如何合理设计用户认证功能?

6 评论 10612 浏览 55 收藏 14 分钟

我们在日常使用各种APP时,时常会遇到在使用某个功能的时候,需要额外进行用户认证,例如支付宝绑定银行卡或转账的时候需要实名认证等。今天我们来聊一聊,如何合理设计产品的用户认证功能。

为什么要做用户认证

用户认证的含义

用户认证是指网络平台除要求用户提供基本信息之外,额外要求用户进行的资料补充及认证审核,通常需要用户提供足以证明某种身份的证件。

常见的用户认证包含各种证件资料,例如实名认证(身份证、银行卡等)、驾驶证认证、行驶证认证、护照认证、从业资格证认证等。不同的产品需要根据需要和使用场景选择。

由于用户认证功能其实是会对用户准入门槛有相应的提高,会有一定用户在此放弃,故而我们一定要清楚地认识到为什么要做用户认证功能。

以下我们分为两种情况来考虑这个问题:

(1)维护法律秩序

我们来想想以下两种场景:

  • (1)淘宝购买境内物品,从浏览到下单,都不需要实名认证。
  • (2)淘宝购买海淘商品,购买时需要进行实名认证。

如何合理设计用户认证功能

同样是购买商品这样一个行为,为什么在遇到海淘的时候就需要实名认证呢?

这个时候,我们就需要考虑这两类商品在货物运输过程中的区别。

其中最大的区别则在于海淘商品是由国外发货、国内仅收货,而境内商品仅仅只需要在境内扭转即可。

这样的区别,给产品带来的差异就是需要在设计海淘类购买路径的时候,需要考虑到境外发货的法律风险。

由于各国法律不同,在不同的国家可以寄送的物品并不相同。境内发货的物品在发货时会经由检验,不会允许寄送我国列明的违禁品;但是境外发货的物品在发货时遵循的是发货国家的法律,由此对于违禁品的标准可能是并不相同的。

在这种情况下,用户认证更多是为了保证在出现违法事件时能正常追责,不至于让互联网成为法外之地。即通过用户认证,建立网络世界与真实世界的联系。

由此可见,在必要的业务场景下,我们必须要求用户进行实名认证。

(2)风控场景需求

我们同样用两个场景来考虑这个问题:

  • (1)淘宝买东西,从浏览到下单,都不需要实名认证。
  • (2)淘宝开店,申请的时候就需要进行实名认证。

同样是作为淘宝的用户,为什么这两个场景一个完全不需要实名认证,另一个则在一开始就要求实名认证呢?

在这里,我们就要引入风险的概念。

通常风险会存在于一个商业链条当中的所有角色中,例如淘宝这款产品:风险就包含购买者风险、商家风险以及平台风险。

设计淘宝的时候,我们需要考虑的就是如何有效降低所有角色的风险,并明确责任划分。

当然,其中最重要的是降低平台风险。

首先我们来想想,淘宝中每个角色的风险各有哪些?

  • 购买者:购买者作为出钱购买商品的一方,其风险包含:出了钱没有获得商品、出了钱获得假冒伪劣或质量差的商品。
  • 商家:商家作为出售商品获得金钱收益的一方,其风险包含:给出商品没有获得金钱。
  • 平台:以上两方的风险产生的连带责任风险。

对于以上的风险,我们再来想想有什么减少或避免风险的措施:

购买者:要降低购买者的风险,就必须要减少购买者遇到不良商家的概率,并在购买者确实与商家产生纠纷的时候能够找到商家。故而淘宝加入了实名认证环节,由此来提高商家的准入条件;除此之外,在购买双方遇到纠纷的时候也可以借助实名信息找到商家。

商家:要降低商家的风险,就必须要保证商家在出售商品之后能够顺利拿到金钱收益。在这一点上,淘宝做的主要是让购买者先付款到支付宝、退款需要商家同意等。该内容跟本次主题不一致,不在此赘述。

平台:在这个场景中,平台的责任看似是最不起眼的,但其实这里有一个隐藏的风险,即平台未尽到审核用户责任的风险。

由此任何一方不能妥善处理的风险,都会牵扯到平台,可能会给平台带来巨大的损失。

如何合理设计用户认证功能

如何合理设计用户认证功能

如何合理设计用户认证功能

由此可见,在涉及到各方风险的时候,我们需要借助用户认证的相关信息来减少发生纠纷后平台的连带风险。

怎么设计用户认证功能

用户认证是什么

由以上内容我们可以知道,用户认证是除用户基本信息之外,平台对用户额外进行的资料补充及认证审核,通常需要用户提供足以证明某种身份的证件。

常见的用户认证包含各种证件资料,例如实名认证(身份证)、驾驶证认证、行驶证认证、护照认证、从业资格证认证等。不同的产品需要根据需要和使用场景选择。

合理设计用户认证

我们已经知道用户认证通常使用在业务需要和风控需要两种场景中。

在设计用户认证的时候,核心的两个要点:确保用户认证信息为用户本人信息、合理设计认证内容。

(1)确保用户认证信息为用户本人

无论是为了维护法律秩序还是风控需要,最重要的一个点都应该确保用户提交的认证的信息是用户本人。

试想一下,如果用户认证信息与用户不匹配,若用户产生违法违规行为,我们就无法协助调查机关线下找到该用户,平台依旧无法规避风险;同时被冒用的用户也会无辜被牵扯进来。

由此可见,保证用户认证信息就是用户本人,这一项是用户认证的核心之重。

证明用户身份,通常使用实名认证功能完成。随着技术发展,实名认证可以使用的方式多种多样,根据我们的业务场景可进行匹配选择。

常用的实名认证方式:身份证、银行卡、短信验证、人脸识别。

  • 身份证验证:一般是作为最基础的验证存在,进行用户实名认证的时候最常用的就是身份证验证。可以仅核对身份证图片和提交信息;也可以接第三方验真进行验证,以防止用户制作假证而导致的风险。
  • 银行卡认证:一般用于涉及资金交易的时候进行验证,可以同时兼顾让用户提交银行卡信息,便于后续业务开展。该种方式一般需要接第三方验真,用以确保用户提交的身份证信息与银行卡所属人信息一致。
  • 短信验证/人脸识别:一般证明实名认证操作是由用户本人进行操作的,以避免用户冒用其他人的信息进行实名认证。其中人脸识别最能保证进行认证行为的用户与证件所有人一致,从而避免冒用风险;但是相对来讲,人脸识别对于环境要求最高,需要根据业务场景综合考虑,权衡优劣。

如何合理设计用户认证功能

如何合理设计用户认证功能

以下以身份证+第三方验真+人脸识别为例,展示实名认证流程:

如何合理设计用户认证功能

(2)合理设计认证内容

在保证认证信息是用户本人的前提下,在设计用户认证内容的时候,也不可一味想要收集全面或者只考虑用户体验,这个时候更需要考虑的是业务场景及风险控制中需要涉及的内容,从而决定用户认证的内容。

我们也用一个例子看一下:

  • 淘宝商家:仅需要提供身份证进行实名认证。
  • 滴滴车主:需要提供身份证、驾驶证、行驶证来进行用户认证。

如何合理设计用户认证功能

以上两种场景的区别,便是在于两者之间在进行业务时,涉及到的风险不同。

我们来看看两个场景各涉及哪些风险:

如何合理设计用户认证功能

如何合理设计用户认证功能

  • 淘宝商家:出售假冒伪劣商品给购买者,导致购买者利益受损。
  • 滴滴车主:无证驾驶、违法驾驶、肇事逃逸、使用违规违法车辆、使用超出准驾车型的车辆等。

由此可以看出,滴滴车主涉及到的风险并不是仅仅进行实名认证便可有效排除,想要有效排除这类风险,需得让司机将驾驶证、行驶证都进行认证审核,由此来提前规避一些风险,提高平台风控能力。

故而我们在设计用户认证功能的时候,一定要基于所定位用户的真实业务操作以及可能涉及的风险来进行评估,合理设计用户认证的内容。

总结

最后让我们来总体回顾一下用户认证功能。

用户认证功能其实是在现有功能基础上,提高了用户的准入门槛。通常我们在涉及维护法律秩序的场景需要或风控场景需要的时候,才需要考虑在产品中加入该功能。

不管是基于哪种目的加入用户认证功能,最重要的一点就是要保证用户认证提交的信息是用户本人。只有在这个前提下,才能达成我们维护法律秩序和风控场景的需要。

除此之外,还需要合理设计用户认证内容,用户认证内容一定要紧贴业务场景和存在的风险,不可凭空想象,也尽可能不要遗漏风险场景。

用户认证功能看似简单,其实需要考虑的内容非常多。

看完这一篇之后,你知道怎么合理设计用户认证功能了么?

 

作者:蜂蜜乌龙茶;微信公众号:产品旅程

本文由 @蜂蜜乌龙茶 原创发布于人人都是产品经理。未经许可,禁止转载

题图来自Unsplash,基于CC0协议

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
评论
评论请登录
  1. 为什么有的实名认证上传身份证正反面后还需要再次填写姓名和身份证号,这个不是可以直接识别的吗?而且要怎么保证用户上传的身份证是这个用户的,这个是怎么判断的呢(小白不太理解这个哈)

    回复
    1. 问题1:这个我理解其实是基于产品的场景来的。像是不管上传照片后需不需要用户再次填写,但是都需要用户自己核实识别出的数据是否正确,这里主要就是考虑到身份证识别的错误率。像是有些银行产品,因为要求用户所处环境比较明亮,扫描环境也要求比较严格,就不允许用户填写或更改,如果识别错了只允许再次扫描。但是有些产品不能要求用户环境这么好,所以识别出来会允许用户修正。
      问题2:仅通过身份证不能保证就一定是这个用户本人的,如果要求百分百确认是用户本人操作的,需要额外引入人脸识别、手持身份证拍照等等别的手段一起认证。

      这是我的个人观点哈~~~小伙伴有其他想法我们可以继续讨论~~(*^▽^*)

      来自湖北 回复
  2. 指纹人脸认证有2种方式,一种是后台来进行比对。这种方式存在极大安全和个人隐私问题。
    另外一种是基于fido标准,指纹人脸是在手机端完成比对,和后台是基于手机底层安全芯片来完成。
    其实这种方式95%以上手机已经支持。
    目前支付宝支付,银行很多开放指纹人脸登录或者交易大多是第二种方式。

    回复
    1. 嗯嗯,这方面我还不是很清楚,谢谢小伙伴科普~~ღ( ´・ᴗ・` )比心

      来自湖北 回复
  3. 为什么有些实名认证需要拍摄/确认身份证背面有效期?而有些实名认证却不需要?

    来自上海 回复
    1. Emmaღ( ´・ᴗ・` )比心~~这个问题也是我查资料之后的想法哈,欢迎小伙伴一起讨论~~个人认为认证需不需要有效期这个,主要是跟业务场景有关。因为身份证虽然失效,但是其实本人的身份是没有变化的,再去换身份证的时候身份证号也是不会变化的,所以并不会影响追溯法律责任。但是对于金融产品,在2007年国家为了防控金融行业的资金风险,有专门文件要求,在涉及到金融的业务产生时,需要留存用户的有效身份证件。例如淘宝开店,仅认证身份证正面即可;但是支付宝认证,就需要身份证有效期,并且在身份证过期后需要用户更新,否则拦截资金转出。

      来自湖北 回复