33335555<33335555>
2013-07-12 20:16
只看该作者
1、修改登录密码:只需要知道原密码就可以修改密码,是对用户的极大不负责任,建议增加验证密保或者验证手机功能。
2、更换密保问题:修改完密保后无需验证修改后的密保而直接提交保存,如果用户疏忽填写了错别字等情况,就会造成后续的一系列问题,建议增加验证修改后的密保功能。
另外,如果使用360安全浏览器修改密保,且全部自定义问题,那么修改后的密保无法进行保存,因为“确定”按钮显示不出来(附图),而如果使用115极速浏览器,这个问题就不存在,360安全浏览器的用户数还是相对庞大的,应能兼容。
1、说只要知道原密码就可以修改密码是对用户的不负责任,这话从逻辑上说不通。你放眼国内几乎任何一家网站的帐号密码的修改都是知道原密码就可以修改密码的,难道你是第一次接触网络吗?如果你设置了手机绑定和密保问题或密保邮箱这其中任何一种都可以轻松地把密码改回来,知道原密码即可修改密码是为用户提供了一种快捷方便的密码修改方式,与帐号安全没有一丝关系。
2、这个可以有,多一道确认验证能保险一些。
最后说浏览器不显示确认按钮的问题,你用的是小屏笔记本吗,试试把页面下拉。
我说了,你第一点完全与安全无关,号都已经被盗了,在你发现前盗号者改不改密码有什么区别?难道不能使用原密码修改密码就能阻止盗号者登陆你的帐号吗?盗号者就算修改了你的密码也不能决定帐号的归属,前提是你设置了密保问题等密保措施,如果你没有设置这些密保措施,那么就算是不能用原密码修改密码,盗号者一样可以在盗号后设置密保问题和绑定手机、邮箱剥夺你对这个帐号的控制权。你认为不能使用原密码修改密码还有意义吗,你脑筋怎么就转不过弯儿来呢?
什么叫帐号安全?——1.不被盗叫帐号安全 2.即使非法获得密码也不能登录这才叫安全!
第一条115已经做得挺好了,先后推出了SLP安全登录、二维码安全安全登录。其中二维码安全登录可以说是完全杜绝了PC端盗号的可能了!添加改密码验证根本没有必要。
第二条简单的实现方法,登录时通过手机验证码的形式判断是否是本人操作。这点115没做,做了肯定又有许多人嫌登录麻烦。
有了这两点我认为,改密码时就不需要其他验证了(包括输了原密码,那些都显得多余!)@1811887说得很对:“难道不能使用原密码修改密码就能阻止盗号者登陆你的帐号吗!”ps:登录帐号窃取资料。
所以说做到1或2就足够了 ————楼主的建议直接无视AND某些跟帖的
支持下老破,账号安全,请兄弟们一定设置好3个密保,并且,密保答案和密码分开管理,最高境界,你自己都记不住密保答案,盗号者能耐你何?哈哈,睡不着,胡说八道,请兄弟们无视。
5899999
回复含违规内容
只看该作者
举报
5899999
看来确实需要改进