本文试图通过思考涉及到“安全”的场景，梳理在设计互金产品时需要考虑的各个维度。欢迎大家讨论。

　　1. 安全的意义与内涵

　　在金融三性风险、收益和流动性中，风险性始终要放在首位考虑。对于互联网金融产品，可以没有炫酷的交互，可以没有各种时尚前卫的设计风格，但一定要具备安全性。作为一个互金产品，要时刻意识到钱是用户的命，并把“安全”二字置于心中，挂在嘴上，画在原型里，写在文档里，最后做在产品中。其他互联网产品可以对外宣称我们是“小步快跑快速试错”，但互金产永远要说“我们是安全的!”

　　“互金产品风险”这一概念具有非常丰富的内涵。从大的方面说，互金产品风险囊括了平台安全、数据安全、交易风险、操作风险等。从小的方面说，包含用户个人账户的资金安全和操作安全等。本文不打算从宏观的角度去讨论，而将侧重从个人用户的角度展开，这与互金PM们的日常工作密切相关。

　　本文提及的互金“产品”，主要指支付类、投资理财类(含各种互联网证券、P2P、互联网基金等)、借贷类终端(web/app)等。

　　本文探讨风控点包括：

　　财务隐私泄露风险，例如被陌生人看到。

　　账户被盗风险，例如被撞库。

　　资金被盗风险。银行卡被盗刷，资金被转入到其他账户了。

　　产品逻辑漏洞。如找回密码需要接收短信验证码，但手机号码又被注销。

　　2. 安全相关场景

　　2.1 注册/登录

　　注册/登录是使用一个互联网产品的基本初始场景。注册登录时主要需防止被恶意攻击。出现异地登录或者在其他设备登录，则需通过下发短信提醒用户。(短信推送场景的阐述参见本人的《一文搞懂互金产品消息推送设计策略》)常用注册过程中需要获取短信验证码，对于短信验证码在下方的产品需求中阐述。

　　2.2 密码操作

　　密码操作一般包含找回密码、修改密码、设定与修改交易(或支付)密码。

　　(1)密码操作首先在于逻辑上的自洽与闭环，不能让用户进入“死胡同”。

　　(2)为防止被撞库，在修改密码时应当设置验证。验证方式包括短信或邮箱验证。一般的产品中为提高用户体验，通常是直接输入原密码，再输入新密码。但此时如果用户在登录时已被撞库，则进入账户后，账户可能被直接修改密码。通过设置验证码的形式，有助于显著提高安全性。

　　(3)一般来说，银行卡的取现密码与互金产品中的支付密码均为6位数字。因此当用户在设置交易/支付密码时，要提醒用户请勿设置与登录密码相同的密码，勿设置简单的交易/支付密码。用户实名后，设置交易密码是身份证号中的年月日则提醒甚至禁止该类设置。

　　2.3 资金操作

　　资金操作相关涉及到充值、提现、账户间转账、支付和投资等行为。

　　(1)充值、提现在于保证同卡进出。

　　(2)事前控制，保证用户资金在转账支付时安全。转账时需提醒用户确认对方账户，防止因误填转账方所导致的误转账。

　　(3)在用户扫描二维码支付时，提醒用户不要扫描来历不明的二维码，对可疑二维码进行提示和拦截。

　　2.4 账户操作

　　互金产品中往往无法避免用户对账户的变更操作，如更换/解绑银行卡。此时需要慎重的进行操作。如某平台在更换银行卡，需要用户递交手持身份证拍摄的照片。或者某些平台需进行银行卡号、四要素验证。虽然用户提交纸质资料和银行证明材料这一方式很不“互联网化”(让用户很麻烦)，但符合“安全“的特性，保障了用户的资金安全。

　　2.5 隐私保护

　　由于互金产品涉及到钱财，因此将更加注重隐私保护。

　　(1)进入限制

　　启动产品时，需通过设置指纹密码或者手势密码防止非本人任意查看账户。

　　(2)隐藏显示

　　互金产品中有用户个人信息与资金信息。在使用时，为防止相关信息意外被人窥探到，一些地方需进行全部/部分隐藏显示处理。密码输入时需要隐藏显示。账户可用余额可展示/可隐藏。个人电话号码、身份证、银行卡号均需部分隐藏显示。

　　3. 安全有关产品需求

　　通过梳理安全相关的场景，则可衍生出安全相关的一些产品需求，从而针对性打造一些和安全相关的产品功能点。

　　3.1 手势/指纹解锁

　　手势/指纹解锁用于保护用户隐私和资金安全。该功能在启动移动终端、打开用户账户界面、支付转账过程中使用，是一个较为基础的产品功能需求。大部分互金产品都设置有手势/指纹解锁功能，形成了安全的第一道“堡垒”。

　　3.2 常用登录设备

　　伴随移动设备拥有量的不断增长，一个人同时拥有2个甚至更多的移动终端不再罕见。因此一个账号存在在多个设备登录的情形。

　　为了防止自己的互金账号在别人的设备登录(该设备属“不常用登录设备“)，引入了常用登录设备的概念。当在不常用的设备登录时，需要进行验证。验证的形式通常为短信验证码验证。同时，用户本人可以查看管理自己的常用登录设备，通过删除/报告不常用的登录设备，防范安全风险。

　　3.3 环境安全检测

　　登陆IP是否已更换、常用登录所在地是否变更(地理栅栏技术)、终端是否被病毒攻击胁持、安全证书是否与设备一致，这些因素均会对资金操作、账户操作产生风险。因此在用户支付、提现、修改登录密码、修改支付密码时均应对环境安全考虑。如支付宝App在修改密码时，会有一个智能安全检测过程。如果检测通过身份验证，则提示用户可以直接进行修改密码。否则需要输入短信验证码然后修改密码。

　　3.4 短信验证

　　短信验证码本身并不算产品上一个独立的产品功能，但由于其便捷性，广泛用于注册、修改密码、身份识别等场景下的安全验证。正是由于用处多，短信极易被当成“突破点”，PM应充分的重视。入侵者通过源源不断的请求短信接口，干扰了正常的短信下发且大量消耗短信服务费。所以在前端层面和逻辑层面需要制定应对之策。防止措施包括采用图形验证、IP请求限制、IP地址与手机号码地理位置映射等。(详细参见《互联网金融风控基础知识(一)》一文)

　　3.5 面部识别

　　面部识别有助于提升产品使用的便捷性，同时提升产品的科技感。目前在支付宝移动客户端已经采用了面部识别技术用于登录场景。最近随着iPhone X面部解锁的推出，相信未来越来越多的互金产品会引入面部识别功能这一安全、便捷的防范措施。

(iPhone X Face ID官方介绍)

　　3.6 安全中心

　　为了给用户更全面的安全服务，目前越来越多的互金产品将安全相关的功能整合在一起，形成一个独立的模块“安全中心”。安全中心包含了密码管理、帮助中心、常用设备、安全保险服务等内容。同时一些产品将“安全体检评分”这一概念带入到了自己产品中，类似PC端的360安全卫士。下图从左到右分别为微信、支付宝和铜板街APP的安全中心。

　　以上谈到的安全相关产品需求并不是一下就完成开发上线的，根据需求功能的紧急程度和重要性和开发资源，由产品经理制定出对应的迭代计划。

　　4. 视觉层面的安全

　　先举个栗子。当你进入到一间房子的时候，如果房间里各个地方都是装修考究收拾整洁，给人传递的是富有、值得信任的气息。反之脏乱差则让感觉无法信任。视觉层面的信息的传达显得非常重要。互金产品的设计务必传递出“我家里很安全很温馨，到我家来住吧!”这样的蕴意。因此在设计互金产品时，各处细节的深耕传递一种“安全”的信息显得越来越重要。下文来梳理下各种设计细节。

　　4.1 首页首屏

　　首页是用户接触产品的第一屏。无论是在移动端还是PC端，进入首页后第一屏就展示平台相关的安全信息，有助于帮助用户快速建立信任感，特别是对于那些投资理财类的产品。

　　4.2 刷新操作与页面底部

　　在视觉层面的设计，除了首页首屏，还可以从某些细节入手。如在下拉刷新时，出现提现安全的字样或元素，如下图某平台的“银行存管 安全保障”字样。同时，较多的产品充分利用页面底部，展示平台相关安全保障，用户购买信息等元素。

　　4.3 资金操作页面

　　涉及到资金操作的地方(如充值、投资页面)，用户总会“提心吊胆”。通过页面文字提示直接向用户传达“我这里很安全，大胆的充值、转账、投资吧!”的涵义，有助于用户快速完成投资、支付等决策。

　　4.4 图标设计

　　互金产品天然与金融挂钩，与钱相关。因此，采用与钱相关的“盾牌”、“对勾”、“钱币”等设计元素，可以增强用户对平台安全的认可。在页面加载过程中或者页面下拉时等处采用此类图标设计。

　　补充一句，以上提及各处设计也并非处处都要提现，视自己平台而定。如果显示过多，则是一种设计上的滥用，甚至有种“做贼心虚”的感觉。

　　5. 其他“安全”的因素

　　除了上面提到的安全相关产品需求、视觉层面的安全，在更加宏观的尺度上，产品经理需和其他岗位人员一道努力推动，形成一个足够安全，值得用户使用的互金产品。

　　其他因素包括但不限于：

　　增加平台本身的品牌背书;

　　引入第三方资金存管;

　　按照监管规定对相关投资借贷支付等基本信息的披露;

　　提升平台技术数据安全;

　　引入电子签章(所有的协议或合同都是云合同的形式存于第三方机构);

　　保险公司账户安全资金安全担保(钱损失了大不了让保险公司赔你哦，如下图)等。提醒用户我们已经为你购买了保险。

　　对于前文提到的各个维度，有些是技术实现层面上的，有些是产品层面上的。产品经理要重点把握涉及产品层面上逻辑规则的制定。当然，对于互金产品“安全“保卫战永远是一场不停歇的战争，只有通过不断分析、打磨产品细节，提升技术实力，才会让我们的产品更加安全。

责任编辑：韩希宇