淘宝用户进行修改密码时，不验证旧密码，只需输入新密码……

首先有一个问题。七大姑八大姨等非账号主人趁账号主人不在时偷改密码是非法占有他人财物，不触犯刑法的吗，而你还在纠结淘宝……

要知道，当有人能够物理接触你电脑系统的时候，就意味着一切东西都不安全了。
就算今天淘宝需要你的原始密码，你的七大姑八大姨就不能在这一分钟里给你装个键盘记录器把你登录密码记下来？

@nfroot #60 有点意思，你说的在理，我父母辈都是记不住密码的，更不要提更改密码了，哈哈。

安全验证这种东西向来没有定论，走个极端，即使真是你本人在修改密码，系统又怎么知道你是清醒状态还是梦游状态？ 是不是还要去医院证明一下，然后再去派出所证明一下你自己是你自己？ 能满足大部分人的方案那就是好方案。

这让我想到了「招商银行」手机 app 的做法，在常用的手机 app 转账，不需要短信验证码，但是换手机就不行。过了晚上 10 点也不行。

所以这些看似有问题的或者是不安全的做法，是有开发者在安全和便捷性上做的努力，应该是肯定和赞扬的。我很厌烦这种动不动就手机短信验证码的做法，简单粗暴不用动脑。但这也反映了开发者的技术和安全无能，因为某些地方确实可以优化的。

感谢支付宝和招商银行在这些方面所做的尝试，而不是采用无脑懒惰的做法。

想问下， 楼主大佬的登录方式， 是扫码登录的嘛？

之前看过其他地方讨论，简单来讲判断当前情况是安全的，就可不输入密码。。当然负责的大厂的做法一般都是出了问题先行赔付，然后是技术背锅吧……总之是平衡易用性成本和安全成本

你那台笔记本是不是同一个 IP ？？换个 IP 试试喃
登录密码也没啥用啊 不是还有支付密码吗

@nfroot 这个物理因素, 无解, 既然你不信任身边的人, 就应该保护好.
就像过年要是你亲戚来拜年, 那不是不能去厨房做菜了?? 不然会进你房间了. :doge.

你这纯粹找喷。。还举例不锁屏，有点安全常识 。。

@Arcy 输密码，登录后去逛别的网站了，一会想起来了就去点了下修改密码。

我记得之前有一家淘宝店，内部有一个人出问题了，偷偷改了淘宝店的密码。
当时就是 因为 这个熟悉的电脑环境，没有二次验证。。。

已登录状态下是不是就默认你已经有原密码，何必再多此一举再输一次呢

你说的极端环境假设就不太正常，再怎么骚到你淘宝账号也不能用你的钱买东西，因为没有支付密码

照这样那干脆所有游戏都别做免密 /记住密码之类的功能，因为都会有熊孩子上你的游戏给你删皮肤花元宝，手机电脑上所有产品每次打开都重新输入一遍账号密码是最好的

还有你说的别人岗位退下来的破电脑也能够直接登录新密码的账号，那是因为两台电脑用的同一个网段，默认就是安全验证通过了，例如你用自家 wifi 手机和平板，这本来就视为同一个安全的环境

与其提工单教别人做淘宝，还不如管理好自己的密码和安全行为

很显然

这个逻辑没有发生过大规模盗号的情况

要不然, 早就改了

我发现这个人的回复 @reus 都是 shabi xidi 之类的。。。。

是拿不到工资的无脑戾气程序员吗

为什么我的显示当前安全环境后，还是需要输入当前密码？

亲测在登陆成功之后马上修改密码是不需要验证旧密码的

@nfroot #23 网络环境没有改变把 IP 地址啥的

阿里有一套叫做 AlphaRisk 的风控系统。如果发现问题会介入的。在验证了当前的环境，用户的操作习惯等条件没有问题的时候会尽量不打扰用户。

不想想就问会被网友怼死的,小老弟

@reus 所以你是傻逼吗?