者通过网页链接锁定账号,这样一旦使用者手机丢了,也可以知道自己的那些账户存在危险,可以通过锁定的方式拖延一定的时间甚至防止财产的进一步损失。
讨论
突发奇想,不知道是不是存在哪些硬伤或者不合理的地方。
补充
不知道是因为我没说清楚还是大家理解有偏差,或者是我理解大家的话有偏差。
我想表达的这个功能是这样的:
场景:手机丢了,不法分子想通过手机重置密码的方式,来进入软件。此时,软件后台获得该请求,给手机(一般手机上的软件绑定的手机都是软件所在的手机)发短信,同时也给第三方联系人的手机发一条短信,类似于 “您账号为 XXX 的账户正通过 XXXX 手机重置密码,如非软件账户所有人操作,回复 XXXX 可以锁定账户 24 小时”。
作用:因为一般手机丢了,不卡需要时间,这段时间不知道那些软件出现过危险,这种方式第一个好处可以判断那些软件出现过危险,第二个好处可以赢得缓冲时间,来重新办卡并废除丢掉的卡。
先不说方案吧。这个的确是个长期的痛点
#1 楼 @lihuazhangqq 我倒是不觉得,这东西就像是个应急预案,启用的情况不会太多。从成本收益来讲,回报是很高的。
魅族有个应用锁,想要打开软件需要输入一个独立的密码
锁屏密码也是针对丢手机的情况吧
#1 楼 @lihuazhangqq 。。。。who r u
大多数重置密码都是依据手机动态密码。安全性都依赖于手机号和手机的安全性。
对于 app,最方便的就是手机动态密码,web 的可能还有 email 验证码。
很难绝对安全,只能在安全性、用户体验上 折中了。
一致觉得苹果做的不错,只要 apple id 不被破解,你说的这些应该都不是问题,手机掉了可以马上通过网页或者其他的 iphone 锁定手机、抹除数据、定位手机
教育成本太高,步骤冗长,实现成本过高。
可以增加人脸识别,指纹识别等其他方式。
如何判断异常是痛点,另外现在账户一般都有锁定的申诉了,银行都有
你的想法不是已经实现了? QQ 安全验证就可以,还有某宝可以使用常用收件人手机号验证......
对事物不太敏感。
确实是一个痛点,想象一下一旦你的手机丢失,你能不能想起你的银行卡挂失电话,你的支付宝挂失方式,你的各种邮箱密码重置。。。不法分子可能比你下手的速度快得多。
说一下我的解决方案,成本低,操作性强。买一台 feature phone,专门接收验证码。你使用的 smart phone 的手机号不绑定任何与你财产相关的账号寻回,全部用那台 feature phone 的号码绑定.哈哈哈
这感觉需要对紧急联系人授权后才能启用,否则紧急联系人不被烦死了
想法不错 也是 1 种方法,账号出现异常这个还是需要支付接口方来判断 什么是账号异常。
最好是可以调 1 个接口,把所有短信和指定文件夹的都删除了。