这段时间,相信大家看了不少关于“手机设置SIM卡密码”的安全提示新闻,但设置了SIM卡密码,其实也只是防止手机丢失情况下对方使用你的手机卡来接收短信验证码。对于短信验证码的安全窃取,犯罪分子还有一种更高超的犯罪手法,只需要在你们小区附近,就可以远程**验证码。真是防火防盗防“老王”,防不胜防。
此前,老骆驼也说过短信验证码的安全可以从用户、运营商、系统提供方三方面来分析。今天就给大家聊一下运营商方面一些可能导致我们的短信验证码被窃取的注意点。
01卧底黑产链,窥探作案手法
想要曝光犯罪,自然要先了解犯罪。自从决定今后写一系列的电信诈骗、网络犯罪的专题文章后,老骆驼也通过一些方式去接近黑产从业犯罪分子,了解熟悉最新流行的犯罪作案手段。
一条消息引起了我的注意,“短信嗅探”对于安全技术圈的人来说肯定都不陌生的,利用运营商GSM网络的技术缺陷,抓取周边手机用户的短信验证码,也是已经曝光很多年的老问题了。但这种使用技术漏洞来进行的电信犯罪,对于普通民众来说简直就是“降维打击”,受害者必定不知所措。
虽然犯罪分子说的是只用短信嗅探**话费,因为现在还是有一些支付平台支持用手机号码+短信验证码的方式扣话费购买点卡、购物卡。但实际上,如果对方能获取到短信验证码,自然是不会满足于几十元话费的犯罪收益。查一查近期的案件曝光新闻,利用这种手段盗刷yhk的也不少见:
02 短信嗅探(GSM嗅探)
1993年,中国有了第一个GSM网络,也就是2G网络,大家才可以用手机进行电话接打、短信收发。但欧洲电信标准组织设计的GSM标准一开始就存在安全缺陷,运营商的基站可以对接入基站的手机用户进行身份认证,但手机终端是无法判断其接入的基站是否是运营商的基站,且基站与用户之间的通信是明文的。因此在2000年左右就有人提出了GSM网络的这个安全漏洞。
从2011年开始,国内就有利用GSM的漏洞进行犯罪的例子了。相信大家都听过“伪基站”吧,就是利用GSM网络下用户无法对接入的基站合法性进行验证的漏洞,通过信号发射装置伪装成运营商的基站,欺骗手机用户接入。然后通过群发短信的方式进行广告宣传、短信钓鱼诈骗。由于对方可以伪装成运营商、银行等正规机构的号码发送短信,欺骗性更高。
随着运营商和执法部门对伪基站犯罪打击力度的增强,以及4G普及后大量用户将sim卡更换成双向鉴权的usim卡,利用伪基站群发短信作案的团伙也销声匿迹了。但随着短信验证码在移动支付领域的频繁应用,犯罪分子又盯上了短信验证码,将信号干扰、GSM中间人攻击、GSM短信嗅探等多种攻击方式综合利用,用于窃取短信验证码。
这类案件的一般作案手法如下:
1 一般将作案地点选在人流量大的地点,作案时间选在晚上大家睡觉时(**短信验证码时,受害者手机也会收到短信验证码)。
2 利用信号干扰设备将受害者手机网络从3G、4G降级到2G网络。使用信号干扰设备会影响较多用户,易被发现。也有不使用干扰设备的,直接攻击老年机、电话手表、双卡手机中的2G卡以及3G、4G信号较差的小区。
3利用伪基站技术使受害者的手机接入到犯罪团伙的伪基站中,伪基站连接受害者手机及运营商基站,形成“GSM中间人攻击”,伪基站设备中的伪终端以受害者的身份接入到运营商的基站中,并向事先准备好的手机号码拨打电话以获取受害者手机号码。(GSM嗅探只能获取到短信内容,为了实现盗刷,需要受害者手机号码)
4在一些支持“话费购物”的小支付平台进行充值卡、购物卡的购买,并同时使用获取到的手机号码、GSM短信嗅探设备抓取的短信验证码完成消费。
5还有些犯罪分子在获取到用户手机号码后,通过黑产链上的其他渠道购买用户的身份z、yhk信息,在支付平台上进行贷款、消费等盗刷。
上图是GSM中间人攻击的图示,伪基站插在用户和运营的正规基站中间,用户手机和运营商基站在进行身份认证时所需要的认证信息中间人都可以获取并发送给需求方,以完成正常的接入认证。
03 关于GSM网络安全
为什么老骆驼要聊这个多年前就存在的GSM短信嗅探攻击,其实我也不想“炒冷饭”,但事实证明利用短信嗅探进行犯罪的案件并不少,不信大家可以自己用关键字 “短信嗅探 盗刷”搜索一下。而且地下黑产里短信嗅探的设备还在不断的更新和销售,只要有人买作案工具,那必然是有受害者的。特别是容易受攻击的“老年机”用户,由于大多使用老年机的受害者,缺乏相关的安全意识,被攻击了也未必能第一时间发现。
根据老骆驼从几个“短信嗅探设备”黑产销售商的询问结果来看,目前短信嗅探攻击都是针对中国移动和中国联通的,还没有发现针对中国电信的手机用户进行短信嗅探攻击,主要是因为中国电信用的2G网络不是GSM制式,用的CDMA制式。所以如果你用的是中国电信的手机号码,暂时是安全的。
大家可能有疑惑,既然都知道GSM不安全,现在又都是用的4G、5G手机了,为何运营商不直接关闭GSM?实际上,中国还存在一大批的GSM网络用户,例如老年机、电话手表、物联网终端设备等等,甚至在没开通VoLTE高清通话业务的情况下,拨打电话时4G网络也会回落到2G网络。如果一下把GSM基站全关闭了,那么会影响大量的2G网络用户?
关于短信验证码的嗅探,因为老骆驼不是无线安全的专家,只能简单通俗的给大家介绍下犯罪分子的作案手段,如果大家对短信嗅探犯罪还有更多兴趣,可以看一看2018年短信嗅探犯罪刚出现时,豆瓣用户“独钓寒江雪”的一篇热文《这下一无所有了》(没法加链接,大家自己搜索吧),手机放床头,一觉醒来,啥都没干,账户里的钱就被人盗刷了,还背上巨额贷款。发生在谁身上都得很郁闷了。
和老骆驼之前的遭遇一样,“独钓寒江雪”被盗刷后一开始想找回损失也是困难的。当然“独钓寒江雪”同学最后还是找回了他的损失,老骆驼也找回了自己的损失,但相信不是所有人都和我们一样幸运的,公众号留言里还有一堆被盗刷后无法得到赔付的受害经历者。这里还是建议大家如果没有资金压力,对于各个支付平台上的各类“先消费后还款”的消费贷款业务还是谨慎开通。这类业务的开通环节身份验证更严格一些,但使用它进行消费时并无太多限制,容易被犯罪分子利用,给自己造成麻烦。
总结和防范
先说总结:
首先,这类短信嗅探攻击作案也只是个案,无需过度恐慌。犯罪分子是抓不完的,移动支付让大家钱包里的现金越来越少,偷钱包的小偷少了,支付盗刷的犯罪多了起来,老骆驼写文章的目的只是让大家提高警惕。
犯罪分子的作案手法不断在升级,都是围绕着获取短信验证码这一目的;除了老骆驼提过的钓鱼网站、木马病毒、短信嗅探,目前已知的还有通过运营商的一些正常业务来实现的,比如“短信转移”、“超级信使”、“在线补卡”,当然这些业务在被利用后运营商也通过下架业务或者加强验证的方式进行了修复,但还有没有其他的通过APP、他人手机号码进行“短信代收”、“电话转移”的业务遗漏掉的?运营商在设计各种方便用户的通信业务时,还是需要考虑下目前短信验证码的重要性以及公民身份信息泄露的现状,通过增加各种可能的风险控制措施来降低业务被犯罪分子利用的可能性。部分平台是支持将验证码以电话方式语音播报的,猜测这也是当时我的手机被盗后对方为什么要将我的手机号码设置呼叫转移。
再谈下针对短信嗅探的防范措施:
1目前中国电信不存在这种被攻击的风险,将重要的yhk、支付APP绑定手机号码改成电信的手机号码可以作为有效防范措施之一。(也希望今后如果其他运营商通知关闭2G网络,大家给与支持和理解。)
2发现手机无故从4G被降到2G网络,并且收到可疑的短信验证码,可以第一时间通知运营商挂失手机卡(信号差也可能4G降成2G)。也有人建议开飞行模式或者关机,但如果已经被GSM中间人攻击的情况下,就算你关机了,对方还是可以继续用你的身份使用电话和短信功能,所以挂失手机卡比开飞行模式或关机更有效。
3晚上睡觉时关机,这一点老骆不推荐,容易漏接重要的电话。
4 绑定yhk、支付APP的手机号码单独安装在一台手机上,平时关机,需要使用时再打开,这一招是有效,但就是使用起来比较麻烦。
5做好个人身份信息保护,要实现资金盗刷除了短信验证码,还需要获取身份信息、yhk信息。(这是一句废话,我自己说得都没信心,有机会还会给大家聊聊个人信息泄露的现状)
作者:信息安全老骆驼 侵删
最后,物以类聚,人以群分,接触更优秀的人也可以让你成为同样的人,欢迎关注官方公号:灰产圈
灰产圈:培养你的发散性思维 解密互联网骗局、实战揭秘互联网灰产案例、网赚偏门项目解析、分享网络营销引流方案。深挖内幕、曝光各类套路。
展开阅读全文

在刷票软件盛行的环境下,验证码的出现可以说大量减少了这些软件对网站的访问和恶意注册等现象的发生,但是有时候太严密的验证码设计会让用户也受到伤害,下面我们就一起来思考一下,验证码功能设计的意义。
思考一:不要将责任推卸给用户
不知道你有没有想过,让用户辨别和输入扭曲的验证码,其实是因为服务提供方的能力欠缺,无法静默区分人和机器,而输入验证码本身,这一 *** 作对用户来说其实并无价值。
有一次我接到用户打来电话,抱怨自己搞不定验证码。我向他解释我们正在被攻击,所以临时调高了验证码的级别。电话的后,我习惯性地向他道歉,用户却很体贴地安慰我说没必要道歉,毕竟被攻击不是我们的错。
当时我心头一热,脸上一红。他说的没错,被攻击确实不是我们的错,但更不是用户的错,让他们付出成本,花费时间,去辨别里的那个圆圈究竟是O还是0还是6,其实就是让他们承担我们本应该承担的责任。
举一反三,如果再激进一点考虑,我们的软件服务中还有不少推卸责任的设计,比如:让用户在成千上万的商品中筛选和比价,比如:各种复杂的界面参数设置和兴趣选择。要是想得再发散一点,所有的银行账户密码似乎也没有必要,超市排队也是一样。
如果用户不需要付出筛选和比价的成本,或不需要花费精力记住账户密码,却可以享受到同样高质量的服务,是不是更好呢
基于这样的思考,我们是不是应该马上去掉这些推卸责任的设计,比如:想出更复杂的方案,替代现有的验证码机制呢
这是关于验证码的二个思考。
思考二:方案选择的平衡
有效的设计确实未必是好设计,比如:我自己曾经参与设计的产品中也用到验证码,而且在某些特殊阶段(像刚才提到的被定向攻击),我们还会升级验证码机制,让验证码出现的频率更高,而且更加难以辨认,从而在某些关键入口抵抗一些有针对性的攻击。
这一策略是有效的,但对用户的伤害也很大,升级验证码机制后,用户登录过程中耗费的时间会显著增加,通过率也会下降,还有大量的用户抱怨一股脑地涌进来。
然而从服务提供方的角度来看,它却用低的成本快速地解决了当时面临的问题。电脑培训认为这是产品设计方案选择过程中不得不做出的“平衡”,很多时候我们没有办法一时间实施对用户的完美方案,这就需要在产品利益和用户利益之间,找到微妙的动态平衡点。
现在越来越多的网站为了安全性或是防止Spam的侵害,采用了验证码的校验技术。
简单地说,验证码就是在进行登录或是内容提交的时候,页面上会随机出现一个人工可识别,但机器不可识别的验证字符串(一般是采用背景、扭曲等方式产生的),要求登录或是提交内容时同时输入这个验证码。
验证码可以有效防止对口令的刺探和所谓的网络推广软件带来的大量的Spam内容,目前已经被许多Internet或是Intranet应用接受为标准的实现方式。
但对性能测试来说,这种验证码又带来了很大的问题。
最突出的问题是,性能测试工具本身是自动化工具,由于这种验证码采用的是“防止自动化工具尝试”的方法,因此,在录制了脚本之后会发现,很难对脚本进行调整,以使其适应验证码验证的需要。
已经不止一次有人提到这个问题,并询问有没有较好的解决方案。
对这个问题,我个人的看法是,基本上可以考虑从三个途径来解决该问题:1、第一种方法,也是最容易想到的,在被测系统中暂时屏蔽验证功能,也就是说,临时修改应用,无论用户输入的是什么验证码,都认为是正确的。
这种方法最容易实现,对测试结果也不会有太大的影响(当然,这种方式去掉了“验证验证码”这个环节,不过这个环节本来就很难成为系统性能瓶颈)。
但这种方法有一个致命的问题:如果被测系统是一个实际已上线的系统,屏蔽验证功能会对已经在运行的业务造成非常大的安全性的风险,因此,对于已上线的系统来说,用这种方式就不合适了;2、第二种方法,在第一种方法的基础上稍微进行一些改进。
第一种方法带来了很大的安全性问题,那么我们可以考虑,不取消验证,但在其中留一个后门,我们设定一个所谓的“万能验证码”,只要用户输入这个“万能验证码”,我们就验证通过,否则,还是按照原先的验证方式进行验证。
这种方式仍然存在安全性的问题,但由于我们可以通过管理手段将“万能验证码”控制在一个小的范围内,而且只在性能测试期间保留这个小小的后门,相对第一种方法来说,在安全性方面已经有较大的改进了;3、如果安全性对应用来说真的是至关重要的,不容许有一丝一毫的闪失,那我们还可以用更进一步的方法来处理这个问题。
一般的性能测试工具(MI的LR、Seague的Silkperformer等)都能够调用外部的DLL或是组件接口,因此,南宁电脑培训>
自己挖的坑一定要让别人给填好!
一、登录从PC端到移动端
移动端的登录沿袭了很多PC端的经验,但也有其独特的演变。
1PC端:
11 PC具有公共属性,输入密码是私密性的,需要在登录注册时给予适当保护;
12 PC端台式机一般固定在特定的位置,无法随意移动,笔记本可以移动但使用场景相对固定,网络状况与移动设备相比稳定;
13 PC显示区域比较大,登录注册通常只有1个页面,需要填写的内容都会呈现。
14 PC端的输入设备有鼠标和键盘,人机交互和可输入速度要快很多;
2移动端:
21 移动设备属于个人私密性较高的设备,用户在进行 *** 作时,可对输入密码进行有效的保护;
22 移动设备随身携带,随时随地在变换位置,网络状况不稳定因素很多;
23 移动设备显示区域均较小,登录注册页面通常都会有3个页面(M站通常在一个页面),需要用户填写的内容要精简;
24 移动设备输入更多是手指触屏 *** 作,人机交互有其独特性,例如虚拟键盘的设计。
了解这些之后,需要清楚的甄别两者之间的关联和区别。
二、设计前的思考
在开始设计产品之前,一定要先想清楚: 为谁设计登录注册,是否一定要登录注册,是否需要独立的账户体系,哪些 *** 作需要用户登录?
三、登录注册的设计步骤
假设前面的问题都搞清楚了。那么我们来设计登录注册。
第一步:梳理脑图,梳理现有的登录模式和信息结构;
第二步:梳理业务流程,把每一步 *** 作都流程化,做好各种情况的处理方案(梳理流程非常非常非常重要);
第三步:画出草图/线框图,对页面元素和布局进行初步设计;
第四步:交互设计,对每一项页面元素、页面跳转、 *** 作反馈、异常处理、按钮和页面的各种状态等做出设计;
第五步:自检测试,对线框图和交互设计进行自检,最好是用Axure等交互软件进行交互设计 *** 作,建立自己的自检清单;
第六步:输出PRD、线框图和交互设计稿。
四、设计范例
由于每个页面都要设计很耗费时间和精力,所以我只做简单地总结。(主要是我最近太忙了,没时间一点点的做)
以注册为例,注册通用流程:是填写手机号码——获取验证码——填写密码
1账号
11 账号有无格式的要求,如果只是手机号码,前端是否需要验证手机号码的有效性?
12 手机号码为纯数字,是否d出纯数字键盘方便用户快速填写及避免用户来回切换?
13 手机号码的数字如何呈现?哪种格式?
2验证码
21 验证码的格式,是四/六位数字验证码,还是英文+数字验证码,英文是否区分大小写?
22 按钮默认显示状态、用户输入信息后按钮颜色变化效果,该如何设计比较好?
23 倒计时如何设置?button还是label ?用哪个好?如何设计?
3密码
31 最少和最多字符设置,提示文字为“位”还是“字符”?如“请输入6-16位字母或数字”
32 密码是否要限制特殊字符?如“空格”、“/”等,为什么要限制?有没有安全方面的考虑?
33 密码设置好后,注册按钮如何变化?点击“注册”后,在网络较慢的情况下,页面和按钮如何响应,是否要加锁屏浮层+缓冲提示语?
4错误提示
41 错误时的报错提示文字是什么,提示格式是d窗、Toast、还是在当前页面文字显示?
42 Toast是没有焦点的,而且Toast显示的时间有限,过一定的时间就会自动消失。
43 d框会阻断用户 *** 作,需要手动点击确认以后才会消失。
44 在当前页面文字显示的话,提示文字摆放的位置,页面格式根据提示文字的变化,需要有怎样的视觉效果
5异常提示:
51 点击获取验证码,检测手机号已被注册,如无置灰设置,输入框为空,手机号码无效的情况,故需提示:
511 手机号已被注册,是否提示用户登录?
512 手机号不能为空,多次为空状态点击是否给出频繁 *** 作提示?
513 手机号码不正确,“请输入正确的手机号码”是不是比“手机号码错误”好些?
52 点击注册时,可能会有输入框为空,验证码无效等情况,如无置灰设置,故需提示:
521 短信验证码不能为空
522 验证码已被使用,然后给出什么 *** 作呢?
523 验证码已过期,过期了给出d窗吗?在d窗直接获取验证码?
524 验证码错误,弱提示?
525 验证码已达到最大尝试次数,最大是多少次?
6短信验证码
61 短信验证码一般通过第三方通道发送,在技术侧做规避,还需要在产品规则上做一定限制;
62 验证码的格式需要简单明了,如“880207,XX验证码。XXX”,请记住880207这个数字,这个很重要。(因为这是我的生日,当我生日的时候记得给我送礼物)
63 验证码的字数限制,4位或者6位纯数字。
7邀请码
71 注册是否为邀请注册?如是邀请注册,邀请码格式如何设计?
72 邀请码错误提示,填写了邀请的用户和没填的用户,在注册成功后有何区别?有邀请码的用户是否有奖励?
8注册成功后的提示、状态变更及页面跳转
81 注册成功后同时切换为登录状态,登录状态账号密码保存是否设置期限?
82 给予注册成功的提示并跳转到相应页面,目标页面状态如何是否有缓存,是否需要缓存?
83 之前是在需要token的页面跳转到注册页面的话,注册成功后需自动跳转回之前的页面
84 注册之前有第三方登录,用户注册后还需要用户绑定第三方账号吗?
五、其他注意事项:
1 输入框
11 手机号码输入框,手机号码显示一般是344格式,这样便于用户检查号码是否正确,如:186 1571 6306,请记住此手机号码,当我生日那天,你要送我礼物的时候,你会用到;
12 验证码输入框,长度一般比较短;
13 密码输入框,默认一般为密文显示,为了更好的交互可以设置明文显示按钮,最好只设置一次密码,为什么这样?
14 其他输入框,如邮箱、邀请码、昵称、个人信息等根据使用场景的不同自行设计;
15 不同的输入框需要有不同的提示内容和显示状态。
2按钮
11 按钮设计,提交按钮和文字按钮的位置和主次布局设计;
12 按钮状态的设计,不同的状态 *** 作都要考虑,默认置灰和高亮的条件,按钮置灰的意义何在?
13 按钮提交反馈,点击 *** 作要给出响应或反馈。
3验证码
31 验证码的格式,字母、数字、字符等,一般为数字4位或者6位;
32 验证码的有效时间,根据不同的产品设计不同的有效时间,在有效时间内的验证码 *** 作需要给出明确的反馈;
33 验证码的获取次数上限,技术限制和产品设s计限制同步,避免被无限制获取;
34 验证码获取时间,一般为第三方发送,但时间最好限定在55秒内让用户获取到(不要问我为什么是55秒,因为我也不知道)
35 验证码是怎么触发得到的?为什么有些设计为点击那妞页面跳转时获取,有些页面跳转后再次点击才能获取?为什么有不同?
36 触发后倒计时状态有何变化?重新获取验证码后,原验证码如何处理?
37 短时间内多次获取验证码是否还要给用户发送验证码?还是提示验证码已发送请输入?
4返回按钮
41 在注册、找回密码、第三方登录等 *** 作流程中,返回时需要特别注意点击返回后的 *** 作提示;比如注册手机的修改,验证码提交后设置密码等。
42 点击返回时,干扰了正常流程的 *** 作一般需要强提示,提示d窗注意文案和按钮文字设计
43 点击返回后,当前页面和目标页面状态是否变化?例如手机号码是置空还是显示已输入的手机号码?
44 浏览应用过程中进入登录页面,登录页面是否需要有返回按钮?
5虚拟键盘
51 虚拟键盘合适d出?触发条件是什么?
52 d出的虚拟键盘是什么类型的?数字键盘、字母键盘?系统自带输入法还是第三方输入法?
53 键盘上的"Go"按钮是否有变化?变成”完成“或者”登陆“等后点击有何交互?
54 键盘如何隐藏?怎么触发?自动隐藏?按键隐藏?
55 键盘上的删除按钮和一键清除按钮是否有区别?有何区别?
6异常提示
61 登录时,账户是否在其他设备登录,是否允许多端同时登陆?不允许同时登陆,之前登录设备的账户是否要下线?给出怎样的提示?
62 密码第一次错误怎么给出提示?第二次仍然输入错误提示是否需要强提示,给出找回密码的按钮?在d窗点击找回密码,手机号码在新页面是否需要重新填写?密码连续多次输入错误是否做出禁用限制?
63 注册流程中,检测到手机号码已经注册,是否可以继续获取验证码?然后验证直接登录免去页面跳转和输入密码?
64 找回密码和重置密码都有哪些区别?
65网络状态不好,都该给出怎样的反馈或提示?
651 用户所处环境网络信号不好(用户向服务器请求超时),是否需要检查用户的网络状态?还是只给出提示?
652 服务器没有正常接收请求或没有回复,给出怎样的提示较好?
653 手机停机,验证码、数据传输如何处理?
654 手机没开wifi或者流量,如何指导用户进行设置?
7第三方登录
71 昵称的长度设置,不同平台的账户昵称的长度要求不同,该如何获取?
72 绑定多个第三方账户,公开信息如何获取?公开信息不同如何处理?
73 用户使用第三方登录,是否还有绑定手机号码?
And so on……
六、总结
登录注册的设计涉及到很多方面,是最常见也是最容易被设计者忽视的地方。每一个元素的设计都要独立思考,不能照搬全抄,也不能异想天开,需要提前理解和思考,多想几个为什么,多问自己几个为什么?而在实际设计的过程中,需要重点考虑实际的应用场景。
暂时就写这么多吧,累死本座了,敲打这么多字,死了不少脑细胞。
七、苹果手机锁屏机制:
前面5次:前面5次输入错误密码时,手机会震动并提示密码不正确,但是可以继续输入,而且不需要任何等待时间。
第6次:第6次输错密码时,会显示“iPhone已停用,请1分钟后再输入一次”。在接下来的一分钟内,手机处于锁定状态,即使想输入正确密码,也无法输入。
第7次:第7次输错密码,显示“iPhone已停用,请5分钟后再输入一次”,5分钟内无法 *** 作;
第8次:第8次输错密码,15分钟内无法 *** 作;
第9次:第9次输错密码,60分钟内无法 *** 作;
第10次:第10次输错密码,显示“iPhone已停用,连接iTunes”。这种情况下,无论等待多长时间都没有机会再出现密码框,哪怕是一万年也不行。(如果你不相信这一条,请亲自验证一下。嘿嘿)
ps:最近在总结过去几个月从事产品工作以来的资料,上次说到要总结注册登录的设计,自己挖的坑哭着也要填完。
ps2:这些总结均源自于项目中一点一滴的总结,可能不是很完善,各位看客需留意。
一、登录从pc端到移动端
移动端的登录沿袭了pc端的很多经验,但也有其独特的演变。
1、pc端
11 pc端具有公共属性,输入密码是隐私,需要对密码进行保护;
12 pc电脑不可移动,如果是笔记本电脑可移动但使用场景也相对固定,网络环境较好设备稳定;
13 屏幕尺寸更大利于展示更多内容,一般全部信息在一个页面内展示;
14 鼠标键盘输入方便输入成本低;
2、手机端
21 手机设备本身具有私密性,用户在输入时,可对密码进行保护;
22 手机设备随身携带,网络环境不稳定因素较多;
23 屏幕尺寸小内容可能需要分多屏展示;
24 输入成本高,输入麻烦;
二、设计前思考
(目的)为什么要设计这个功能,(时机)什么时候需要注册,(必要性)是否一定需要账号体系,第二步,得了解这个功能前是什么业务,之后跳转到什么页面,从产品的整体角度回答这个问题。
三、注册登录设计的步骤
1、登录模式梳理和信息结构的设计;
2、梳理登录流程,把每一步都列出来,做好各种情况的梳理;例如:用户登录忘记密码忘记后,卖家如何找回。
3、交互设计1:画出每一步的简单线框图,对页面的元素进行初步布局;
4、交互设计2:对每个页面的页面元素、页面跳转、 *** 作反馈、异常处理、按钮和页面的各种状态等做出设计;
5、自行检查,可以制作高办真原型;
6、输出prd;
四、设计范例
主要以一款app手机号注册为案例,对上一步中的交互设计做出详细的说明。
1、账号
11 账号有无格式要求,如果是手机号,前端是否需要验证手机号有效性;
12 手机号那种格式,3-4-4格式还是普通格式;
13 手机号输入键盘是否d出?键盘是否为数字键盘;
14 如果为手机邮箱,是否需要输入提示?前端是否需要校验邮箱格式?
2、密码
21 格式:密码的字数限制?最多几位,最少几位?
22 有什么要求,是英文+数字还是可以包含特殊符号?如“空格”或者“@”等。是否区分大小写?
23 提示文字为“位”还是“字符”?如“请输入6-16位字母或数字”
33 密码输入框默认为密文还是明文,是否可切换
34找回密码和重置密码有何区别
3、验证码
31 验证码位数4位or6位?是数字还是英文+数字?是否区分大小写?
32 倒计时时长?是button还是label
33 验证码输入框一般比较短。
34 验证码的获取上限,有效时间,超过有效时间给出什么提示?
35 验证码的触发,为什么有些设计为点击那妞页面跳转时获取,有些页面跳转后再次点击才能获取?为什么有不同?
36 验证码倒计时状态有何变化?重新获取后,原验证码怎么处理?
37短时间内多次获取验证码是否还要给用户发送验证码?还是提示验证码已发送请输入?
4、错误提示
41 报错是的报错文字是什么?提示格式是d窗、Toast、还是在当前页面文字显示?
42 Toast是没有焦点的,而且Toast显示的时间有限,过一定的时间就会自动消失。
43 d框会阻断用户 *** 作,需要手动点击确认以后才会消失。
44 在当前页面文字显示的话,提示文字摆放的位置,页面格式根据提示文字的变化,需要有怎样的视觉效果?
5、异常提示
51 点击获取验证码,检测手机号已被注册,如无置灰设置,输入框为空,手机号码无效的情况,故需提示:
511 手机号已被注册,是否提示用户登录?
512 手机号不能为空,多次为空状态点击是否给出频繁 *** 作提示?
513 手机号码不正确,“请输入正确的手机号码”是不是比“手机号码错误”好些?
52 点击注册时,可能会有输入框为空,验证码无效等情况,如无置灰设置,故需提示:
521 短信验证码不能为空
522 验证码已被使用,然后给出什么 *** 作呢?
523 验证码已过期,过期了给出d窗吗?在d窗直接获取验证码?
524 验证码错误,弱提示?
525 验证码已达到最大尝试次数,最大是多少次?
53网络状态不好,给出怎样的提示和反馈?
54手机没开wifi或者流量,是否/如何指导用户进行设置?
55服务器没有正常接收请求或没有回复,给出怎样的提示较好?
56用户所处环境网络信号不好(用户向服务器请求超时),是否需要检查用户的网络状态?还是只给出提示?
57注册流程中,检测到手机号码已经注册,是否可以继续获取验证码?然后验证直接登录免去页面跳转和输入密码?
58密码第一次错误怎么给出提示?第二次仍然输入错误提示是否需要强提示,给出找回密码的按钮?在d窗点击找回密码,手机号码在新页面是否需要重新填写?密码连续多次输入错误是否做出禁用限制?
59登录时,账户是否在其他设备登录,是否允许多端同时登陆?不允许同时登陆,之前登录设备的账户是否要下线?给出怎样的提示?
6、短信验证码
61 短信验证码一般通过第三方通道发送,在技术侧做规避,还需要在产品规则上做一定限制;
62 短信验证码的文本格式,
7、邀请码
71 注册是否为邀请注册?如是邀请注册,邀请码格式如何设计?
72 邀请码错误提示,填写了邀请的用户和没填的用户,在注册成功后有何区别?有邀请码的用户是否有奖励?
8、注册成功后的提示、状态变更及跳转
81注册成功后同时1切换为登录状态
82给予注册成功的提示并跳转到原网页,原页面是否需要缓存?
83注册之前有第三方登录,用户注册后还需要用户绑定第三方账号吗?
9、输入框
91手机号账号,显示格式为3 4 4 格式还是一般格式?
92验证码输入框一般比较短。
93密码输入框默认为密文还是明文,是否可切换?需要切换
94其他输入框,如邮箱、邀请码、昵称、个人信息等根据使用场景的不同自行设计;
95 不同输入框的提示内容和显示状态
96是否需要一键清除按钮“x”,何时显示这个按钮?点击后虚拟键盘是否需要缩回?
10、按钮
101按钮的位置,长度、文字
102按钮的设计,不同状态也要考虑。默认灰置还是高亮?灰置的条件是什么?
103按钮提交反馈,文字是否需要变化
11、返回按钮
111 在注册、找回密码、第三方登录等 *** 作流程中,返回时需要特别注意点击返回后的 *** 作提示;比如注册手机的修改,验证码提交后设置密码等。
112 点击返回时,干扰了正常流程的 *** 作一般需要强提示,提示d窗注意文案和按钮文字设计
113 点击返回后,当前页面和目标页面状态是否变化?例如手机号码是置空还是显示已输入的手机号码?
114 浏览应用过程中进入登录页面,登录页面是否需要有返回按钮?
12、虚拟键盘
121虚拟键盘何时d出?触发条件是啥?
122虚拟键盘的类型根据表单不同而不同
123虚拟键盘上的GO是否有变化?变成“完成”还是“登录”?
124键盘何时隐藏?如何隐藏?
13、第三方登录
131 昵称的长度设置,不同平台的账户昵称的长度要求不同,该如何获取?
132 绑定多个第三方账户,公开信息如何获取?公开信息不同如何处理?
133 用户使用第三方登录,是否还有绑定手机号码?
134 登陆后是否需要完善账号资料,如手机号?
电子税务局登录获取验证码显示数字加减法是一种防止恶意程序破解验证码的设计,用户需要将加减法的结果输入到验证码框中才能通过验证。
如果您输入了正确的验证码结果后仍然无法登录电子税务局,可以尝试以下解决方法:
1 检查账号、密码是否正确:确保您输入的账号、密码是正确的,并且没有输错字母或大小写等信息。
2 检查网络连接是否正常:检查网络连接是否正常,特别是对于公共网络,例如咖啡厅、酒店等地方的Wi-Fi可能会存在不稳定的情况,建议更换网络环境后再进行登录尝试。
3 清除浏览器缓存和Cookie:有时候浏览器缓存和Cookie可能会出现问题,导致无法登录,清除浏览器缓存和Cookie后再次尝试登录。
4 更换浏览器尝试:有时候浏览器版本过低或者有兼容性问题可能会影响登录,可以更换其他浏览器尝试进行登录。
如果以上方法都没有解决问题,建议您联系电子税务局客服,提供详细的信息说明问题,以便客服人员帮助您解决问题。
MAC AxureRP9 登录获取验证码倒计时
1 效果要求
在很多系统中需要获取短信验证码,当点击“获取验证码”按钮时,该按钮所显示的文本就在以倒计时的方式进行显示,在倒计时期间,按钮颜色变灰,倒计时结束后按钮文本变成“重新获取验证码”。各种 *** 作时的效果截图如下:
2 AxureRP版本
MAC AxureRP 9003677
3 *** 作步骤
31 第1步
新建一个页面(页面名称为短信验证码倒计时),从元件中拖一个button和一个动态面板,button命名为GetButton,动态面板命名为LoopPanel,且对对动态面板增加一个状态:State2。设计好后在“概要”中的效果如下图:
32 第2步
创建一个全局变量,变量名为TimeValue,菜单栏-->项目(P)-->全局变量:
第1步与第2步不分先后,可以互换。
33 第3步
为按钮“GetButton”设置禁用状态的交互样式,填充颜色为灰色,设计好的效果如图红框所示:
这一步的设置步骤如下:选择“新建交互”,找到“:禁用”,在d出的对话框中设置“填充颜色”:
34 第4步
设置按钮GetButton,设置好的效果如图所示:
实现上述效果的设置 *** 作如下:
在“新建交互”-->“单击时”-->“设置面板状态”-->选择“LoopPanel“,设置如下图,点击确认。
继续,在图中选择“+”,在d出的“添加动作”-->“启用/禁用”-->“GetButton”-->“禁用”:
35 第5步
设置动态面板,设置好的效果如图所示:
这一步 *** 作时要比较注意,RP9与RP8差别很大。
“新建交互”-->“状态改变时”-->”添加动作”,这里不要添加任何动作,因为我们是要添加条件(英文版为case),而“添加动作”中没有。此时的效果如下图所示,在下图中点击“启用情形”才可以添加条件。
351 条件1
点击“添加条件”:
3511 动作1-设置变量值-1
在此条件下设置值的变化,点击图中+号“添加动作”-->“设置变量值”:
3512 动作2-重设按钮显示文字
设置倒计时时按钮GetButton上显示的内容,点击图中+号 添加动作-->”设置文本”:
352 条件2
参照条件1,点击“启用情形”,创建“情形2”,此时不“添加条件”。
点击“确定”后效果如图,在情形2种点击+号添加动作。
3521 动作1-按钮文本变为重新获取验证码
设置倒计时结束后GetButton按钮上显示的文字变为“重新获取验证码”: 添加动作-->”设置文本”:
3522 动作2-重置变量值
重置变量的值:添加动作-->设置变量值:
3523 动作3-置按钮为启用
设置GetButton按钮为启用:添加动作-->设启用/禁用启用:
3524 动作4-停止循环
添加动作-->设置面板状态-->LoopPanel,STATE选择:停止循环
以上就是关于怎么截获别人的验证码全部的内容,包括:怎么截获别人的验证码、网页设计中添加验证码功能的意义、北大青鸟设计培训:解决WEB性能测试中的验证码问题等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)