微信公众号强制绑定“扫码登录”:体验和安全到底哪个更重要?
4月5日消息,微信团队发布公告称,为了加强微信公众号账号安全,微信公众平台即日起将逐步为公众账号开启登录保护,且不能关闭。由于登录保护无法关闭,在7月来临之际,如今的所有账号每次登录都需要强制扫描二维码。
根据Techweb的报道称,2016年3月21日,部分微信公众号运营者反映遇到一种新型的公众帐号盗号方式:先投诉你的微信公众号,然后将投诉的问题描述为一个钓鱼网站,当你点击该链接后在浏览器填写帐户和密码,你的公众号就被盗了。
在微信官方的后续查验中发现,中招的微信公众号都没有开启帐号保护。而这也直接成为微信官方强制开启登录保护的导火索。而这样一道门槛设定之后,未来即使账号被盗走,别人也会因为无法扫码从而没办法登录微信公众号后台,进行一系列相关的操作,而微信官方也最终成功保证了用户的账号安全。
用户的自主选择权到底重要不重要?
此次我反感微信强制出台“扫码登录”功能的主要原因在于,「这是一个没有提供选择而强制推行的操蛋选择」。不错,一些估值过亿的微信公众号他们确实需要保护,一旦这些账号被盗,发布一些垃圾、敏感信息,这无疑会给平台和运营者带来极大的风险和损失。
但关键的问题在于,绝大多数微信公众号并没有这么高的估值。就拿我个人来说,我的微信公众号粉丝数相比那些大号来说,根本可以忽略不计,平时也就是发一些自己写的稿子,绝大多数时候都当成是博客在使用,而且也没有估值的概念。
现在微信为我安全考虑之后,我必须每次登陆的时候,都要拿手机扫码一下,这造成的困扰可以说非常大。确实微信想要平台变得更安全,但大可以采用一些远比“强制扫码”登陆简洁的方法。例如登陆之前,需要运营者在微信上点一下确认。这是不是比所谓的“扫码登陆”要来的简洁的多?
做产品时往往是用户需求和公司需求两个层面的博弈,微信强制开启扫码这显然是一种公司需求,一定程度上其实损害了用户的利益,但只是因为用户的弱势地位和缺乏选择权,其不会受到任何不良的后果。 微信平台足够强大,强大到用户没办法反对,但这种“强制性”到底有没有彰显出对用户的一种不尊重。 曾几何时,微博就因为强制升级,损失掉不少用户的悲剧还历历在目。
用户的自主选择权,在我看来可能远比安全性来的更加重要些。需要保护的开,不需要的不用开,而不是所有的账号都以一种可能令人无法忍受的方式强制开启。
少数就应该坚决服从大多数吗?
对微信来说,平台是自己的,想要怎么保护都无可厚非,但给用户带来的困扰却值得深思。微信的整体逻辑说白了就是,小部分人要照顾大部分人的利益,相比小部分人操作上的便利性,大部分人的安全性可能更加重要。
下面这段话或许是绝大多数用户的心声,每次登陆都需要扫码,这确实一定程度上牺牲了便利性,但从安全性角度来看,大家都觉得可以接受。
你没有经历过被盗号的风险,不知道账号安全保障的重要性。每次登陆都需要扫码,并且一个微信号只能对应绑定5个微信公众号 (或是管理者,或是运营者) ,确实给那些组织、团队、公司化运营的账号造成了不便,但对占大多数的个人运营微信公众号其实影响并不大。微信作为一个平台,更多需要考虑的是大多数使用者的体验。牺牲1%使用者的便利,保障99%账号的安全性,显然后者更加重要。
然而问题在于,微信官方给出的理由过于冠冕堂皇了,「部分用户安全意识仍较薄弱,近期平台对存在盗号风险的帐号开启登录保护后,运营者仍进行了关闭,盗号者仍能恶意使用帐号」。
这里我们需要思考的一个关键问题就在于,为何这些「部分」运营者在平台开启登录保护后,仍然选择了进行关闭?为何还有更多的「大多数」没有选择登录保护?他们显然知道存在账号被盗风险的,但他们仍然选择了不保护。背后的道理其实很简单,这主要是因为每次账号登录之前都需要进行扫码的操作步骤着实过于繁琐。
然而问题在于,事实上的情况远非少数人的安全性那样简单。根据早前新榜的估算,现在的微信公众号数量大概在1300万左右,但三分之一已经成为僵尸号。随着微信红利的消失,越来越多的个人运营者已经开始在放弃运营公众号。
而事实上一个更加尴尬的问题在于,在当下所有活跃的公众号中,企业或机构主体的公众号占比已经高达72.7%。这意味着微信平台眼中的「多数」其实已经变成了「少数」,在用户便利性和安全性上,腾讯应该做的是如何找到一种平衡,而不是简单粗暴的强制扫码登录。
监管不善却通过牺牲用户便利性买单
强制扫码登录眼下带来了一个巨大问题:没办法在手机上登录微信公众号进行操作。在以前,我们编辑好的素材出现一些问题,身边没有电脑,原本这个时候可以使用手机进行登录,然后进行后续的一系列排版编辑操作。
但现在因为必须要扫码验证后才能登录,而微信公众号新的二维码又没办法像之前那样可以保存到手机后,再用微信识别二维码。这直接导致,必须使用自己的手机扫码,要知道毕竟很少有人有两部手机,而最终结果就是没办法用手机登录微信编辑素材。
此外涉及到各种管理员信息变更,运营人员微信绑定的问题,基本也会是不胜其烦。不久前,我遇到的一件尴尬的事情,就是之前微信公众号用的是一个微信小号绑定的,后来因为这个微信号长期没有使用过,导致更换新设备后,账号因为是在新设备上登录的,所以需要好友验证。但账号根本就没有好友,最后只能不胜其烦的走官方申诉通道。这个发生在我身上的问题,可能并不是偶然事件。
扫码登录绝对一定程度牺牲了便利性,至于安全性确实得到了保障。但这背后最大的问题可能并不是那些盗号者的手法高超,而是微信自身的监管不善。
在账号安全风险问题上,我们常见的一个风险就是“异地登录”,当账号被在陌生区域首次登录的时候,系统一般都会发出提醒,或者需要通过手机号码进行多次验证。但在登录微信公众平台时,我却从来没有看到过有这样的提醒。事实上,只需要微信能够做好这点,被盗号的风险将可能会大大降低。
而且让我极度困惑的是,微信公众号看上去并没有记录功能?要知道即使支付宝这种和用户财产息息相关的账号,能够通过用户登陆设备的变化,而识别出可潜在能存在的风险。而微信公众平台却并不支持这种验证功能。即使你用同一台电脑,使用同一个IP地址访问,微信公众号后台也仍然需要每次都扫码。
微信公众号背后有数十万的粉丝,被别人盗号之后群发消息,这可能会带来巨大的损失。我们身边有不少曾被盗号的朋友都经历过这些。但微博其实也存在类似盗号的风险,然而我们却并没有看到微博出台一个强制性保障用户账号安全的措施;如果再延展到所有平台上来,支付宝、京东、淘宝、邮箱.....这些账号的价值巨大的平台,也没有看它们出台过一个类似微信公众平台的强制性保护措施。
类似的账号保护细节还有很多,这令我不得不怀疑的一件事——微信官方在账号安全保护上做的并不出色。而这种不出色,最终结果则是通过牺牲用户的便利性加强了安全性,但这好像并不是一个大平台应该做的事情。
最后提个建议,其实在登录的时候,直接管理员通过微信一键确认,这比起略显多余的强制扫码登录后,再确认看上去体验要好的多。
微信号:lijunhust
本文由 授权 虎嗅网 发表,并经虎嗅网编辑。转载此文请于文首标明作者姓名,保持文章完整性(包括虎嗅注及其余作者身份信息),并请附上出处(虎嗅网)及本页链接。原文链接:http://www.huxiu.com/article/154824/1.html
未按照规范转载者,虎嗅保留追究相应责任的权利