6

重置密码,不可与旧密码一样是为何?

 3 years ago
source link: https://www.pmcaff.com/discuss/2896356820786240?newwindow=1
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

重置密码,不可与旧密码一样是为何?

在用户忘记密码时,对登录密码进行重新设定,如果密码与任意旧密码一致,就会提示“请不要使用旧密码”。那这时候,用户需要调整自己的密码设置规则,进行新的密码设置。登录密码的新旧密码不一致,虽然一定程度上可以提高账户的安全性,但同时也会增加用户密码记忆成本。那么问题来了:请问为什么要增加,“新旧密码不一致”这样的一个密码规则呢?登录密码的作用又是什么呢?我理解是为了识别确认当前用户的身份,并在一定程度上... 查看全部
匿名用户   一周前   2699 阅读
  • 前众安保险 零售金融设计负责人

    题主如果能描述下具体的产品场景就更好了。

    1,如果是重置密码,逻辑上讲在用户端的需求是想弄个不一样的密码(如果和以前的一样为啥要重置呢?试试玩?),用户弄了一个和以前一样的,是有必要提示用户的,但是否要强制用户不能这么做待商榷吧(体验问题)。

    2,登录密码是验证下"你是你"的 一种方式,如果有更简单的方式可以验证"你是你" 那就更好了。登录密码在安全产品里,是最低级别的(比如支付宝,微信还会做设备,网络,地址...的验证)。如果恰巧你做的这个产品对安全级别要求没那么高,你是可以只选择登录密码这样的安全产品的。

  • 电商 产品经理

    规则的存在是为了一定的目的。

    1.可以更好的保证账户安全,前后密码不一致的规则,并加上让用户在一定时间内必须修改密码的规则,或者提醒用户改密码的规则,来降低账户被攻击密码被破解的机率;

    2.从实际的场景来说,用户要操作修改密码,需要前后一致的不存在的,而出现了用户操作前后一致大概有两种情况:
    (1)用户登录的时候输错了,登录失败然后点击忘记了密码,然后操作修改,结果又用了自己熟悉的编码规则,出现了前后一致。这个时候提示用户前后一致用户直接登录就好,如果允许用户修改后,那密码的更新时间就会发生变更,规则“密码在一定时间内修改”就会失去自己的效用,所以提示用户前后一致然后让用户直接用这个密码去登录会不影响用户的体验,也能保证账户安全。
    (2)误操作:这种辅以不允许一致的提示可以避免失误。

  • 新旧密码不能一致的这个规则,以我目前使用过的产品来看,基本都是金融类。

    这类产品对用户数据安全性有较高的要求。

    不能一致的原因:

    1、最简单的理由,既然你都设置成了旧密码,那么就说明没有忘记密码,无需重置。

    2、还是安全,个别产品,会在一定周期强制用户修改密码,并且不能设为原来所有用过的旧密码。
    就是防制,用户名丢失,被不法分子暴力破解。因为暴力破解就是这个时间问题,如果你长时间不修改密码,总有那么一天会被破解的。因此既然要修改密码,就必须使用一个全新,增加破解难度。稍微提高一下破解难度。

    3、登录密码,正如前面很多人说的,就是证实访问者的身份,他有没有一个key。
    其实,我更喜欢动态验证码,不用去记录密码是什么,每次访问都需要生成一个新的验证码,例如google和QQ都有累次工具,或者手机临时验证码功能。增加安全性,提高破解难度,同时降低用户需要记忆不同密码的难度。

    大多数用户为了降低自己记忆难度,都会一个密码通用很多产品。这也是为什么强制不能使用旧密码的原因。防止某个别的产品被破解,带来自己的产品安全问题。

  • - -

    完全可以一致,只是目前的产品经理们出于自己意淫的安全理由强迫了不能这么做。包括定期必须更改密码。我一般的做法是先在原密码最后加一个字母,然后再更改一次密码去掉这个字母。

  • 发现 · 并解决问题的人 看看我云队友技能鸭!

    强行要求密码不一致都是反人性做法。

    绝大部分软件根本不需要对密码进行怎么样的保护。

    安全啥啊安全,用户需要安全吗?你这软件有多重要啊?

    我啥啥论坛被盗了?

    无所谓

    不要说密码了,甚至账号我都忘了是啥,大不了再注册一个。

    至于对于安全性要求较高的软件

    针对旧密码,我倾向于给一个强提醒就行了。你很难判断用户是因为什么原因来重置密码。

    我自己就经常忘了密码而重置,又经常让我换个密码,换个密码我又忘了,再次重置。形成了——

    (登录——忘记密码——登录————过了几个月————登录——忘记密码——登录——老子不用了

    这种循环(所以我都是QQ授权登录+chrome密码保存,可惜我QQ密码也不太记得。。)

    但这种场景又太过个人体验,没有数据支撑做不得真,还需要埋点确定一下。

    另一方面,软件在变相推广绑定手机号用手机验证码登录。

    为什么一定要验证码?因为要确认这号码你还在用。为什么要确认这号码你还在用?短信营销

    短信营销一直都是App外促活/老客户唤醒的重要手段

  • 互联网产品gou 产品经理

    对银行来说是为了降低资金被盗风险,也为了免责吧。

    说2个不太恰当的例子:

    1、前女友拿着你的卡还知道密码,总不能老改相同密码吧?主要场景在避免被别人拿走你的钱的问题。

    2、小区的密码锁用久了,按键上都留有使用痕迹,有心的人就可以基于这些痕迹猜测密码组合。那么密码锁的意义就失效了,提高了小区的安全性。

    现在的指纹锁、人脸、声纹在一定程度上能解决这个问题,但一样存在被破解的方式。更何况是简单的换密码。

  • SOHO pm

    互联网1.0时代没有指纹刷脸和登录位置这种安全性校验,所以只能强制用户不停修改不一样的密码来避免盗号。现在这功能更像是一种“安慰剂”和老一辈产品人的情怀吧。

  • 公众号:晨风说产品 产品经理

    主要从安全性来考虑,毕竟忘记了也有可能泄密的情况,所以在忘记的时候直接让你用新的就可以避免你再次忘记,然后记好新的修改密码就好了。

  • 其实早就想让你换密码了,只是借这一机会

  • 二手烟灰缸 打工

    防止有人撞库造成数据泄露。

    他们的撞库规则有多屌,你要设置的密码规则就要有多复杂;要么就是让你勤修改密码,减低被撞库的风险。

  • 体验与安全性之间的取舍。

    我司配置的电脑,要求每75天更换一次密码,且不能与过去24次的任何一个重复~啊


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK