关于各网站的"忘记密码"及"重设密码"

起因：/t/501359
现在国内(国外不清楚)，似乎多数网站，有重设密码、忘记密码这两个入口
通常来说是这样的
忘记密码：要求手机或者邮箱的验证，然后就能直接更改
而重设密码：要求手机或者邮箱的验证，然后还需要原密码，才能修改
那这样为什么不是只需要一个验证入口就行？感觉这个逻辑有点怪怪的
这是属于历史遗留的问题，还是有着其他的什么机制么？

mjVtb96d2bap2u3Z

2018-10-26 14:30:59 +08:00

其实这是完全合理的。楼主忽略了一个场景：登录后短暂离开，另一个人过来把你密码修改了(没验证原密码)。

HeiXiaoBai

2018-10-26 14:34:48 +08:00

@ali727 这个我清楚，重点在于：两种方式都是要手机\邮箱验证，而重设密码不仅要验证，还需要原密码，在这种情况下干净有点多余(或者有什么我没注意到的点)

helionzzz

2018-10-26 14:37:26 +08:00

一般来说重设密码是登陆后行为可以不做验证直接改但是大家都觉得不安全，所以加加限制最后都成一样的了。

98jiang

2018-10-26 14:42:36 +08:00

因为已经写清楚了是修改密码呀，所以弄个原密码才像修改嘛（

locoz

2018-10-26 15:00:34 +08:00

忘记密码的风控级别高一些吧，非常用设备、常用地之类的可能就不只是验证个手机或邮箱了，当然也要看那个网站有没有这种设定
修改密码用原密码+其他验证的原因大概是为了防止人离开但账号还在登陆状态，或是被人使用技术手段拿到了登录 session 并修改密码？

micean

2018-10-26 15:09:52 +08:00

重设密码步骤一般要比直接修改密码步骤繁琐。
如果直接修改密码也要验证码的话，那不如只留一个重设密码

SuperMild

2018-10-26 16:06:16 +08:00

重设密码，通常不需要手机或者邮箱验证吧？只需要原密码。反正以前是这样的，这个功能我很少用，不知道现在通常是怎样。

如果现在还需要额外验证，那就是历史遗留问题了。

SuperMild

2018-10-26 16:09:30 +08:00

说起来，“产品经理”这个职位貌似还没有正规的课程、资格证之类的东西吧，都是其他行业转过去做的，很多产品经理都不具备基本的专业素质，业务流程各种奇怪。

hstdt

2018-10-27 12:43:06 +08:00

一般登录进来了，就默认你知道密码(三方登录的历史毕竟不长)，用原密码修改即可。如果未登录状态，大部分情况就是忘记密码了呀。

hstdt

2018-10-27 12:45:54 +08:00

@hstdt 如果安全性想要高一点，重设密码的时候。就再补充一个邮箱或者手机号验证，也符合逻辑呀，毕竟只有这 2 个主流的验证方式。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/501401

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.