淘宝用户进行修改密码时，不验证旧密码，只需输入新密码……

@False 你妈炸了

不是，不用输入原密码就能直接改密码这个是正常操作吗？我的天。。。。。

女友有次在我手机上登陆了支付宝
后来退出登陆了
我拿过来直接点忘记密码
然后问了我女朋友最近买的几个东西
点了几下后
就进去了

支付宝大概觉得会在另一台手机上做敏感操作并且手机主人还知道很细节的情况下
手机的主人应该不是主人就是极其亲密的人吧

@fyxtc 非常赞同，环境怎样安全也要输入原密码，这也是大多数网站的方案，我不知道淘宝工程师有多么牛逼的方法

改密码 希望能够用细节提供给用户安全感.
普通用户修改密码发现没有任何验证,觉得不安全.逻辑不对吗?

好傻

淘宝银河系第一，怎么可能会有错。楼主居然敢质疑淘宝，找几个带一下节奏就可以喷死你丫的！

@galikeoy 简化用户体验和安全之间要找个平衡，很正常不是么，而改密码又不是常用行为，体验的影响相比安全上比重不高，要求安全些的考虑没什么不对，帖子里有必要着重个人安全习惯么

淘宝修改密码：


v2ex:


浏览器的记住密码功能，使得输入原密码这个操作显得相当滑稽

@Livid @Kai @Olivia @GordianZ @sparanoid 举报 @reus #36 #81

@vanxy 敏感账户正确密码我从来是不会使用浏览器记住功能的，甚至只会故意设置记住一个错误的密码。

从来如此就一定对吗？在 session 有效期很短的情况下，修改密码需要输入原密码我一直觉得适合愚蠢的设计，只不过是心理安慰而已。
楼主可以试试在任意一个网吧登录试试修改密码的难度。

我就想问一下哦，为什么隔段时间网页端就要重新登录呢？上面有说不让浏览器记住敏感账户密码的，可你不记住密码一天内就能让你输密码输到崩溃。这勉强可以说是为了安全，但是手机上就是另一个模样了，我不说长时间不用重登录这一点，用钛备份备份数据，然后刷机数次，每次都有恢复，经过几个月，然后恢复过来还是保持登录的。