【前言】

用户体验是什么？ 当用户号码被盗需要修改密码时，不需要再绞尽脑汁想8年前设置的密保问题，也不用翻箱倒柜找你的QQ令牌，更不会让你用手机发个短信到一长串接入号，而是掏出手机，把摄像头对准二维码，轻轻一扫，安全改密。

为了更方便用户安全的修改密码，安全平台部密码项目组联合微信推出了微信扫一扫。

【创新特性名】修改密码：微信扫一扫，一键改密

【产品功能和使用场景】

用户对无线端改密体验的诉求越来越大

随着移动互联网的快速发展，越来越多的用户通过手机上网，用户对无线端改密的诉求也越来越大。但是改密是提高帐号安全级别的重要操作，我们必须通过 严密、准确的策略确保帐号在无线端请求改密时，只有帐号主人（而非试图盗用号码的盗号者）才能修改帐号密码。但是策略是依赖用户侧证据的，比如对PC端的用户，我们可能通过ip等信息（不限于此，由于较敏感，这里就不一一列举）进行策略分析。以往的证据体系是建立在PC时代的，复用到无线端用户则不完全适用，无线端用户目前改密成功率不理想。因此，如何寻找无线用户的有效证据，以便尽可能地识别出帐号主人改密，做到最大程度方便好人打击盗号者，成为密码项目组每天思考最多的问题。

顺应无线大潮，引入移动设备证据

随着移动互联网的崛起，用户行为习惯逐渐发生变化，越来越多的用户选择通过无线设备上网。项目组巧妙引入了微信设备证据，从而能够识别出更多帐号主人改密情况，为无线用户降低了改密门槛。具体场景如下：

Step1：提前预判

用户登录QQ安全中心网站aq.qq.com请求改密，身份审核系统会对当前用户进行预判。预判系统将根据“用户是否微信活跃用户”、“该帐号是否有常用设备”等信息预估当前用户是否可以提供充分的微信设备证据。符合预判条件的用户将会在改密页面上可以看到“微信扫一扫改密”的方式，如图1所示。

 图1、符合预判条件的“微信扫一扫改密”页面

Step2：微信扫一扫确认是否本人改密

用户登录微信后，可使用“微信扫一扫”扫描二维码，此时微信客户端将帐号及设备信息传递给身份审核系统。身份审核系统将根据其透传信息识别当前登录微信用户是否为帐号主人，如果核实是帐号主人，则提示“该帐号请求在电脑上修改密码，请确认是否本人操作”（如图2）；如果非帐号主人操作，则提示用户不能使用微信扫一扫改密（如图3）。

Step3：微信确认后即可改密

用户在微信上确认为本人操作，然后就可以修改密码了，如图四。

图4、用户确认微信扫一扫为本人操作后即可改密

【创新点】

PC互联网时代，要识别是否帐号主人改密，我们有多样的证据用来做策略分析（安全起见，具体证据略去）。但是这些证据是PC时代的产物。随着移动互联网的崛起，用户行为习惯逐渐发生变化，越来越多的用户选择通过无线设备上网，甚至有的用户已经脱离PC端，只在无线端使用微信、微博、手Q等。PC时 代的证据体系已经越来越无法满足快速发展的移动互联网潮流下的无线用户的需求。我们只有突破现有的舒适区，才能提供更适合无线用户的改密体验。密码项目组 积以开放的心态拥抱移动互联网大潮，积极探索业内的未知领域，经过各方面学习与分析，决定引入微信设备证据，通过这一证据识别出帐号主人改密情况，为无线 用户降低改密门槛，优化改密体验。

这一功能的创新点如下：

1） 继手Q之后，微信也引入了手机设备信息作为改密策略证据。以往的证据体系是PC时代的产物，本次引入手机设备信息，是对证据体系的一次革新。新的证据体系更符合当前的用户行为特征，可以帮助更多无线用户顺利修改密码，提高帐号安全。

2） 扫一扫改密完全可以确保帐号安全地改密。我们并非单独依赖手机设备信息，而是在原有证据项的基础上，利用手机设备信息对无明显异常的帐号进行放过，从而达到最大程度解脱好人、降低门槛的目的。

3） 扫一扫改密是一种全新的改密体验，其引入设备信息的方式巧妙，可以最大程度减少用户操作复杂度。当用户请求改密， 身份审核系统会先进行预判，找出满足扫一扫改密条件的用户。用户使用微信扫一扫扫描二维码后，触发微信将设备信息传给身份审核系统，用户通过微信确认本人 改密，然后就可以验证原密码改密了。整个过程体验流畅无阻、安全感十足。

4） 相比手Q扫一扫，微信扫一扫在体验和安全性上都有了进一步提高。

体验：从体验上，微信扫一扫不受版本限制（而手Q必须4.6以上版本的才支持扫一扫改密功能）。在微信扫一扫中，我们从技术上攻克了版本的限制，使得任何版本的微信都能够支持扫一扫改密功能。

安全性：微信扫一扫在安全性上也要求更高，除了引入设备信息外，我们还将用户微信帐号的安全级别进入作为参考，进一步提高了微信扫一扫改密的可靠性与安全性。

【创意如何产生】

为了让更多的用户可以便利地改密，项目组一直积极发掘潜在线索，以更准确地识别是否帐号主人改密。大环境的变化给密码线带来了新的挑战和机遇。随着移动互联网的崛起，用户行为习惯逐渐发生变化，越来越多的用户选择通过无线设备上网。无线用户有其区别于PC用 户的明显的行为特征，如：用户和设备的绑定关系紧密，用户一般在特定设备上登录。我们是否可以利用这些设备信息，降低用户的解脱门槛，优化无线端重置密码 体验呢？通过一系列的可行性分析后，我们认为这个设想是可行的。借助微信部门的资源支持，以及项目组的通力合作，我们快速地将这一设想变为现实。

【实现方式】

考虑到安全原因，这里简单介绍下微信扫一扫改密的实现方式：

Step1：用户使用扫一扫扫描二维码，符合特定条件则触发微信客户端将设备相关信息传给微信后台。

Step2：微信后台将设备信息传给身份审核系统，身份审核系统进行策略分析识别是否为帐号主人改密。

Step3：如识别为帐号主人改密，则引导用户进入原密码改密流程。

【产品的意义对未来的展望】

随着移动互联网的崛起，用户行为习惯逐渐发生变化，越来越多的用户选择通过无线设备上网。甚至有的用户已经脱离PC端，只在无线端使用微信、手Q等通讯工具。因此要在未来立足，我们必须重视无线用户的改密体验。“微信扫一扫改密”是密码项目组在无线端的一次非常重要的尝试，相信我们的工作会帮助微信用户体验到更顺畅、更便捷的改密体验，而这也将只是一个开始，未来越来越多的无线用户会受惠于我们的今天的尝试。

原文来自：腾讯大讲堂