1 安全的意義與內(nèi)涵

在金融三性風(fēng)險、收益和流動性中，風(fēng)險性始終要放在首位考慮。對于互聯(lián)網(wǎng)金融產(chǎn)品，可以沒有炫酷的交互，可以沒有各種時尚前衛(wèi)的設(shè)計風(fēng)格，但一定要具備安全性。作為一個互金產(chǎn)品，要時刻意識到錢是用戶的命，并把“安全”二字置于心中，掛在嘴上，畫在原型里，寫在文檔里，最后做在產(chǎn)品中。其他互聯(lián)網(wǎng)產(chǎn)品可以對外宣稱我們是“小步快跑快速試錯”，但互金產(chǎn)永遠(yuǎn)要說“我們是安全的！”

“互金產(chǎn)品風(fēng)險”這一概念具有非常豐富的內(nèi)涵。從大的方面說，互金產(chǎn)品風(fēng)險囊括了平臺安全、數(shù)據(jù)安全、交易風(fēng)險、操作風(fēng)險等。從小的方面說，包含用戶個人賬戶的資金安全和操作安全等。本文不打算從宏觀的角度去討論，而將側(cè)重從個人用戶的角度展開，這與互金PM們的日常工作密切相關(guān)。（宏觀層面的風(fēng)控請參考本人文章《互聯(lián)網(wǎng)金融風(fēng)控基礎(chǔ)知識》）

本文提及的互金“產(chǎn)品”，主要指支付類、投資理財類（含各種互聯(lián)網(wǎng)證券、P2P、互聯(lián)網(wǎng)基金等）、借貸類終端（web/app）等。本文探討風(fēng)控點包括：（1）財務(wù)隱私泄露風(fēng)險，例如被陌生人看到。（2）賬戶被盜風(fēng)險，例如被撞庫。（3）資金被盜風(fēng)險。銀行卡被盜刷，資金被轉(zhuǎn)入到其他賬戶了。（4）產(chǎn)品邏輯漏洞。如找回密碼需要接收短信驗證碼，但手機號碼又被注銷。

本文試圖通過思考涉及到“安全”的場景，梳理在設(shè)計互金產(chǎn)品時需要考慮的各個維度。歡迎大家討論。

2 安全相關(guān)場景

2.1 注冊/登錄

注冊/登錄是使用一個互聯(lián)網(wǎng)產(chǎn)品的基本初始場景。注冊登錄時主要需防止被惡意攻擊。出現(xiàn)異地登錄或者在其他設(shè)備登錄，則需通過下發(fā)短信提醒用戶。（短信推送場景的闡述參見本人的《一文搞懂互金產(chǎn)品消息推送設(shè)計策略》）常用注冊過程中需要獲取短信驗證碼，對于短信驗證碼在下方的產(chǎn)品需求中闡述。

2.2 密碼操作

密碼操作一般包含找回密碼、修改密碼、設(shè)定與修改交易（或支付）密碼。（1）.密碼操作首先在于邏輯上的自洽與閉環(huán)，不能讓用戶進(jìn)入“死胡同”。（2）.為防止被撞庫，在修改密碼時應(yīng)當(dāng)設(shè)置驗證。驗證方式包括短信或郵箱驗證。一般的產(chǎn)品中為提高用戶體驗，通常是直接輸入原密碼，再輸入新密碼。但此時如果用戶在登錄時已被撞庫，則進(jìn)入賬戶后，賬戶可能被直接修改密碼。通過設(shè)置驗證碼的形式，有助于顯著提高安全性。（3）.一般來說，銀行卡的取現(xiàn)密碼與互金產(chǎn)品中的支付密碼均為6位數(shù)字。因此當(dāng)用戶在設(shè)置交易/支付密碼時，要提醒用戶請勿設(shè)置與登錄密碼相同的密碼，勿設(shè)置簡單的交易/支付密碼。用戶實名后，設(shè)置交易密碼是身份證號中的年月日則提醒甚至禁止該類設(shè)置。

2.3 資金操作

資金操作相關(guān)涉及到充值、提現(xiàn)、賬戶間轉(zhuǎn)賬、支付和投資等行為。（1）.充值、提現(xiàn)在于保證同卡進(jìn)出。（2）.事前控制，保證用戶資金在轉(zhuǎn)賬支付時安全。轉(zhuǎn)賬時需提醒用戶確認(rèn)對方賬戶，防止因誤填轉(zhuǎn)賬方所導(dǎo)致的誤轉(zhuǎn)賬。（3）.在用戶掃描二維碼支付時，提醒用戶不要掃描來歷不明的二維碼，對可疑二維碼進(jìn)行提示和攔截。

2.4 賬戶操作

互金產(chǎn)品中往往無法避免用戶對賬戶的變更操作，如更換/解綁銀行卡。此時需要慎重的進(jìn)行操作。如某平臺在更換銀行卡，需要用戶遞交手持身份證拍攝的照片。或者某些平臺需進(jìn)行銀行卡號、四要素驗證。雖然用戶提交紙質(zhì)資料和銀行證明材料這一方式很不“互聯(lián)網(wǎng)化”（讓用戶很麻煩），但符合“安全“的特性，保障了用戶的資金安全。

2.5 隱私保護(hù)

由于互金產(chǎn)品涉及到錢財，因此將更加注重隱私保護(hù)。（1）進(jìn)入限制。啟動產(chǎn)品時，需通過設(shè)置指紋密碼或者手勢密碼防止非本人任意查看賬戶。（2）隱藏顯示。互金產(chǎn)品中有用戶個人信息與資金信息。在使用時，為防止相關(guān)信息意外被人窺探到，一些地方需進(jìn)行全部/部分隱藏顯示處理。密碼輸入時需要隱藏顯示。賬戶可用余額可展示/可隱藏。個人電話號碼、身份證、銀行卡號均需部分隱藏顯示。

3?安全有關(guān)產(chǎn)品需求

通過梳理安全相關(guān)的場景，則可衍生出安全相關(guān)的一些產(chǎn)品需求，從而針對性打造一些和安全相關(guān)的產(chǎn)品功能點。

3.1 手勢/指紋解鎖

手勢/指紋解鎖用于保護(hù)用戶隱私和資金安全。該功能在啟動移動終端、打開用戶賬戶界面、支付轉(zhuǎn)賬過程中使用，是一個較為基礎(chǔ)的產(chǎn)品功能需求。大部分互金產(chǎn)品都設(shè)置有手勢/指紋解鎖功能，形成了安全的第一道“堡壘”。

3.2 常用登錄設(shè)備

伴隨移動設(shè)備擁有量的不斷增長，一個人同時擁有2個甚至更多的移動終端不再罕見。因此一個賬號存在在多個設(shè)備登錄的情形。

為了防止自己的互金賬號在別人的設(shè)備登錄（該設(shè)備屬“不常用登錄設(shè)備“），引入了常用登錄設(shè)備的概念。當(dāng)在不常用的設(shè)備登錄時，需要進(jìn)行驗證。驗證的形式通常為短信驗證碼驗證。同時，用戶本人可以查看管理自己的常用登錄設(shè)備，通過刪除/報告不常用的登錄設(shè)備，防范安全風(fēng)險。

3.3 環(huán)境安全檢測

登陸IP是否已更換、常用登錄所在地是否變更（地理柵欄技術(shù)）、終端是否被病毒攻擊脅持、安全證書是否與設(shè)備一致，這些因素均會對資金操作、賬戶操作產(chǎn)生風(fēng)險。因此在用戶支付、提現(xiàn)、修改登錄密碼、修改支付密碼時均應(yīng)對環(huán)境安全考慮。如支付寶App在修改密碼時，會有一個智能安全檢測過程。如果檢測通過身份驗證，則提示用戶可以直接進(jìn)行修改密碼。否則需要輸入短信驗證碼然后修改密碼。

3.4 短信驗證

短信驗證碼本身并不算產(chǎn)品上一個獨立的產(chǎn)品功能，但由于其便捷性，廣泛用于注冊、修改密碼、身份識別等場景下的安全驗證。正是由于用處多，短信極易被當(dāng)成“突破點”，PM應(yīng)充分的重視。入侵者通過源源不斷的請求短信接口，干擾了正常的短信下發(fā)且大量消耗短信服務(wù)費。所以在前端層面和邏輯層面需要制定應(yīng)對之策。防止措施包括采用圖形驗證、IP請求限制、IP地址與手機號碼地理位置映射等。（詳細(xì)參見《互聯(lián)網(wǎng)金融風(fēng)控基礎(chǔ)知識（一）》一文）

3.5 面部識別

面部識別有助于提升產(chǎn)品使用的便捷性，同時提升產(chǎn)品的科技感。目前在支付寶移動客戶端已經(jīng)采用了面部識別技術(shù)用于登錄場景。最近隨著iPhone X面部解鎖的推出，相信未來越來越多的互金產(chǎn)品會引入面部識別功能這一安全、便捷的防范措施。

（iPhone X Face ID官方介紹）

3.6 安全中心

為了給用戶更全面的安全服務(wù)，目前越來越多的互金產(chǎn)品將安全相關(guān)的功能整合在一起，形成一個獨立的模塊“安全中心”。安全中心包含了密碼管理、幫助中心、常用設(shè)備、安全保險服務(wù)等內(nèi)容。同時一些產(chǎn)品將“安全體檢評分”這一概念帶入到了自己產(chǎn)品中，類似PC端的360安全衛(wèi)士。下圖從左到右分別為微信、支付寶和銅板街APP的安全中心。

以上談到的安全相關(guān)產(chǎn)品需求并不是一下就完成開發(fā)上線的，根據(jù)需求功能的緊急程度和重要性和開發(fā)資源，由產(chǎn)品經(jīng)理制定出對應(yīng)的迭代計劃。

4 視覺層面的安全

先舉個栗子。當(dāng)你進(jìn)入到一間房子的時候，如果房間里各個地方都是裝修考究收拾整潔，給人傳遞的是富有、值得信任的氣息。反之臟亂差則讓感覺無法信任。視覺層面的信息的傳達(dá)顯得非常重要。互金產(chǎn)品的設(shè)計務(wù)必傳遞出“我家里很安全很溫馨，到我家來住吧！”這樣的蘊意。因此在設(shè)計互金產(chǎn)品時，各處細(xì)節(jié)的深耕傳遞一種“安全”的信息顯得越來越重要。下文來梳理下各種設(shè)計細(xì)節(jié)。

4.1 首頁首屏

首頁是用戶接觸產(chǎn)品的第一屏。無論是在移動端還是PC端，進(jìn)入首頁后第一屏就展示平臺相關(guān)的安全信息，有助于幫助用戶快速建立信任感，特別是對于那些投資理財類的產(chǎn)品。

4.2 刷新操作與頁面底部

在視覺層面的設(shè)計，除了首頁首屏，還可以從某些細(xì)節(jié)入手。如在下拉刷新時，出現(xiàn)提現(xiàn)安全的字樣或元素，如下圖某平臺的“銀行存管 安全保障”字樣。同時，較多的產(chǎn)品充分利用頁面底部，展示平臺相關(guān)安全保障，用戶購買信息等元素。

4.3 資金操作頁面

涉及到資金操作的地方（如充值、投資頁面），用戶總會“提心吊膽”。通過頁面文字提示直接向用戶傳達(dá)“我這里很安全，大膽的充值、轉(zhuǎn)賬、投資吧！”的涵義，有助于用戶快速完成投資、支付等決策。

4.4 圖標(biāo)設(shè)計

互金產(chǎn)品天然與金融掛鉤，與錢相關(guān)。因此，采用與錢相關(guān)的“盾牌”、“對勾”、“錢幣”等設(shè)計元素，可以增強用戶對平臺安全的認(rèn)可。在頁面加載過程中或者頁面下拉時等處采用此類圖標(biāo)設(shè)計。

補充一句，以上提及各處設(shè)計也并非處處都要提現(xiàn)，視自己平臺而定。如果顯示過多，則是一種設(shè)計上的濫用，甚至有種“做賊心虛”的感覺。

5 其他“安全”的因素

除了上面提到的安全相關(guān)產(chǎn)品需求、視覺層面的安全，在更加宏觀的尺度上，產(chǎn)品經(jīng)理需和其他崗位人員一道努力推動，形成一個足夠安全，值得用戶使用的互金產(chǎn)品。

其他因素包括但不限于：（1）增加平臺本身的品牌背書；（2）引入第三方資金存管；（3）按照監(jiān)管規(guī)定對相關(guān)投資借貸支付等基本信息的披露；（4）提升平臺技術(shù)數(shù)據(jù)安全；（5）引入電子簽章（所有的協(xié)議或合同都是云合同的形式存于第三方機構(gòu)）；（6）保險公司賬戶安全資金安全擔(dān)保（錢損失了大不了讓保險公司賠你哦，如下圖）等。提醒用戶我們已經(jīng)為你購買了保險。

對于前文提到的各個維度，有些是技術(shù)實現(xiàn)層面上的，有些是產(chǎn)品層面上的。產(chǎn)品經(jīng)理要重點把握涉及產(chǎn)品層面上邏輯規(guī)則的制定。當(dāng)然，對于互金產(chǎn)品“安全“保衛(wèi)戰(zhàn)永遠(yuǎn)是一場不停歇的戰(zhàn)爭，只有通過不斷分析、打磨產(chǎn)品細(xì)節(jié)，提升技術(shù)實力，才會讓我們的產(chǎn)品更加安全。

聲明：文章中涉及截圖的平臺/產(chǎn)品與本人無任何利益關(guān)系，也不構(gòu)成投資建議，僅為文章撰寫舉例。市場有風(fēng)險，投資需謹(jǐn)慎。(點收藏按鈕的時候，不要忘了順手點下喜歡按鈕哦~)

---

本文由PMCAFF會員?@游俠兒?原創(chuàng)發(fā)布于PMCAFF產(chǎn)品社區(qū)（www.pmcaff.com），未經(jīng)許可，禁止轉(zhuǎn)載。

游俠兒：擅長數(shù)據(jù)分析，關(guān)注互聯(lián)網(wǎng)金融與大數(shù)據(jù)。可關(guān)注公眾號（游俠兒）或本人微信交流。

總結(jié)

以上是生活随笔為你收集整理的打造一款安全的互金产品时，需要考虑什么的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。