构想:免密码登录网站

2010-06-30 13:44

注册一个网站总是有很多原因,而根源只有一个:建立可持续跟踪的联系。比如发布内容,加好友或者网上交易。除此之外,无论是阅读,还是作为过客留言,我们都更希望能不注册就不注册,一切求简。为了尽可能减少注册带给用户的麻烦,现在注册的门槛也“每况愈下”:只用填写电邮和密码。更有的网站甚至直接发送一份随机密码到电邮(因为你迟早是要去邮箱验证激活的)。

不过,我们能否再进一步,干脆在注册/登录的时候连密码都有计划地省去,以寻求更好的体验?

为什么不要密码

因为登录的时候用密码太麻烦了。

好像现在我们上网的第一件事就是输入用户名和密码。在用户名逐渐统一到电邮后,稍微方便了点。然而,还是很有些老顽固的网站,比如百度,不支持用电邮登录;这样直接导致我们的用户名不能重复,难听,且以后不能更改。

往往忘记的不是密码,而是用户名

往往忘记的不是密码,而是用户名

不论怎样,密码一直就不方便输入,比如:

1、不同等级的账户密码不一样,比如网上银行,社交网站和临时注册的小站点;

2、密码不是明文显示,容易敲错;

3、容易遗忘;

3、担心输入密码时被窃取。

实现方案

1、使用IP网址和电脑配置

上网的电脑都会有一条网址(IP地址),我们可以使用它来确定浏览者的唯一身份。针对那些使用静态IP固定上网的用户,可以在网站上注册一条IP地址,只要是在此IP上登录电邮,都不需要密码。

使用路由器等(或其他原因)公用IP,或动态IP的用户,则将电脑配置(硬件和操作系统)编码储存。但凡在此电脑上网,且IP地址在同一城市的用户,免密码登录。

2、通过浏览器缓存

就像现在的大多数网站一样,登录时可以勾选“记住我,两个月内自动登录”的方式。这个方法太普遍了,不展开。

3、使用密码

用户不方便使用这种方式时,比如临时去图书馆、网吧等公共场合,使用密码登录。

可行性分析

是否方便

方便是我们的目的。如果登个录还不断地输入验证码,或者总是往邮箱发验证邮件……与其被这么骚扰,还不如输入密码来得痛快。

登录流程

注册流程

登录流程

登录流程

是否安全

和其他网站一样,保护用户账户安全是网站的基本义务。目前可以把关的有:

安全等级

安全等级

适用场合

除了内容是公开发布的场合,比如社会化网络站点,其他的一般不适合:

1、涉及国家机密

2、公共账户

3、涉及个人财产或隐私

困惑解答

1、别人使用我的电脑,那么账户岂不是不安全?

首先不是别人,因为你不会允许“别人”使用你的私人电脑。一般是同学、同事、家人或朋友。他们的可信赖度比较高。

其次,假设他们临时使用下你的电脑,一般来说,你的聊天工具不会关闭,浏览器里的账户缓存没有清空,风险同样存在。

2、使用朋友的电脑,我怎么登录呢?

登出朋友的账户,接下来参考“登录流程—公共电脑”。

3、坏人知道我的电邮后,故意要毁坏我的名誉,或者偷看我的隐私。

除非“坏人”就在你的身边且能接触你的电脑。家贼难防是一回事,你交友不慎就是另外一回事了。

涉及个人隐私(比如私人日记、账本)的网站不建议采取这种办法。当然了,如果你在一个不知名的小论坛上用你银行账户的密码注册,你就不是明哲保身的问题了。

已有案例

脸谱(Facebook)

首次登录脸谱需要“注册电脑”

首次登录脸谱需要“注册电脑”

登录设置(免打扰)

登录设置(免打扰)

QQ

QQ安全中心:登录保护

QQ安全中心:登录保护

全球通用头像(Gravatar)

在支持的社区里(比如Wordpress),免去用户登录,直接通过识别电邮给评论者个性头像。它的注册很简单:

注册Gravatar

注册Gravatar

展望

随着技术和社区的不断发展,我们肯定亲睐更简便的登录方式。

1、统一的用户名和密码。比如现在就存在的openID。

2、人眼(人脸)识别。随机配备的高清摄像头可以轻易完成。

3、指纹登录。笔记本等有触屏的不二功能。

世界上没有最安全的东西。为了进入某个机密建筑,把手砍下来的事情也不是没有(虽然我仅在电影上看过)。

我们追求更先进的体验,何乐而不为?

参考资料

01 拿亚克 《注册还是登录》(英文) http://designingsocialinterfaces.com/patterns.wiki/index.php?title=Sign_Up_or_Registration

27 条评论 / 引用:

  1. 阿豹:

    这个想法很靠谱 现在我的网银的密码都够我折腾了。。。。

  2. 星屑的回忆:

    对安全性要求不高的网站,可以使用。

  3. 星屑的回忆:

    很不错的设计。加油。

  4. xiaoxiao:

    不论什么网站,都需要进行注册,通常用户名还不能重复,造成每个网站使用一个用户名,基本上都记不住,每次使用都要重新注册,太麻烦了

  5. 万众网址导航:

    嗯.构想的不错.确实网站这么多.到一个网站都要注册登录,脑袋都大了.注册多了,有些还记不得。重要的资料我现在都需要记事本上记录!网络给网友造成的最大的污染和痛苦莫过于此!

  6. Leos:

    不什么时候,网站才会给用户一个彻底清除用户数据的按钮呢!

  7. 崔凯(小轰):

    这是个问题,值得思考下。 : )

  8. 拆墙部队:

    这个还真不好说,看未来发展吧。

  9. kinsey:

    个人认为在猜测用户电脑的使用情况时(困惑解答那段),不应该用“一般”“家人朋友可信赖”来做判断,用户的个人隐私信息本来就是需要保护的,用这样的方法来解决用户登录密码问题,风险几率明显高了。

  10. Icon:

    很好的想法,不过风险还蛮大。。我宁愿还是要密码。。就跟信用卡一样

  11. 崔凯(小轰):

    @kinsey
    你说得很对,隐私需要保护。虽然我已经举例说明了,但不妨再说具体一点:大学寝室一般都是四人间。偶尔用用同学的电脑,不至于要关掉即时通讯软件,清空浏览器缓存什么的吧?更不至于在“自己”的电脑专门设一个来宾用户,限制权限吧?

    当然了,设计商业机密什么的,也不会贸然公布在网上,更不会用不够安全的办法管理了。

  12. 崔凯(小轰):

    @Icon
    毕竟是构想。说实话,在私人电脑上我还真看不出有“蛮大”的风险,连杀毒软件都敢装嘛。

    信用卡则是另外一回事咯。

  13. 构想:免密码登录网站 ‹‹ 网客设计:

    […] 来源:http://cuikai-wh.com/archives/374 […]

  14. 苍浪:

    facebook和QQ免密码登陆在哪个地方?

  15. 崔凯(小轰):

    @苍浪
    facebook和QQ不是免密码登录的,同学……是换地点登录时,会有提示。

  16. JASON WU:

    欣赏博主的才气,申请友情链接:http://jasonwu.me/
    我的网站主要是关于linux运维和网络安全,还有就是自己的一些观点!
    Twitter:http://twitter.com/jasonwu1988

  17. 崔凯(小轰):

    @jason wu
    因为你发了两个链接,所以被当作垃圾评论处理了。已经加上了。

  18. 没有:

    这样不靠谱吧,等于把互联网挪到本地了?跟电脑、ip绑定那不是很不方便?

  19. 失控:

    可以参考U盾和支付宝的证书的方法。
    1。第一次注册,用户填写安全信息,包括电邮、手机号等信息,并设置自己的昵称。
    2。注册完成后,网站为用户办法一个安全证书,将安全证书安装到本机后,再次登陆网站时验证安全证书,确认登陆者身份。
    3。登陆使用。

    至于私人电脑和公共电脑的处理办法,跟支付宝、网银文件证书的一样。

  20. 崔凯(小轰):

    @失控
    我使用的就是建行的U盾,每次都必须使用U盘,甚为不便。
    支付宝,登陆的时候依然要输入密码。

  21. 失控:

    U盾不过就是硬烧了一个文件证书再里面。支付宝需要密码是为了安全,不过这点比较牵强,可能你还没理解。
    也许换个说法比较好解释,在QQ客户端在线的时候,登陆腾讯的网页会看到快捷登录按钮,点一下就可以登录。
    那么,我们把QQ客户端替换为安全证书,网页端的快捷登陆实际上就是在检验和读取安全证书。

    也就是说,在本机有安全证书的情况下,检验一下你就登陆了,还可以把安全证书导出备份到U盘,网络硬盘等介质,方便在其他地方使用。如果要保证安全,那么我们就在没有检测到安全证书的情况下,要求用户使用传统账户密码的登陆方式,在登陆后可以提供导出一份新证书到本地的功能。

  22. 崔凯(小轰):

    @失控
    与此同时,在系统后台记录每次登陆的日期与IP,一旦检测到异常立即通知或废除当前证书。

    非常聪明的点子!

  23. RocChan:

    或许可以模仿web上网的方式,让用户保存登陆书签,这个书签的URL记录了登陆的相关信息或者是一段验证,当这个页面被访问时与数据库中的值比较确定是否合法。当然这段URL中的值得有很好的加密算法保证网站的安全性。
    实现流程(咋不能上传图片):
    在登陆页中选择记住密码的话登录后跳转到书签页,并把书签页的URL值写入数据库,用户保存书签,点击书签页的链接进入网站;第二次登录时直接点书签,验证后直接跳转。

  24. 构想:免密码登录网站:

    […] View full post on 时光立方 […]

  25. 构想:免密码登录网站 | 互动网络:

    […] 文章来源:时光立方 转载请注明出处链接。 […]

  26. 构想:免密码登录网站 | 站长站:

    […] 文章来源:时光立方 转载请注明出处链接。 发表于 网站产品 « Linux架设DNS服务器(二) Linux架设DNS服务器(一) » 敬请 留言, 或从本站 引用本文。 […]

  27. 构想:免密码登录网站 _ 怪侠爱写:

    […] 文章来源:时光立方 转载请注明出处链接。 […]

评论

《对话守则》第一条:对话的目的是寻求真理。

以下选填: