相比于賬號密碼登錄，掃碼登錄和人臉識別登錄等登錄方式顯然更方便、快捷、靈活，在實際使用中也更受到用戶的歡迎。但為什么在實際APP設(shè)計中，賬號密碼登錄這種方式仍然還在使用呢？

賬號密碼登錄已經(jīng)是一種很常見的登錄方式了，這么多年，一直被延續(xù)了下來。新的登錄方式如掃碼登錄、短信驗證登錄、人臉識別登錄等等不斷出現(xiàn)，但賬號密碼登錄的地位依舊屹立不倒。

有好奇寶寶問了這么一個問題：難道使用賬號密碼登錄，沒有漏洞嗎？

例如：用戶A，登錄時輸入了錯誤的賬號，而這個錯誤的賬號已被注冊，且這個錯誤賬號的密碼跟用戶A的密碼相同，那么不就造成誤登錄了嗎？

答案是肯定的，確實會造成誤登錄，賬號密碼登錄也確實存在漏洞。那么針對這一漏洞，平臺都是如何防范的？為什么賬號密碼登錄存在漏洞，卻依舊沒有被取代？

一、賬號密碼登錄是否存在漏洞？

結(jié)論先行：賬號密碼登錄存在漏洞，但通過防范后，誤登錄發(fā)生的概率非常低。

對于問題中說的，錯輸密碼造成誤登錄，這個情況發(fā)生的概率非常低。除非用錯誤賬號和錯誤密碼同時去撞庫，才會有機(jī)會登錄成功。

更常見的是撞庫，即小明在各個網(wǎng)站都用一樣的賬號密碼，盜號者拿了A網(wǎng)站小明的盜號信息，去其他網(wǎng)站腳本嘗試登錄，并盜取虛擬財產(chǎn)。

這些情況從概率學(xué)的角度來說，確實都存在。但現(xiàn)在基本上大部分平臺，都會使用一定的風(fēng)控機(jī)制。例如：

• 限定一定的密碼錯誤次數(shù)；
• 要求輸入驗證碼，以防止機(jī)器破解操作
• 常用地點/ip進(jìn)行賬號密碼的驗證；如果是異地登錄/異常IP，需要進(jìn)行二次驗證。

平臺能夠做到獲取手機(jī)終端的設(shè)備信息。常用登錄地、IP等，賬號一旦注冊登錄后，便可在后臺記錄相關(guān)信息。一旦使用新設(shè)備、IP不符，或者距離常用登錄地較遠(yuǎn)時，可根據(jù)一定業(yè)務(wù)規(guī)則進(jìn)行告警。

此時用戶在前端登錄時，需要驗證更多信息，如：手機(jī)號、郵箱、人臉等。

這樣一來，賬號密碼登錄被鉆空子的幾率較小。即使暴力破解，也應(yīng)該有密碼錯誤次數(shù)驗證告警機(jī)制，從這一點上就更難被攻破了。

二、為什么「賬號密碼登錄」還沒被取代？

那么，既然賬號密碼登錄存在漏洞，又有新的登錄方式層出不窮，為什么賬號密碼登錄還沒有被取代呢？

首先，需要搞清楚用戶為什么需要登錄：

平臺需要與用戶有唯一的關(guān)聯(lián)性。如果不登錄，那么唯一能關(guān)聯(lián)用戶的就是設(shè)備，一旦用戶更換設(shè)備就失去了唯一性。所以平臺需要與用戶之間建立一個賬號體系，來保證用戶的唯一性。

保證唯一性有兩種方式：

（1）平臺給予的：適用于B端，平臺為用戶或者運營者生成賬號密碼。

（2）用戶主動發(fā)起的：

• 賬號密碼注冊登錄
• 掃碼注冊登錄
• 第三方注冊登錄
• 手機(jī)號/郵箱驗證注冊登錄
• 其他（人臉、聲音、指紋等）注冊登錄

本文中提到的賬號密碼登錄就屬于第二種，也是歷史較為久遠(yuǎn)的一種。

在那個互聯(lián)網(wǎng)不太盛行，手機(jī)普及率不太高，且人人都極度重視隱私，又技術(shù)有限的年代，讓大家自行設(shè)置賬號密碼登錄，是當(dāng)時所處社會環(huán)境下的最優(yōu)方案。可以降低用戶的抵觸心理，方便記憶，也有利于拉新和推廣。

后來互聯(lián)網(wǎng)盛行了以后，大家降低了對隱私的保護(hù)程度，留個電話號碼已經(jīng)屬于可接受范圍。另外，從PC端到移動端，為了更好的用戶體驗，很多產(chǎn)品開始做第三方登錄，手機(jī)驗證碼登錄等等。

但賬號密碼登錄依舊被許多平臺和用戶認(rèn)可，具體原因有以下幾點：

1. 通用性強

即使賬號密碼登錄存在漏洞，但其他登錄方式也并不完美。從通用性這個角度來看，其他登錄方式的限制并不少：

• 掃碼登錄：需要有另一臺已登錄的設(shè)備存在；
• 第三方登錄：需要有第三方賬號介入；
• 手機(jī)號/郵箱登錄：容易收不到驗證碼，且注冊登錄門檻過高；
• 其他（人臉、聲音、指紋等）：使用場景受限，如戴口罩無法使用人臉識別，手傷了用不了指紋

而賬號密碼登錄，由于本身規(guī)則由服務(wù)提供方制定，不需依賴任何第三方服務(wù)，使用場景更多，在通用性方面無可匹敵。

2. 安全性高

從安全性的角度來看，賬號密碼登錄的表現(xiàn)也很不錯。

（1）從平臺的角度

• 使用第三方登錄時，無法掌握主動性。如果第三方出現(xiàn)問題，那么連帶自己平臺也沒法登錄。
• 賬號體系關(guān)系著安全和產(chǎn)品功能的實現(xiàn)。

用戶數(shù)據(jù)庫，是平臺安全的一個保障。每個平臺使用賬號密碼登錄，就能夠?qū)⒂脩魯?shù)據(jù)保存在自己的數(shù)據(jù)庫。之后的更新迭代、反饋等等，都可以自己尋找數(shù)據(jù)，分析數(shù)據(jù)，而不是依靠第三方。

靠別人不如靠自己。自己平臺的數(shù)據(jù)，不管再麻煩都要自己掌握，數(shù)據(jù)是一個平臺的命脈，平臺大多不愿意在核心的東西上讓步。

（2）從用戶的角度

• 在密碼組合相對復(fù)雜的情況下，用密碼誤登錄比手機(jī)驗證碼誤登錄概率要低。畢竟手機(jī)驗證碼大部分只是四位或六位數(shù)字。
• 其他的替代方案也存在明顯的漏洞，比如：指紋識別——被復(fù)制指紋、人臉識別——用照片騙過攝像頭、手機(jī)驗證碼機(jī)制——被攔截手機(jī)短信
• 用戶可以避免過度暴露個人信息。許多用戶連郵箱和手機(jī)號都不愿意提供，更遑論身份證和個人生物特征了。

所以大部分產(chǎn)品，基本都是以賬號密碼作為基礎(chǔ)，再根據(jù)用戶的個人需求，用其他的登錄方式輔助來增強安全性或便捷性。

3. 成本低

任何產(chǎn)品的目的都是盈利，減少成本是必然的手段。

人臉識別、指紋識別、包括短信登錄，這些都是需要借助第三方去協(xié)助完成的，這個費用最終還是要歸納到產(chǎn)品的維護(hù)成本。

比如最常見的手機(jī)驗證碼注冊登錄，這個費用并不是用戶支付，而是開發(fā)者。特別是對于用戶體量大的平臺，短信的發(fā)送量是一筆不小的支出。為了降低用戶的進(jìn)入門檻，目前多數(shù)平臺已經(jīng)接入本機(jī)號碼一鍵登錄。

而人臉識別、指紋支付是近些年來的產(chǎn)物，不管是安全性和便捷性都還不錯，所以成了移動端的標(biāo)配。但考慮安全性和成本，全面普及估計還需要一段時間。

反觀賬號密碼注冊登錄，從成本上是最低的，用戶在注冊時就確定密碼。再次登錄平臺只需驗證賬號對應(yīng)密碼的準(zhǔn)確性就行。

結(jié)語

保留賬號密碼登錄的方式，優(yōu)勢還可以從以下角度考慮：

1. 為了向前兼容，服務(wù)于早期用戶；
2. 可以作為補充的登錄手段，在其他登錄方式失敗時可以大顯身手；
3. 很多以pc端為主的產(chǎn)品，直接使用賬號密碼登錄反而是最簡潔的操作。

從辯證關(guān)系來看“漏洞”，世間萬事萬物都是相生相克的，沒有哪種方式或事物是存在絕對的安全，都只是處在相對狀態(tài)。

安全與否，取決于賬號本身為攻擊者提供的價值有多少。正如一個家徒四壁的房子不上鎖，也不會有小偷光顧是一個道理。

所以，并不是賬號密碼登錄有缺點、有瑕疵，我們就全盤否定。綜合衡量下，賬號密碼登錄明顯有更好的通用性、安全性和低成本，使之不可被放棄。