曾经接到过一个客诉:B 用户登录产品后发现用户信息不是自己的。经了解,B 第一次使用我们的产品,通过短信验证码登录后发现用户信息是 A 的,很是担心,于是电话客服。通过对比 B 提供的手机号入网时间和该手机号对应帐号的注册时间,判断这是一个二次放号问题。运营商将不用的号码回收后重新投放市场本属正常,但可能带来如下问题:
## A用户
对于 A 用户,如果忘记登录密码,将无法直接登录。在产品侧,登录密码是必要的,对于某些产品甚至需要强制用户设置,因为短信验证码登录虽然方便,但受运营商网络环境、短信通道、手机不在身边等影响可能不能及时收到验证码。要找回(重置)登录密码,常见的验证身份方式包括短信验证码,而此时手机号已经属于 B,因此产品需要提供其他验证方式,包括但不限于邮箱(前提是用户已绑定邮箱,可见引导用户完善信息的重要性)、业务信息、人工处理等。
如果 A 记得登录密码,但因为在异地或新设备上登录触发风控规则,需要二次验证(支付密码也是一种二次验证),二次验证不能仅依赖验证码,需要提供其他方式,因为 A 已经没有手机号的使用权。当 A 登录进去后,势必要修改手机号,而修改手机号流程中的验证身份方式也不能只有验证码。
## B用户
对于 B 用户,如果 A 已经提前改过手机号,不会有那么多问题,B 正常注册使用产品(同时不知道 A 的存在),但如果 A 没改,B 在注册时就会被提示已注册,此时有两种情况:
一是 B 明确知道自己没用过该产品,继续注册,注册完成后手机号自动和原帐号解除绑定,如果那个帐号只有手机号一种登录要素,A 后续将无法登录,有赖人工支持,因此产品最好支持邮箱 + 密码、用户名 + 密码等多种登录方式并引导用户完善相关信息。在 B 注册的过程中,产品侧还会做些限制,比如一个手机号 90 天内只允许被解绑 1 次,以应对恶意注册、羊毛党等问题。当然也有一些产品比如支付宝是不允许 B 用那个手机号再注册新帐号的(在 A 改完手机号之前),这个处理见仁见智。
二是 B 不太肯定,选了去登录,但因为不知道密码所以开始找回,通过短信验证身份后设置了新密码,登录后发现用户信息不是自己的。对于此种情况,产品侧的问题在于没有增加二次验证,当我们发现有人在非常用环境(异地、新设备等)下找回某帐号的登录密码时需要加验其他信息。随着手机(含实名制)的普及,很多产品在密码登录之外也支持短信验证码登录,甚至主推验证码登录,此时也要保证触发二次验证,否则 B 用户还是会登录到 A 用户的帐号中,继而发现用户信息不是自己的。
## P.s.
以上就是二次放号对 A 登录 B 注册的影响。二次放号是一个长期问题,即使运营商将号码回收信息持续同步给我们,也不能完全解决,因为我们不能保证通知到所有 “A 用户”,同时通知到的 “A 用户” 能及时修改手机号。作为消费者,没事别换号,如果因为一些原因确实需要换,那注销旧号码之前请将所有在用产品的帐号信息全部更新一遍,避免后续给自己带来可能的信息泄露风险以及信息更新障碍,不是所有产品的流程都是那么完善的。