大概在 2010 年代末,「创建免费账号以继续」成了互联网上任何有用事物的条件反射式回应。你需要转换一个文件,裁剪一张图片,做个快速计算。工具加载好了,注册墙出现了。
大多数人现在会直接关掉标签页,去找别的东西。而不关掉的那些人,往往走进了一个专为从这一刻的顺从中榨取尽可能多数据而设计的系统。
强制注册是最显眼的版本。但注册表单里的操控远比大多数人意识到的深得多——在你下意识地交出邮箱之前,值得弄清楚它究竟是如何运作的。
你的邮箱是商业资产,不是登录的必要条件
当一款免费工具要求注册时,给出的理由通常模糊其词:「个性化体验」「保存进度」,或者那句毫无实质内容的「访问全部功能」。注册实际产生的,是一个与你的邮箱地址绑定的持久身份。
邮箱地址是几个相互交织的行业的原材料。电子邮件营销在数字广告领域始终名列最高投资回报率的渠道,这就是为什么公司通过一切可用机制努力获取邮箱。除了直接营销,邮件列表还会被出售、交换,并与第三方行为数据合并,构建跟随你穿越整个网络的画像。
FTC 2022 年的商业监控报告记录了企业通常收集的数据远超其披露的情况,往往从注册时的一个邮箱地址开始,不断扩展。该报告专门将黑暗模式——破坏用户意图的界面设计——列为获取用户本不会自由给予的同意的主要机制。
你只是为了一次性合并 PDF 而创建的账号,几个月内就可能出现在三个你从未听说过的营销数据库里。
注册表单里的心理手段
强制注册是数据收集策略的粗暴版本,而精致版本使用界面设计让注册感觉不可避免,甚至令人渴望。
虚假进度指示器是最常见的手法之一。有些工具在你还没输入任何字符时就显示完成进度条——「你的资料已完成 40%」。这利用了完成驱动力:一旦你相信自己已经开始了某件事,就会在心理上更倾向于完成它。沉没成本效应甚至适用于你投入的两分钟注意力。进度条没有衡量任何真实的东西,它是为了让你感觉已经投入了。
羞辱式拒绝选项把拒绝的措辞设计得让拒绝显得不理智。「不了,我不想省钱」是经典形式。UX 研究者 Harry Brignull 在 deceptivedesign.org 上记录了数百个有据可查的案例,该模式的定义非常精确:选择架构将一个选项设定为合理,另一个设定为自我伤害。欧盟和美国的监管机构在执法指导中直接引用了这项研究。
预先勾选的同意框自 2018 年起在欧盟 GDPR 框架下已属违法,但在欧洲执法范围之外的地方它们依然普遍存在。那个默认勾选了「是的,我同意接收营销通讯并同意将数据共享给我们的合作伙伴」的复选框,需要主动注意才会取消勾选——而大多数用户专注于使用他们真正想要的工具,根本注意不到。数据收集就这样默认发生了。
渐进式披露在初次提交后出现:次级界面要求你的电话号码、生日、职位或公司规模。你已经给了邮箱。沉没成本压力——加上「只差最后一步」的视觉包装——让添加这些信息感觉只是小小的增量,而非独立的交易。每一个额外字段都是一个新数据点,叠加进关于你的档案里。
虚假紧迫感出现得较少,但仍然存在:注册页面上的倒计时,「免费账号只剩 3 个名额」,制造人为压力让你快速决定的提示。没有任何正规网络工具会真正出现用户账号短缺的情况。这种紧迫感是人为制造的,目的是绕过你的思考——让你在仔细想清楚是否想要之前就行动。
所有这些模式都对相当比例的用户有效。这是它们持续存在的唯一原因。
注册之后,追踪还在继续
账号创建的一个大多数人没有想到的后果:这段关系在你停止使用工具后并不终止。
交易邮件——账号确认、密码重置、你在不知情情况下订阅的新闻邮件——通常包含隐形追踪像素,会报告邮件何时被打开、从哪种设备类型、大致在哪个位置。即使你几个月没有登录或访问该网站,这些数据也会构建行为画像。
许多免费工具还以免费增值模式运营,免费层级作为转化漏斗。一旦你有了账号,你就成为了升级提示的目标,那些看起来更像是故意设计的摩擦而非合理差异的功能限制,以及以 30 天邮件通知形式到来的价格变动——你可以通过删除账号选择退出(见下一节)。
账号创建还会带来数据泄露风险。你的邮箱地址、哈希密码和与你账号关联的任何行为数据都会无限期地存放在某家公司的数据库里。Have I Been Pwned 索引了来自有记录事件的超过 140 亿条泄露记录——随着更小规模的泄露不断被添加,这个数字在持续增长。你创建的每一个账号都是这个潜在暴露中的又一个条目。
退出被设计成困难的
注册和删除账号之间的不对等,是消费者保护研究中记录最为充分的不对称之一。注册通常在两分钟内完成。删除可能需要导航到不明显的设置页面,提交支持工单,等过 30 天冷静期,或者在某些情况下,在工作时间拨打一个电话号码。
这种不对等不是偶然的。FTC 在 2023 年对亚马逊采取执法行动,专门针对 Prime 难以取消的问题——注册流程只需一两次点击,而取消流程有多达六个屏幕的挽留提示和劝阻。最终的和解要求亚马逊将取消流程设计得与注册流程一样简单。
根据 GDPR,删除权(第 17 条)赋予欧盟用户申请删除账号的法律权利,要求在 30 天内执行。许多公司从技术上合规——如果你足够坚持,他们会删除你的账号——但把流程设计得让大多数用户在完成之前精疲力竭。如果一家公司真的在阻挠删除请求,欧盟成员国的数据保护机构接受个人投诉,而重大执法行动就是从这种机制开始的。
注册真正有意义的时候
不是所有的账号要求都没有依据。区别在于服务是否需要在服务器端存储你的数据才能提供其核心功能。
| 场景 | 账号是必需的吗? |
|---|---|
| 跨多设备的云端同步 | 是 |
| 有版本历史的协作文档 | 是 |
| 支付处理 | 是 |
| 有持久权限的共享工作空间 | 是 |
| 一次性文件转换 | 否 |
| 图像压缩 | 否 |
| 基于浏览器的代码格式化 | 否 |
| 白板会话(无需保存) | 否 |
| 货币换算 | 否 |
| 语法检查 | 否 |
如果整个操作在你的浏览器中运行,且不需要在会话之间持久化任何数据,账号要求是为公司利益而存在的。基于浏览器的图像编辑器不需要知道你是谁。正则表达式测试工具不需要你的邮箱。PDF 合并工具不需要你的名字。认证机制服务的是数据收集,而非用户。
跳过这一切的免登录工具
几乎每项常见任务都有替代方案,其中许多工具设计得更好,恰恰是因为它们不是围绕数据收集作为收益机制构建的。
当你需要在不上传到服务器的情况下与附近的人共享文件,且双方都不想创建账号时,PairDrop 通过本地网络使用 WebRTC 进行点对点文件传输。没有任何东西上传到第三方服务器。跨操作系统有效,发送方和接收方都无需注册。
分享密码、私人便条、一次性 API 密钥等敏感信息时,Yopass 生成一个加密的自毁链接。收件人打开,消息在他们的浏览器中解密,链接随即过期。客户端加密意味着即使在短暂存储期间,服务器也无法读取内容。无账号,无持久档案。
对于大多数常见的浏览器任务——文件转换、图像压缩、PDF 编辑、音频剪辑——TinyWow 处理超过五十种格式,无需注册。打开页面,使用工具,获得结果。所有这些都不需要注册。
如果某个网站坚持要求注册才能完成你只需要做一次的任务,Temp Mail 生成一次性地址,能接收确认邮件足够时间来完成验证,然后自动消失。不需要交出真实联系信息。
nologin.tools 目录对各主要类别的经过验证的工具进行了索引,全部确认可以在不创建账号的情况下使用。任务类型的覆盖范围比大多数人预期的要广。
值得养成的默认习惯
注册墙之所以有效,是因为很多用户在不知道有免登录替代方案时会顺从。替代方案几乎总是存在的。
在为任何完全在浏览器中运行的工具注册之前,先花十秒搜索「[任务] 无需注册」或「[任务] 无需登录」。免账号版本通常出现在前两个结果中。那个即将捕捉你邮箱地址、开启追踪关系、将你的联系方式添加到营销数据库的注册表单,就不会被填写了。
无需注册的工具就在那里。每年都有更多——由那些认定在浏览器端工具上强制账号是无理由强加的开发者构建的。持续地选择它们是一个积累效果的小习惯:更少账号可被泄露,更少收件箱被填满,更少在你毫不知情的情况下被收集的关于你的数据点。
面对注册墙,在大多数情况下,最好的回应是关掉标签页,换一个更好的搜索词。