淘宝用户进行修改密码时，不验证旧密码，只需输入新密码……

标题应该很清楚了吧，进入修改密码页面的时候，提示当前环境安全，啥都不验证，直接进入修改密码页面，修改密码页面只需输入新密码，无需输入旧密码，不验证手机、邮箱、啥都不验证。

DANG

2019-02-22 10:02:01 +08:00

没问题啊，我自己笔记本在公司也会先验证啊
http://photo.weibo.com/2261739231/wbphotos/large/mid/4342435989511717/pid/86cf66dfgy1g0eyzrjonaj20k80j5aau

realpg

2019-02-22 10:02:19 +08:00

@goodan #5
如果只是这样，那阿里那些工程师还不如我家实习生呢
看不到的地方很复杂，包括当前状态的失效判定，都是很复杂的
甚至有基于用户操作习惯的判断

DANG

2019-02-22 10:02:20 +08:00

nfroot

2019-02-22 10:02:23 +08:00

@yzkcy 并没有登录相关的网站帐号，因为这就是个很破旧的电脑，不可能在上面使用的，太卡了。。。。淘宝、支付宝帐号属于非常注意帐号了，不可能随便在其他电脑帐号登录的。感觉在别人电脑登录这些帐号纯粹是找刺激。。。

这个电脑只是做实验用的，比如说网速慢的时候，用它来做测试，会发现，卧槽，这个配置、插屁系统的电脑还能正常速度运行咱们的软件，牛逼了。。。有时候就是通过它来判定一下现在网络正常不正常，软件速度怎么样。。。其他的不会在上面用的。。

Heyavc

2019-02-22 10:06:29 +08:00

..."提示当前环境安全"，这不是说明淘宝已经进行安全环境判定了么。安全业务两不误啊，这不是方便用户的措施么。

realpg

2019-02-22 10:06:45 +08:00

@yzkcy #38
大家能想到的都太少了
你可以尝试把你常用登陆淘宝支付宝的手机拿到室外去，跟你不在同一个 WIFI 下且 wifi 列表搜不到你这个网络可用的 wifi 和手机基站 ID，打开软件操作一次上报数据防止被杀进程干掉，你再看看你的淘宝改密码验证原密码不……

这只是一个参数还有更复杂的……

yzkcy

2019-02-22 10:07:05 +08:00

@nfroot
不清楚你的使用环境和历史操作，我刚试了两个完全陌生的环境，都弹出二次认证了。
我还是更倾向于相信淘宝的风控，因为能绕过陌生环境的二次认证的话，算比较大的威胁情报了。

DANG

2019-02-22 10:09:14 +08:00

楼主上图吧，空口无凭

nfroot

2019-02-22 10:12:42 +08:00

@yzkcy 你这个测试确实也证明了淘宝还有其他的机制，我倾向于是判断了输入用户名时的打字频率和按键时间的习惯，以及鼠标操作习惯（按键频率捕获下登录时的频率还能理解，鼠标好像有点玄了，其他的基本是可以伪造或固定的）。。。

nfroot

2019-02-22 10:15:49 +08:00

@DANG
进入我的淘宝》导航栏账户设置-修改登录密码，出现下面图 1 的页面。然后出现修改密码的输入框，图 2，用新密码登录的页面就不截图了，没意义。
图 1

图 2

yzkcy

2019-02-22 10:16:46 +08:00

@nfroot 你这个有点玄乎了。应该是着重网络环境，其次硬件环境。

eliteYang

2019-02-22 10:18:46 +08:00

修改密码有两种方式，一种是登录进去后修改，这个时候前面已经验证了你的正确性，所以无需验证老密码。第二种是通过邮件链接的方式，这个链接里带了很多验证的信息，所以也是安全的，不需要输入老密码。

nfroot

2019-02-22 10:23:55 +08:00

@yzkcy 之前在知乎视频里看到过这种方式，手机上写着密码，其他人看着这个密码输入，验证不通过，本人同样是输入这个密码，验证通过。。。。（就是不知道视频是不是假的，或者说页面是不是定制的）

但是觉得这种新型的方式，应该也是可以作为判断依据的。。。

nfroot

2019-02-22 10:28:45 +08:00

@eliteYang
@Halry
@Vegetables
关于登录后修改用户密码，要不要验证旧密码，大多数网站 /服务会选择需要输入旧密码。。。其实这也是一直存在争议的话题，但是仔细看的话会发现，安全性要求高一点的网站 /服务，都是会要求验证旧密码的，不验证旧密码的很少或者是极少。所以我是偏向于最好验证下旧密码。。。毕竟密码是记心里的。

amon

2019-02-22 10:28:52 +08:00

刚才在自己的 MBP 上尝试了下淘宝修改密码的流程，说说吧。

首先登录淘宝，需要扫一扫登录（手机淘宝扫码），或者输入账号密码登录（浏览器填充了账号密码）。
当我去到个人中心修改密码后，要我验证身份，有两种方式：
1. 联系客服
2. 通过手机验证码+证件

当我选择第二种，然后又选择其他验证方式后，又多了一种验证方式：
3. 通过手机验证码+快捷支付银行卡

自己理解吧。。。

nfroot

2019-02-22 10:33:07 +08:00

@amon 我在 50 楼贴了截图，我的步骤是，通过用户名密码登录淘宝》然后浏览器在其他网站浏览了一会》进入我的淘宝》导航栏账户设置-修改登录密码，然后出现截图中的图 1 和图 2，无需验证，这里就不重复发图了，和你的步骤还是有所区别的。

reus

2019-02-22 10:37:50 +08:00

连“离开电脑不随手 win+l，你觉得是谁的问题”这种话都说出来了，可见舔狗门的智商有多低。

DANG

2019-02-22 10:40:43 +08:00

淘宝验证环境的几项里楼主肯定满足了大部分所以会显示环境安全，具体的检查项我倒是没搜出来。。也不能说校验安全的环境真的安全，只能说这是在衡量用户体验和安全性的一种方案

lfzyx

2019-02-22 10:44:28 +08:00

楼上一大堆舔阿里的是 p7 专家？

nfroot

2019-02-22 10:52:58 +08:00

@goodan
@mztwfed
@cojing
@SakuraKuma
我更愿意相信淘宝的极大部分用户是普通用户，而不是程序员，电脑高手，电脑爱好者之类的群体，所以离开电脑不锁电脑很正常，稍微注意点的会最小化（哇塞这个功能真的太棒了，最小化别人就看不到了），有意识离开电脑锁电脑的不多。。。而个人的公司帐号不强制要求的情况下，极大部分会采用弱密码，包括一部分程序员和运维人员，有通用默认密码存在时，大部分人都是这个通用默认密码（这里说的是如 HR 系统、ERP 系统、邮箱密码）

@arrow8899
忘记回复你了，我这里实测不需要验证码，但是回复中其他人测试需要密码，疑惑中。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/537485

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.