用户名密码的登录模式是否可以改变?

2013-12-01 20:30:35 +08:00
 kurtis
虽然将来想iPhone5S指纹认证可能会流行。
但是,用户名/密码 模式已经使用了几十年。

为什么非要用户名 回车 密码 回车?
为什么当初不设计成只要输入一行,不回显的密码 (或者不回显的用户名+密码)呢?
如果现在的网站的设计采用一行式不是方便用户很多吗?

有谁知道? 请不吝赐教!
3861 次点击
所在节点    随想
23 条回复
lanbing
2013-12-01 20:35:28 +08:00
没看懂…
faceair
2013-12-01 20:41:08 +08:00
难度会大很多,重名的一行式密码怎么办?

只要能保证唯一性当然可以登录,比如微博、QQ等第三方登录都是返回的一个长的不规则标识符来注明用户身份。
但是对用户来说,维护一个长的不会重名的别人不会猜到的密码难度会很大。
ETiV
2013-12-01 20:43:23 +08:00
用户名=门牌号
密码=钥匙

5S不需要是因为门牌号,也就是手机就在你手上。
dorentus
2013-12-01 20:43:59 +08:00
用户自己设的密码可能会和其他人的重复,自动生成的话用户又记不住。

一次性输入用户名和密码和分开输入没区别的吧,反而会因为分隔符问题增加两方的复杂度。

不太清楚你说的到底是哪方面的,命令行远程登录的话 ssh 有更方便的基于非对称加密的密钥严重的方式;Web 的话也有类似基于客户端证书验证的方式。都完全不用输密码。
lichao
2013-12-01 20:45:36 +08:00
我的密码是 123
你的密码也是 123
网站如何区分你和我?
niseter
2013-12-01 20:50:24 +08:00
其实早有了啊,个人用的wpa/wpa2加密就只用输入密码,没有用户名
还有很多地方,证书登陆也可以,比如ssh什么的。
用户名密码啊邮箱啊都是特征码而已,区别目的达到即可
dallaslu
2013-12-02 00:07:07 +08:00
已经被改变了——现在一般还需要输入验证码
sophy
2013-12-02 00:10:25 +08:00
其实完全可以,A用户密码123,B用户利用123注册的时候会提示,此密码已被使用就行了
ericls
2013-12-02 00:15:46 +08:00
@sophy 然后输入123 改个密码 B用户就爽YY了
sophy
2013-12-02 00:40:58 +08:00
@ericls 嘿嘿嘿,明白人
binux
2013-12-02 00:46:55 +08:00
@ericls 实际上有用户名密码也是一样的,你用户名是1,密码是23,我也输入1,23,铛铛,进去了
kurtis
2013-12-02 09:36:52 +08:00
@dallaslu 呵呵,你很嘲!


@binux
@ericls
@sophy
@lichao
@dorentus
@faceair

我的意思是,注册时区分用户名和密码,如果用户名重复则提示重复。
然而登录时,用户只输入一行:用户名+密码 (中间不间隔,全文不回显)
例如 用户名:abc 密码:2345xyz
登录时 你只需输入abc2345xyz (显示为********)回车即可。
lichao
2013-12-02 09:40:13 +08:00
@kurtis 我用户名是 ab,密码是 c2345xyz 怎么办?
Ansonyi
2013-12-02 09:51:15 +08:00
语音识别?二维码扫描?
dallaslu
2013-12-02 10:01:26 +08:00
@kurtis 其实你的意思是,「用户名+密码」的方式,其根本就在于不区分用户名和密码的间隔。这样,对于破解者来说,用户名和密码连接后的字符串的长度更长更安全(某种程度上);对于使用者来说,几乎没有使用障碍,同时减少了一次按键操作。

但实际上,也可以认为传统的模式,是在用户名和密码之间用了一个回车符来区分的。所以,对于穷举者来说,在猜测用户名方面上,更困难了。举例,暴力破解后发现可登录的用户名密码字符:

abcdefghijklmn

用户名和密码的组合可能是以下几种:

abcd+efghijlmn
abcde+fghijlmn
abcdef+ghijlmn
...

对于破解者来说,原本要分别构造用户名和密码部分的字典;现在不得不把两个字典放一起来用了。但是,这样的结果是,当我要破解 abcd 的密码时,发现 abcdefghijlmn 通过验证了,于是认为该帐号的密码是 efghijlmn。当然,也可能是 abcde+fghijlmn 这样的组合——但是,who care? 反正我已经登录了,登录后我就知道我是谁了。

碰撞到其他用户的密码组合,会降低安全性,同时也影响了用户的身份确定。尝试给一个解决方案,譬如我们确定用户名必须为十位——嗯,身份可以确定了——但是,这和使用了几十年的传统用户名加密码的方式,也没有区别了吧?



——————————————

如果想要一行字符串来认证,不妨考虑上面几位提到了 SSH 登录密钥的方式,甚至目前Twitter、Weibo 提供给第三方应用的 Key。登录用的 Key 不涉及用户名和密码的明文组合,但是与系统中某一身份关联。但是对于普通用户来说,记住这样的复杂唯一的字符串,是不现实的。
Mutoo
2013-12-02 10:04:17 +08:00
我用户名 a 密码 bc
你用户名 ab 密码 b
你提示啥?
提示用户名或密码重复的话,那不等于告诉我,你的用户名是 ab 密码是 c 么。
ijse
2013-12-02 10:11:37 +08:00
@Mutoo
@kurtis
@dallaslu 或者用一个特殊字符隔开,如| 。。。 不过这样好像就又绕回去了,仍然是区分用户名和密码,只不过登陆的展现形式变了而已,如果设计需要,可以这样,甚至可以做成shell脚本交互式的。。
fuckgfw
2013-12-02 10:28:48 +08:00
相信可以的
wdring
2013-12-02 10:35:50 +08:00
微信网页版,手机扫一下二维码就登录了
myrual
2013-12-02 10:38:49 +08:00
基于公私钥签名方式,比较安全了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/91399

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX