谈谈百度的账户体系
前几天,花了很大力气,统一将自己常用的约小一百个网站论坛的账号密码更新了一遍,并迁移到了 Enpass 这个还不错的密码管理器上。面对日益复杂的网络安全环境,未雨绸缪,还是有必要的。
99% 的网站更新密码都很顺利,当然,体验上来说,国外网站比国内网站要好的多。比如;
- 国内很多网站对密码有着非常奇怪的要求,比如有的网站密码不能超过 16 个字符(我知道你是把密码存数据库,数据库的字段真的缺那几个 byte 吗?),这就导致密码管理器生成的密码可能超限,要重新生成好几次,或者修改生成的规则方法;有的网站不能包含一些字符,比如 '@', '-', '_' 之类的(我很好奇,密码存储无非就是加盐然后 hash 下存到数据库里,你限制这么多干嘛?)
- 像支付宝这类的网站,往往要求安装特定的浏览器插件,就如国内网银多数要求你买个什么狗屁盾盾盾啥的。可是我从来没看到过国外的 amazon/paypal/google/github 为了所谓“安全”要求改浏览器的。莫非天朝网络环境天生“骨骼惊奇”,一定要加“外挂”才能保命平安?
- 国内网站登录的方式几乎是五花八门,有的是可自定义的用户名,有的是手机号,有的是邮箱,有的是身份证号。然后就是很多网站在你用邮箱注册后,会给你生成一个 hash 化的不可读的用户名(比如京东)。
- 国内网站很多会引导用户绑定手机。这几年随着 4G 的发展,随迁更换手机的必要性小了很多。但是手机号并不是一个人稳定的标识。更换手机比更换邮箱要频繁地多。而且手机的可用性比邮箱也小很多。很多人更换手机后,会导致已有绑定过手机的账号的登录问题。而国外网站,有一些会考虑用 Google Authenticator 这样的软件来做两步验证(2FA, Two-Factor Authentication)。早年 Github 采用手机号发短信来做 2FA,我一个朋友注册了 Github 然后开了两步验证,然后由于一些莫名的问题,Github 突然不能向中国手机用户发短信了,于是那个朋友新注册的 Github 账号就悲剧了。
----
以上是关于密码的一些杂谈。下面谈谈百度。
原先在百度工作的时候,需要用到百度自己的 IM 工具,叫百度 Hi。当然,很难用。于是大概就那时候注册了百度的账号吧。在北京的时候还绑定了手机,当然,这个手机号已经不用了。前天登录百度帐号想更改下密码时,发现困难重重,几乎是个无解的问题。
首先是,更换密码,需要给绑定的手机发验证码。我绑定的手机用不了啦,所以就只能走账号申诉的流程。
走申诉,网页上又不能走这个流程。必须要下手机百度,才能走申诉流程。说实在的,我对这种只能通过手机而不能通过电脑上完成的流程,很反感。
于是下载了手机百度。按照提示,百度需要我填写以下几种信息:
- 账号注册城市(这个到底是什么意思呢?是我注册百度那天的 IP 地址所在地?还是我注册那段时间的住址)。
- 账号注册时间(精确到月份,我就问一句,不许登录豆瓣,你记得你哪年哪月注册的豆瓣不?何况百度还没有类似多少社交网站的 timeline 这样的东西)
- 曾经用过的手机号(我曾经用过的手机号应该有好几个哎,到底是哪个呀?)
- 曾经用过的密码(也曾经似乎改过几次百度的密码,到底需要哪个?)
然后我连懵带猜填了信息,期待好运。等了几个小时,收到了下面的信息:
注意,这有两条信息,是我两次申诉的回复。第一条回复还把我的百度 ID 写错了……我怀疑这个短信也是人工发送的。
无奈,我就给百度的人工客服打电话。我说我申诉了两次,都失败了,一些陈年信息实在是想不起来了。客服说……“你再仔细想想”……我就日了狗了,这是让我用排列组合进行人肉“DOS(Denial of Service)”申诉啊。我说你们有人工渠道吗?客服说没有,只能在手机百度上申诉。我……
所以我又换了一种排列组合,又申诉了一次……等结果。
申诉时用手机百度,不知怎么就用出了这样的效果:
这个图片,最上面的说明文字被 App 的外框遮挡住了,拉不下来。
“找回密码”最后一个“码”字,是不是有点“孤悬海外”的感觉?这里似乎是用文字居中的方式在排版。我就不说用文字居中排版的方式是多数文字排版中的大忌了。
这个也是,文字被 App 外框遮住了。
申诉受理后,手机百度如下:
别说我眼尖,“致电客服”那里,电话号码与左右中文汉字的距离是不一样的,估计是前面有半角空格但是后面没有加。时间格式那里,8:00 这里用的是全角冒号,21:00 用的是半角冒号。至于表示时间范围应该用 en-dash 而不是 hyphen ,我就不细说了。
小小一个页面三个明显的错误……你要知道,这还是 iOS 版的手机百度。iOS 是什么不用我多说吧?在一个最注重设计最注重文字排版的平台上,市值几百亿的公司发布这样的 App 作品?
前几个月魏则西事件,Robin 内部信《勿忘初心,不负梦想》中,问到:“这些天,每当夜深人静的时候,我就会想:为什么很多每天都在使用百度的用户不再热爱我们?为什么我们不再为自己的产品感到骄傲了?问题到底出在哪里?”
再联系到半年前百度设计总监刘超的演讲事件(https://www.zhihu.com/question/48130609)。
所以,“为什么很多每天都在使用百度的用户不再热爱我们?为什么我们不再为自己的产品感到骄傲了?问题到底出在哪里?”
----
13 年我曾经写的百度的文章中,有一些文字:
百度已经很久没有推出令人耳目一新的产品了(典型的如 03-06 年的知道、百科和贴吧)。
百度迄今为止所有的国际化努力都是失败的。
在电子商务、移动互联网和云计算方面,相比较其余互联网公司,百度毫无建树。
==> 依旧如是吧
另一方面,如果你去仔细观察百度的产品,你会发现百度的产品风格差异极大。无论是网页产品还是客户端产品,其 UI 方面从来都没有给人一种非常明朗统一的感觉,能够让人一看就知道这是百度的东西。这方面,苹果做的最好,Google 次之,百度毫无章法。
===> 依旧如是吧。Google 这两年在把自己的产品往 Material Design 的风格上改,已经好很多了。
有啊的惨败,百度的高管可曾做过认真的反省?这究竟是公司战略上的问题还是员工的问题?员工犯错可以扣钱扣绩效,但如果是公司犯错呢?公司做过这样的检讨吗?
===>依旧如是吧。联系到百度这几年的公关危机。
===================
从 iOS/Android 的诞生迄今,移动互联网已经高速发展了十年。BAT 中的 A 和 T 都已经在这个变局中站稳了自己的脚跟,占据了很有利的地盘。百度呢?
Why?
移动互联网和 PC 互联网最大的不同就是,手机和人之间的关联性要比 PC 和人之间的关联性大得多。所谓移动,就是人机相连。而移动互联网最重要的资产就是一个完备的账户体系。阿里的账户体系中包含了你所有的金融生活,腾讯的账户体系中包含了你所有的社交关系。百度呢?你这几年来都搜索了哪些关键词?谁上谁下,一目了然。
一个公司的未来走向,可以从公开的新闻、财报、人事变动上看出趋势。但也许,也可以从产品的点滴细节中去推测一二吧。
见微知著。
99% 的网站更新密码都很顺利,当然,体验上来说,国外网站比国内网站要好的多。比如;
- 国内很多网站对密码有着非常奇怪的要求,比如有的网站密码不能超过 16 个字符(我知道你是把密码存数据库,数据库的字段真的缺那几个 byte 吗?),这就导致密码管理器生成的密码可能超限,要重新生成好几次,或者修改生成的规则方法;有的网站不能包含一些字符,比如 '@', '-', '_' 之类的(我很好奇,密码存储无非就是加盐然后 hash 下存到数据库里,你限制这么多干嘛?)
- 像支付宝这类的网站,往往要求安装特定的浏览器插件,就如国内网银多数要求你买个什么狗屁盾盾盾啥的。可是我从来没看到过国外的 amazon/paypal/google/github 为了所谓“安全”要求改浏览器的。莫非天朝网络环境天生“骨骼惊奇”,一定要加“外挂”才能保命平安?
- 国内网站登录的方式几乎是五花八门,有的是可自定义的用户名,有的是手机号,有的是邮箱,有的是身份证号。然后就是很多网站在你用邮箱注册后,会给你生成一个 hash 化的不可读的用户名(比如京东)。
- 国内网站很多会引导用户绑定手机。这几年随着 4G 的发展,随迁更换手机的必要性小了很多。但是手机号并不是一个人稳定的标识。更换手机比更换邮箱要频繁地多。而且手机的可用性比邮箱也小很多。很多人更换手机后,会导致已有绑定过手机的账号的登录问题。而国外网站,有一些会考虑用 Google Authenticator 这样的软件来做两步验证(2FA, Two-Factor Authentication)。早年 Github 采用手机号发短信来做 2FA,我一个朋友注册了 Github 然后开了两步验证,然后由于一些莫名的问题,Github 突然不能向中国手机用户发短信了,于是那个朋友新注册的 Github 账号就悲剧了。
----
以上是关于密码的一些杂谈。下面谈谈百度。
原先在百度工作的时候,需要用到百度自己的 IM 工具,叫百度 Hi。当然,很难用。于是大概就那时候注册了百度的账号吧。在北京的时候还绑定了手机,当然,这个手机号已经不用了。前天登录百度帐号想更改下密码时,发现困难重重,几乎是个无解的问题。
首先是,更换密码,需要给绑定的手机发验证码。我绑定的手机用不了啦,所以就只能走账号申诉的流程。
走申诉,网页上又不能走这个流程。必须要下手机百度,才能走申诉流程。说实在的,我对这种只能通过手机而不能通过电脑上完成的流程,很反感。
于是下载了手机百度。按照提示,百度需要我填写以下几种信息:
- 账号注册城市(这个到底是什么意思呢?是我注册百度那天的 IP 地址所在地?还是我注册那段时间的住址)。
- 账号注册时间(精确到月份,我就问一句,不许登录豆瓣,你记得你哪年哪月注册的豆瓣不?何况百度还没有类似多少社交网站的 timeline 这样的东西)
- 曾经用过的手机号(我曾经用过的手机号应该有好几个哎,到底是哪个呀?)
- 曾经用过的密码(也曾经似乎改过几次百度的密码,到底需要哪个?)
然后我连懵带猜填了信息,期待好运。等了几个小时,收到了下面的信息:
 |
注意,这有两条信息,是我两次申诉的回复。第一条回复还把我的百度 ID 写错了……我怀疑这个短信也是人工发送的。
无奈,我就给百度的人工客服打电话。我说我申诉了两次,都失败了,一些陈年信息实在是想不起来了。客服说……“你再仔细想想”……我就日了狗了,这是让我用排列组合进行人肉“DOS(Denial of Service)”申诉啊。我说你们有人工渠道吗?客服说没有,只能在手机百度上申诉。我……
所以我又换了一种排列组合,又申诉了一次……等结果。
申诉时用手机百度,不知怎么就用出了这样的效果:
 |
这个图片,最上面的说明文字被 App 的外框遮挡住了,拉不下来。
“找回密码”最后一个“码”字,是不是有点“孤悬海外”的感觉?这里似乎是用文字居中的方式在排版。我就不说用文字居中排版的方式是多数文字排版中的大忌了。
 |
这个也是,文字被 App 外框遮住了。
申诉受理后,手机百度如下:
 |
别说我眼尖,“致电客服”那里,电话号码与左右中文汉字的距离是不一样的,估计是前面有半角空格但是后面没有加。时间格式那里,8:00 这里用的是全角冒号,21:00 用的是半角冒号。至于表示时间范围应该用 en-dash 而不是 hyphen ,我就不细说了。
小小一个页面三个明显的错误……你要知道,这还是 iOS 版的手机百度。iOS 是什么不用我多说吧?在一个最注重设计最注重文字排版的平台上,市值几百亿的公司发布这样的 App 作品?
前几个月魏则西事件,Robin 内部信《勿忘初心,不负梦想》中,问到:“这些天,每当夜深人静的时候,我就会想:为什么很多每天都在使用百度的用户不再热爱我们?为什么我们不再为自己的产品感到骄傲了?问题到底出在哪里?”
再联系到半年前百度设计总监刘超的演讲事件(https://www.zhihu.com/question/48130609)。
所以,“为什么很多每天都在使用百度的用户不再热爱我们?为什么我们不再为自己的产品感到骄傲了?问题到底出在哪里?”
----
13 年我曾经写的百度的文章中,有一些文字:
百度已经很久没有推出令人耳目一新的产品了(典型的如 03-06 年的知道、百科和贴吧)。
百度迄今为止所有的国际化努力都是失败的。
在电子商务、移动互联网和云计算方面,相比较其余互联网公司,百度毫无建树。
==> 依旧如是吧
另一方面,如果你去仔细观察百度的产品,你会发现百度的产品风格差异极大。无论是网页产品还是客户端产品,其 UI 方面从来都没有给人一种非常明朗统一的感觉,能够让人一看就知道这是百度的东西。这方面,苹果做的最好,Google 次之,百度毫无章法。
===> 依旧如是吧。Google 这两年在把自己的产品往 Material Design 的风格上改,已经好很多了。
有啊的惨败,百度的高管可曾做过认真的反省?这究竟是公司战略上的问题还是员工的问题?员工犯错可以扣钱扣绩效,但如果是公司犯错呢?公司做过这样的检讨吗?
===>依旧如是吧。联系到百度这几年的公关危机。
===================
从 iOS/Android 的诞生迄今,移动互联网已经高速发展了十年。BAT 中的 A 和 T 都已经在这个变局中站稳了自己的脚跟,占据了很有利的地盘。百度呢?
Why?
移动互联网和 PC 互联网最大的不同就是,手机和人之间的关联性要比 PC 和人之间的关联性大得多。所谓移动,就是人机相连。而移动互联网最重要的资产就是一个完备的账户体系。阿里的账户体系中包含了你所有的金融生活,腾讯的账户体系中包含了你所有的社交关系。百度呢?你这几年来都搜索了哪些关键词?谁上谁下,一目了然。
一个公司的未来走向,可以从公开的新闻、财报、人事变动上看出趋势。但也许,也可以从产品的点滴细节中去推测一二吧。
见微知著。
