昨天收到短信,说我 b 站的帐号被修改了密码。 帐号是用一个邮箱注册的,之前这家邮箱公司被脱裤,暴露了一个很早以前用的密码,b 站用的好像就是这个早期密码,所以被登录了我倒还不是特别意外。 但是在我绑定手机号的情况下居然能被修改密码?当时也没太注意,就登上去修改了密码;今天再登录发现用邮箱做用户名,登不上去了,就用手机号做用户名登录了,进去看发现邮箱也被解绑换掉了。这一系列操作我是摸不着北,没看出是啥情况,当然也就不好说是漏洞。 但是发现,如果帐号之前没有设置密保的话,是可以直接在页面上设置的,不需要通过接收手机、邮箱验证码;而通过密保是可以修改密码的。换句话说,如果之前没有设置过密保,而密码又丢失的话,即使绑定了邮箱或者手机,依然会被人修改密码…… 如今 B 站上也有一些支付相关的功能了,感觉这样子好像不太稳啊
@DOLLOR #2 邮箱没有被盗,邮箱脱裤暴露的那个密码是个很早之前用的密码,密级很低,所以邮箱是安全的,只是暴露了的这个密码恰好 B 站的账号在用; 可是在我看来,自从 Google 推广两步验证以后,业界比较常见的做法就是把诸如手机这种可以随身携带的设备作为校验安全等级较高的行为的主要途径,其他途径都应该是尽量辅助,那么在我已经绑定了手机号码的这种情况下,修改密码却可以绕过手机验证,我确实认为是非常不安全的,虽然确实只要手机还在就可以把密码修改回来,但是这种安全策略不是特别合理