下班前看到Donew文章,支付宝安全策略中心上线,推动俺继续写这个文章了。^_^貌似很凑巧啊,而且也看到支付宝盾开始推广了。也是不错哦。
看到昨天有朋友在文章中留言,提出了一些问题。我这里主要发表一下有关的我的看法:
- 安全不能以牺牲用户体验为前提,这一点是我所有产品设计的理论基础。如果支付宝有5重安全策略,是不是在一次支付的时候,每一重都要过?如果这样,是不是设置5个支付密码更简单了?我想不是的。一定要有策略的分布不同的安全等级。用户体验排在前面。
- 对于用户分类,我的看法是不强迫用户进行分类,因为确实如何将用户分类是很难的,凭什么说你是活跃用户,凭什么说你是新用户?这个规范很难确定,所以应该是由用户的需求推动的。当你的操作能力、安全感缺失到了一定的程度时候,支付宝引导你选择更好的安全策略。当然需要你的一定培训成本。
- 比如,一个新注册的用户,没有必要马上引导他去申请数字证书,确实没有必要。如果发现这个用户开始申请卡通服务了,或者是连续在帐户里面有资金停留的时候,主动引动用户申请高级的安全策略,这样会不会更加人性化呢?对于企业用户,我们引导你申请USB证书,但是绝对不强迫。否则事情搞复杂了,至于成本,随意啦,我到招行办理USB证书都是自己付钱,这里应该也没有问题吧?
- 至于手机没有,短信收不到,首先,我不强迫你,因为人工客服服务是最后的一招,在中国嘛,ok的啦。况且目前来看这是小概率事情,不必因为小概率的事情而放弃一个好的策略。目前支付宝这样做挺好了,在这个事情上,我觉得不太爽的是,短信现在到处发,是不是成本控制上需要想想,有必要嘛?
- 安全策略,我觉得应该是分为三层:
- 第一层:帐户所有权层,用登录密码控制,
- 第二层:帐户资金所有权层,用“支付密码”,“手机验证码”,“文件证书”,“USB硬证书”控制,但是这个地方现在是支付宝做的相对混乱的,这些控制手段,有没有一个层级?是否需要混合使用,如何保证用户在资金所有权的验证上的体验统一?需要一个清晰的策略来分布上述的验证手段。
- 第三层:系统实时控制,这是核心技术,用户看不见,而是系统对每一笔的交易进行实时的判断,给出交易的风险等级,然后进行分类操作。这个才是真正牛逼的地方。
其实说这么多,我真正想表达的概念很简单,我希望:
- 在确保安全的情况下,用户体验是否可以保持一致性,有统一策略来管理;
- 在确保安全的情况下,用户体验是否可以尽量的简单易用;
- 在确保安全的情况下,不同用户的安全策略是否需要相同;
当然,上面的确保安全是一个相对概念,不要去咬文嚼字。做这个行业的我想应该可以理解吧。
