如今,外部互联网应用等认证体验愈加便利,手机/PC随意登,二维码扫描认证、微信微博绑定认证、手机号邮箱认证——多种方法层出不穷,用户想怎么登就怎么登;回来登录学校信息门户,单一的学号密码,粗糙的用户界面,怎么看怎么不爽!怎么办?统一身份认证平台如何迎合移动互联网时代师生使用习惯的改变,带来更爽的用户体验?
从访问者的使用过程出发,无非几种在两个方向上,一是用户登录认证的过程体验,二是个人的账号管理体验。下面就从这两个方向分别展开:
首先,我们来盘点一下几种常见的登录方式。
目前学校最常见的登录方式是输入学号和密码进行登录。也有许多学校采购了RTX作为校内的即时通信平台,将RTX与统一身份认证平台集成后,可以用RTX直接验证登录,即默认通过IE浏览器访问校内资源无需再验证。
然而,我们再从用户角度来看看学生和老师们喜闻乐见的登录方式。
如今,移动互联网已经大大的改变了人们的学习工作习惯,大学生对手机的依赖从每天6小时延长至更长的时间,QQ、微信、微博等主流即时工具占据了大学生活。教师大量化使用微信,90后的学生群体却多活跃于QQ中。其他很多的新兴网站或APP都依附与这几个主流平台进行绑定登录,减少用户记忆新账号密码的负担,而使得“QQ绑定登录、微信绑定、微博绑定登录”成为了主流的登录方式。——采用这种绑定登陆方式,无疑让用户感受到了校园内部信息化与互联网应用的融合,突破了校园林立的围墙,使得校园应用的亲和力大大增强,好感度直线飙升!
对于即不用QQ、微信,又懒得记密码一族,提供“手机动态密码认证方式”则是一种非常便利的方式。每次登录都生成动态密码发到绑定的手机短信中,这种方式不留任何痕迹,保密性也非常好,尤其对关键岗位的人群尤为奏效。
除此之外,采用别名、手机号、邮箱账号登录,作为学号登录的增补,也可以良好的应对不同人的登录习惯。当然,如果想要追求登录方式的全面性,还可以有“二维码扫描登录、学校微信服务号登录”等多种方式。
以上林林总总的认证方式,要能一网打尽,让师生们根据各自的喜好来自由选择,软件提供商还真得下一番苦功夫。
让我们分析一下个人账号安全隐患的几个典型场景:
1、账号共享,暴露个人隐私
统一身份认证的账号虽为个人所私有,但是遇到“年终成绩登分”等大工作量的事件,还是需要由学生来帮助教师共同完成。如此不得已的情况下,教师难免需要把个人账号共享给学生,由此带来的恶果便是学生对老师各个业务系统的信息一览无余,连个人的工资信息也一并暴露了。
【解决】可以参照“对专门的文件夹上锁”的方法,为不同的业务应用配置“二次登录密码”,对于关键业务应用进行二次准入,保障了关键应用与数据的安全性。这样既可以让学生参与或协助相关的工作,又可以有充分的隐私保护。
2、别处登录,忘记注销
“别出登录,忘记注销”,比较常见的一种情况便是因为工作需要在别的办公场所借用电脑登录业务系统,临走忙着忙着却忘记了注销。如果不幸IE还启动了用户名和密码自动记忆功能,那么你的账号变公布给借你电脑的哪位仁兄了!
【解决】目前常见的技术是进行单点登录的检测,即设置同一时刻只有一个登录端。不论你之前在哪里、用什么终端登录过,但凡你下次你再次登录,前一次登录的会自动退出。这样则大大确保了账号的安全性。
3、恶意攻击,莫要小瞧
对于教务处、人事处、财务处的领导及核心业务骨干们,你们的账号管控着全校的学生信息、教师信息、财务数据,因此也尤其被黑客们虎视眈眈,被攻击的可能性相对普通师生要大很多。黑客们攻击的常见方法便是密码推测,并逐个尝试。
【解决】一方面,系统建立锁定规则,例如连续输入10次密码均错误的情况下,系统自动开启保护策略,锁定系统禁止登录,以防止黑客的继续攻击。另一方面,当密码被修改成功,系统将向绑定的手机号码发送验证通知,确保用户第一时间获知。如果非账号所有人自行修改,那则是被非法盗取了。
4、弱密码问题,老生常谈
弱密码的表现主要有两点:一是沿用初始密码,或者弱密码(如123456);目前,学校还有大量的师生用户对设置复杂密码无意识,许多都在沿用系统的默认密码,由此被非法人员破解获取的确易如反掌!二是密码长期不变。即便深知定期修改密码的重要性,依然懒于定期修改密码——要知道随着网络应用的盛行,一个人可能拥有几十个用户名密码,天才的脑袋也难保证把所有密码记得一清二楚,更不要说每个月还要换一次密码了。
【解决】对于上述问题,一方面,厂商从平台设计的人性化角度要能够通过界面引导的方式,控制密码的组成,让用户对密码强度进行加固;另一方面,控制定期失效,引导用户定期修改密码,从源头上解决安全问题。
归根结底,不论高校的身份认证管理体系如何严密,最重要的还是在于用户的安全意识的提升。