V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
ericgui
V2EX  ›  全球工单系统

bilibili 账号改密码竟然要求输入当前密码

  •  
  •   ericgui · 2018-10-26 12:07:24 +08:00 · 15955 次点击
    这是一个创建于 2249 天前的主题,其中的信息可能已经有所发展或是发生改变。

    已经通过手机验证了,输入了正确的验证码了, 那么,请问,是不是就应该直接填写新密码并确认一次新密码即可呢?

    竟然要求填写当前密码,我正是因为忘记密码才要求改的啊。。。。。。

    幸亏我试了好几次,终于想起来老密码。。。。

    而且,尼玛,我的生日是 10 号,手机 app 里是 10 号,网页上是 9 号,一改,这网页就卡住了。。。。。

    第 1 条附言  ·  2018-10-27 01:47:35 +08:00
    回应下面的一群阴阳怪气的人两点:

    1、我在已经登录的状态下,并且验证了手机验证码,为何不能改密码?

    没登陆都可以这么干,为什么登录了反而不能这么做?

    登录状态下,就不可以忘记密码了吗?

    B 站在已登录状态下,没有忘记密码这个选项。


    2、tia 11 小时 39 分钟前 ♥ 3
    楼主你自己想想,假如别人用你电脑改你密码,那他岂不是不需要知道原密码就能随便改了?

    我已经验证手机验证码了,请你阅读题目仔细一点。

    二次验证的目的不就是防止这个的么?

    都二次验证了,你还想怎样?





    v 站本来仅仅是一个纯粹的技术讨论区,结果有人开始阴阳怪气也就算了,还有人挖坟扒出来以前的帖子,仅仅就为了讽刺我而回复,对,说的就是你,39 楼,以及给 39 楼点赞的 3 个人。

    你们在一个技术社区里搞这种人身攻击,破坏的只能是社区的氛围,最后肯定是劣币驱逐良币,这个社区没人玩了。

    我只能说我非常失望。

    其他也没什么可说的,用脚投票罢了。
    118 条回复    2019-01-12 20:06:32 +08:00
    1  2  
    ys0290
        1
    ys0290  
       2018-10-26 12:09:38 +08:00 via iPhone
    难道不应该重置密码吗?
    ericgui
        2
    ericgui  
    OP
       2018-10-26 12:10:23 +08:00
    @ys0290 没有重置密码的选项
    cairnechen
        3
    cairnechen  
       2018-10-26 12:18:59 +08:00   ❤️ 4
    @ericgui 别骗我,登录界面那么显眼的忘记密码
    mztql
        4
    mztql  
       2018-10-26 12:19:09 +08:00 via iPhone
    @ericgui #2 忘记密码
    cairnechen
        5
    cairnechen  
       2018-10-26 12:22:12 +08:00   ❤️ 3
    @ericgui 所以你的意思是希望修改密码的时候直接重置密码?那只能说是你的逻辑有问题吧,修改密码功能就是给知道原密码的人用的,不知道原密码的人应该去使用“忘记密码”
    deepdark
        6
    deepdark  
       2018-10-26 12:32:01 +08:00   ❤️ 7
    改密码就是要在知道原密码的前提下进行修改的,几乎所有的网站都是这个逻辑吧
    你忘了原密码的话应该找“忘记密码”去重置密码
    cydysm
        7
    cydysm  
       2018-10-26 12:35:21 +08:00
    ericgui
        8
    ericgui  
    OP
       2018-10-26 12:41:34 +08:00
    @deepdark 已经登录的情况下,没有忘记密码这个选项的。

    而且我的投稿中心桌面客户端,点击忘记密码,结果弹出一个网页,又自动跳转到个人账户里,因为网页端是已经登录的状态,但我忘记了密码了
    @cairnechen
    wohenyingyu02
        9
    wohenyingyu02  
       2018-10-26 12:44:16 +08:00 via iPhone
    @ericgui 是不是有个功能叫登出……
    HeiXiaoBai
        10
    HeiXiaoBai  
       2018-10-26 12:45:27 +08:00 via Android
    @ericgui 那……那就退出登录啊,不行清 cookie,不会就清浏览器缓存,或者开个隐身登录的窗口
    vJianZhen
        11
    vJianZhen  
       2018-10-26 12:50:03 +08:00 via iPhone   ❤️ 9
    楼主,你在干嘛……看得我直发笑
    falcon05
        12
    falcon05  
       2018-10-26 12:56:54 +08:00 via iPhone   ❤️ 5
    我是谁?我在做什么?
    bullfrog
        13
    bullfrog  
       2018-10-26 13:03:19 +08:00   ❤️ 5
    我是进入了另一个宇宙还是怎么回事。。
    Shirotaka
        14
    Shirotaka  
       2018-10-26 13:05:32 +08:00 via iPhone   ❤️ 5
    看到标题竟然没忍住还是点进来了,点进来还是没忍住发了评论...我在干什么?
    RoyL
        15
    RoyL  
       2018-10-26 13:13:30 +08:00   ❤️ 7
    卧槽,这逻辑差的令人窒息
    cncoffer
        16
    cncoffer  
       2018-10-26 13:20:41 +08:00   ❤️ 3
    哈哈哈, 看到这标题就知道楼主要被喷, 几乎所有网站不都是这样的逻辑么, 还是想说大家用了这么多年的设计都不合理么...
    passerbytiny
        17
    passerbytiny  
       2018-10-26 13:38:52 +08:00   ❤️ 1
    @deepdark #4
    @Shirotaka #12
    @RoyL #13
    @cncoffer #14
    发言前不要只看标题。

    “已经通过手机验证了,输入了正确的验证码了”,改密码要同时验证手机号和原密码,想出这 2 B 逻辑的产品经理,以及后面跟风的产品经理,都该被咔嚓掉。
    sanxidiot
        18
    sanxidiot  
       2018-10-26 13:42:02 +08:00 via Android   ❤️ 1
    @passerbytiny 这是已经登录的情况下的修改密码,又不是没登录时候的忘记密码
    deepdark
        19
    deepdark  
       2018-10-26 13:46:44 +08:00 via Android   ❤️ 1
    @passerbytiny 他是在已登录的状态下修改密码啊,人家验证了手机号又让他填原密码有什么问题吗
    passerbytiny
        20
    passerbytiny  
       2018-10-26 13:47:14 +08:00
    @sanxidiot #16 呵呵
    0747916
        21
    0747916  
       2018-10-26 13:49:13 +08:00 via Android   ❤️ 1
    我觉得楼主是来搞笑的
    passerbytiny
        22
    passerbytiny  
       2018-10-26 13:50:12 +08:00   ❤️ 1
    @sanxidiot #16
    @deepdark #17
    能验证手机、不知道原密码的时候,能不能重置密码?如果能,那么请问为什么修改密码要多一步输入原密码的过程。
    liwl
        23
    liwl  
       2018-10-26 13:52:35 +08:00   ❤️ 3
    @passerbytiny 等你帐号被盗的时候就不会问这些了
    HeiXiaoBai
        24
    HeiXiaoBai  
       2018-10-26 13:54:06 +08:00 via Android   ❤️ 4
    @passerbytiny #22
    不要把“重设密码”和“忘记密码”混为一谈,都能登录了,网站怎会想到号主不知道密码?既然忘记原密码,那就直接点“忘记密码*
    deepdark
        25
    deepdark  
       2018-10-26 13:55:07 +08:00 via Android
    @passerbytiny 你再好好看看楼主的描述吧,他是在账号已登录的时候点的修改密码,按理说如果他忘记了密码的话只需要登出然后在登录界面重置密码就好了啊,你的点不对,我们不要跨服聊天了😂
    HeiXiaoBai
        26
    HeiXiaoBai  
       2018-10-26 13:55:29 +08:00 via Android
    @passerbytiny 而楼主点的是“重设密码”,既然这样那肯定要输入原密码啊
    passerbytiny
        27
    passerbytiny  
       2018-10-26 13:57:26 +08:00   ❤️ 1
    @HeiXiaoBai #22
    @deepdark #23
    两位是真得不知道“已经通过手机验证了,输入了正确的验证码了”、“改密码要同时验证手机号和原密码”这些话是什么意思吗,语文白学了?
    tia
        28
    tia  
       2018-10-26 13:59:57 +08:00   ❤️ 5
    楼主你自己想想,假如别人用你电脑改你密码,那他岂不是不需要知道原密码就能随便改了?
    HeiXiaoBai
        29
    HeiXiaoBai  
       2018-10-26 14:00:21 +08:00 via Android
    @passerbytiny #27
    我的意思是,有两个入口,一个需要原密码,一个不需要
    楼主点的是需要的那个
    HeiXiaoBai
        30
    HeiXiaoBai  
       2018-10-26 14:01:35 +08:00 via Android
    @passerbytiny #27
    我能明白你的意思,不过各网站设计上就是这样
    RoyL
        31
    RoyL  
       2018-10-26 14:02:22 +08:00
    @passerbytiny 你真的不知道,修改密码和重置密码的区别?通过手机验证应该是 b 站对于修改账号信息都要求的一个通用 check,你可以吐槽,但你吐槽修改密码要原密码???
    BestSera
        32
    BestSera  
       2018-10-26 14:02:48 +08:00
    @passerbytiny 我觉得多验证几部挺好的,等号被盗了再后悔就来不及了,不能什么都指望验证码,前段时间的银行卡事情闹得还不大吗
    annielong
        33
    annielong  
       2018-10-26 14:03:16 +08:00
    早期修改密码大多都是必须要输入原密码进行验证的,现在就不一定有,有些是只要登陆后,就直接修改密码
    Shirotaka
        34
    Shirotaka  
       2018-10-26 14:03:44 +08:00 via iPhone
    这是基于安全性考虑的设计,可以理解为在修改密码的流程中,bilibili 加了一层手机的验证。
    deepdark
        35
    deepdark  
       2018-10-26 14:04:30 +08:00 via Android
    @passerbytiny 不要被他的描述带偏,自己去实验一下就知道了,目前 B 站改密码三种验证方式,手机,密保邮箱,验证问题。任何一个验证通过就可以直接输入原密码和新密码进行修改密码的操作
    leeg810312
        36
    leeg810312  
       2018-10-26 14:08:05 +08:00 via Android   ❤️ 2
    @passerbytiny 你的语文才白学了吧。登录状态修改密码和忘记密码而重置密码设计为同样的操作逻辑?产品经理这样设计产品不被开除?被篡改了密码又要骂产品经理 S B 了吧
    deepdark
        37
    deepdark  
       2018-10-26 14:08:13 +08:00 via Android
    @passerbytiny 而你纠结的点应该是通过了手机验证之后,还要手机验证码,对吧?其实流程里没有这个操作
    zhzer
        38
    zhzer  
       2018-10-26 14:08:23 +08:00 via Android
    ???
    liwl
        39
    liwl  
       2018-10-26 14:10:02 +08:00   ❤️ 8
    楼主 8 天前:我已经放弃抱怨了
    janus77
        40
    janus77  
       2018-10-26 14:10:20 +08:00   ❤️ 2
    @passerbytiny #22 我觉得你对这个场景的最大误区就是,修改密码=验证手机号+知道原密码。
    你说验证手机号这一个条件就可以了,其实是不对的
    验证手机号只是为了保证是本人操作,如果有个人知道你密码,但是没有你手机,依然无法修改。
    所以这 2 个条件是同时满足的,而不是满足一个就能改了。
    mercury233
        41
    mercury233  
       2018-10-26 14:13:04 +08:00
    修改密码比忘记密码还要多一步验证的问题,原因应该是忘记密码验证太松了吧
    realityone
        42
    realityone  
       2018-10-26 14:13:24 +08:00
    你可以通过找回密码来“快速”修改密码了。
    KuzhiBake
        43
    KuzhiBake  
       2018-10-26 14:23:22 +08:00 via Android
    我已经放弃抱怨了,但是这屎一样的 b 站在修改密码的时候竟然要我输入原密码,什么垃圾逻辑?!
    oneyian
        44
    oneyian  
       2018-10-26 14:26:02 +08:00
    产品经理:永远不要相信用户的智商
    passerbytiny
        45
    passerbytiny  
       2018-10-26 14:27:49 +08:00   ❤️ 3
    @HeiXiaoBai #27
    @RoyL
    @deepdark #33
    @BestSera #30
    @janus77 #38
    https://i.loli.net/2018/10/26/5bd2b2ed8082e.png
    同样能修改成新的密码,知道密码的人,要比不知道密码的人多一个步骤,再看不出问题出来我就真没啥可说的了。

    @leeg810312 #34 你的语文确实白学了。
    grewer
        46
    grewer  
       2018-10-26 14:40:32 +08:00   ❤️ 3
    楼上再嘲讽什么呢
    明明是已经通过了手机验证 还需要原密码验证的问题
    这个明显是 B 站的问题吧
    hg
        47
    hg  
       2018-10-26 14:42:06 +08:00 via Android   ❤️ 5
    真怀疑上面舔产品经理人的智商。
    Lanke0
        48
    Lanke0  
       2018-10-26 14:45:53 +08:00
    你们有点厉害..没必要吵这么凶,搞清楚就好了。

    至于那个 P 那人我早就 Black 了
    no1xsyzy
        49
    no1xsyzy  
       2018-10-26 14:56:01 +08:00   ❤️ 2
    已登录用户需要进行的操作 完全覆盖并超越了 未登录用户需要进行的操作。
    换句话说,拿到 session 的接入点更加不可信?
    这样导致的一个结果就是退出登录重置密码更加方便。

    另外,语文白学了……
    语文:明明是我先来的。
    otakustay
        50
    otakustay  
       2018-10-26 15:05:25 +08:00
    改银行卡密码还同时要手机、PIN 码、U 盾验证呢,有啥不正常的
    ooQAQoo
        51
    ooQAQoo  
       2018-10-26 16:01:38 +08:00
    窒息
    wsstest
        52
    wsstest  
       2018-10-26 16:05:27 +08:00
    很正常啊,防 CSRF 攻击
    xmge
        53
    xmge  
       2018-10-26 16:11:00 +08:00
    @passerbytiny 为了防止 `此时你出去了,有人直接更改你的密码` 这种情况发生,这个是重置密码,当然还有忘记密码功能。
    youngster
        54
    youngster  
       2018-10-26 16:24:49 +08:00
    精彩
    youngster
        55
    youngster  
       2018-10-26 16:25:25 +08:00
    所以楼主只是好奇为什么改密码还要验证手机?
    Lanke0
        56
    Lanke0  
       2018-10-26 16:28:56 +08:00
    threshonly
        57
    threshonly  
       2018-10-26 16:33:19 +08:00 via Android
    app→安全隐私→账号安全→[即可通过手机验证码更改密码]。

    一般站点或者 app 只要你绑定了手机号码和邮箱,即使忘记密码也是可以更改密码的,并且无需输入原密。可能是楼主没有找到这个选项。本身说的没问题。。。只是太蠢了(。˘•㉨•˘。)心疼..
    threshonly
        58
    threshonly  
       2018-10-26 16:34:15 +08:00 via Android
    @deepdark 不是啊,绑定了手机或者邮箱是可以通过验证码更改密码的啊,楼主本身没错,不过都有这个选项,估计是楼主没找到。
    gpra8764
        59
    gpra8764  
       2018-10-26 16:45:37 +08:00
    后排弱势围观
    JKeita
        60
    JKeita  
       2018-10-26 16:47:44 +08:00
    楼主是来搞笑的吧
    moonsola
        61
    moonsola  
       2018-10-26 16:51:09 +08:00   ❤️ 1
    楼主的操作确实……退出就可以了
    不过 B 站修改密码的流程确实有问题,登录状态竟然比未登录状态多一步鉴权,理解不能
    xaoduer
        62
    xaoduer  
       2018-10-26 16:57:42 +08:00   ❤️ 1
    赶上一场精彩的辩论赛,修改密码本来就是在知道原密码的基础上修改的,这个没毛病,有毛病的应该是还要发手机验证码。发手机验证码应该在忘记密码时需要。
    SeaRecluse
        63
    SeaRecluse  
       2018-10-26 17:11:52 +08:00   ❤️ 1
    理解楼主,确实我以前也吐槽过,楼上一群键盘侠自己流程过一遍就懂了
    geminil
        64
    geminil  
       2018-10-26 17:29:24 +08:00   ❤️ 1
    忍不住评论下
    修改密码:在原登录的情况下,验证手机,防止登录状态下,人离开电脑被别人擅自操作,不过是多了手机验证的一环(手机那个只是为了验证是否是本人操作,验证是否本人操作),然后就是老的逻辑,登录情况下改密码,需要输入原密码。
    忘记密码:自然会觉得根本就不记得密码登录不进去,情况下。
    yzkcy
        65
    yzkcy  
       2018-10-26 17:36:18 +08:00   ❤️ 5
    @passerbytiny
    修改密码一般常见的逻辑就是验证原密码,输入新密码。或者验证短信 /邮箱验证码,输入新密码。
    忘记密码一般常见的逻辑是验证短信 /邮箱验证码,输入新密码。或者验证实名身份什么的,输入新密码(少见)。

    至于说 B 站短信验证码登录过后,修改密码为什么还要输入旧密码,觉得脱裤子放屁,多此一举。还是图样。

    登陆时是你本人操作的,但是系统怎么判定登陆后(一段或短或长的时间)操作这个账户的还是你本人?
    而且,[账号并不一定必须登录才能处于登录状态。]
    所以才会有涉及敏感操作的时候再一步鉴权,比如修改密码、支付什么的,需要再一步获取短信验证码或者原登录 /支付密码。

    至于忘记密码为什么只需要短信验证码,那时因为你忘记密码的时候目的明确,你肯定填写短信验证码之后立马就输入新密码修改了。而且短信验证码过时也会失效,基本可以判断这个是你本人操作。

    再举个场景,比如 B 站有个 XSS 漏洞,你中招了,别人用你的 cookie 接管你账号了,一般情况下 cookie 失效后,权限就失效了。但是这个时候要是修改密码的地方不需要进一步鉴权(原密码或短信验证码),输入新密码直接能改,那么直接可以修改你密码,持续化控制了。
    再再举个例子,以前微博的 oauth2 认证有个漏洞,修改 uid 就可以调用任意微博用户的账号登录,要是修改密码的地方没有进一步鉴权,那也后果同上了。
    而且输入旧密码还有个原始功能,可以防 CSRF 攻击。

    所以,系统如果认定处于登录状态的账号就是你本人操作的,之后该账号进行敏感操作的时候没有进一步鉴权,会是一件很危险的事情。
    realityone
        66
    realityone  
       2018-10-26 17:40:42 +08:00 via iPhone
    安全性功能应该基于数学来设计,而非用户直观感受。
    yzkcy
        67
    yzkcy  
       2018-10-26 17:50:48 +08:00
    接#65
    开个群嘲。估计这楼里有不少开发的程序潜藏着一些弱智逻辑漏洞。
    neverandy
        68
    neverandy  
       2018-10-26 17:57:29 +08:00
    不要在意这些小细节[doge]
    wildmelon
        69
    wildmelon  
       2018-10-26 17:59:05 +08:00
    @yzkcy
    "修改密码一般常见的逻辑就是验证原密码,输入新密码。或者验证短信 /邮箱验证码,输入新密码。"
    --------------------
    B 站修改密码的逻辑是:
    1. 验证短信 /邮箱验证码
    2. 验证原密码
    3. 输入新密码

    B 站重置密码的逻辑是:
    1. 验证短信 /邮箱验证码
    2. 输入新密码
    dcsite
        70
    dcsite  
       2018-10-26 17:59:22 +08:00
    产品经理:

    很简单,之前修改密码需要原密码,后来发现密码被盗后改密的情况很多,就加入了手机验证码。很难理解吗程序员们?
    redapple02041
        71
    redapple02041  
       2018-10-26 18:03:29 +08:00
    我也觉得这个逻辑有点问题。。反正找回密码也是只用手机认证,要是盗号者真的有办法过手机这一关直接点找回密码不就得了。。
    stabc
        72
    stabc  
       2018-10-26 18:04:29 +08:00
    上面嘲讽 LZ 的人,是不了解『重置密码需要输入原密码』的初衷吧。
    honeycomb
        73
    honeycomb  
       2018-10-26 18:06:55 +08:00 via Android
    @ericgui
    这个逻辑是正确的,登录状态下,修改密码以前,需要输入原有密码,然后通过第二步认证。

    楼主可以看一下 Google,Microsoft 的账号在开启两步验证时修改密码的流程。
    bbbai
        74
    bbbai  
       2018-10-26 18:06:55 +08:00
    一点问题都没有 谢谢, 登陆操作校验是登陆操作的事情, 修改密码是修改的事情,肯定要进行验证。 万一不是登陆的人控制了终端岂不是想怎么改。
    winstars
        75
    winstars  
       2018-10-26 18:21:41 +08:00
    @passerbytiny #27 明白明白。但是从安全角度来说,手机号验证只是确保这个修改密码的操作是本人而已。从业务逻辑上来说,重设密码和忘记密码是两回事。如果知道了原密码就能直接改密码,那么安全性就弱了。修改密码是涉及安全性的操作,修改密码需要双因素验证是主流。
    cllvking
        76
    cllvking  
       2018-10-26 18:22:59 +08:00 via Android
    同意#65,很难判断:处于登录状态时的修改密码是否是本人操作,所以需要原密码还是有必要的
    laoyur
        77
    laoyur  
       2018-10-26 18:59:03 +08:00   ❤️ 1
    修改密码 需要「原密码」、「手机验证码」,不需要知道「手机号」;
    忘记密码 需要「手机号」、「手机验证码」

    仔细想一下,两种场景还是有不同的,一定程度上用于应对不同的攻击模式。
    当然,对用户本人来说,修改密码略微苛刻,因为它的限制反而比忘记密码更严格。
    rocksolid
        78
    rocksolid  
       2018-10-26 19:02:15 +08:00
    其实你们争论点都错了

    B 站改密码竟然要求输入当前密码是正确的,B 站错的是重置密码,理论上应该把重置密码发到密保邮箱,但是 B 站直接可以修改了,不管是捡到还是别人拿到你手机都可以改你的密码
    Shynoob
        79
    Shynoob  
       2018-10-26 19:07:43 +08:00
    楼主竟然想在登陆成功的状态时 页面展示一个忘记密码的按钮
    0312birdzhang
        80
    0312birdzhang  
       2018-10-26 19:15:47 +08:00 via iPhone
    @passerbytiny 这是用验证码登录的,要是你的手机丢了那岂不是别人随便改你的密码?
    Tink
        81
    Tink  
       2018-10-26 19:25:23 +08:00 via iPhone
    @passerbytiny #17 验证手机说明不了问题
    v2sir
        82
    v2sir  
       2018-10-26 19:54:57 +08:00
    如果 69 楼的流程是正确的话, 我就明白楼主睡说的了。
    其实还是楼主开始没讲明白
    pandasoda
        83
    pandasoda  
       2018-10-26 22:34:00 +08:00
    https://www.v2ex.com/t/480715 之前就遇到过 一个更改密码 一个是重置密码
    zcjfesky
        84
    zcjfesky  
       2018-10-26 22:52:34 +08:00 via Android   ❤️ 1
    b 站老用户估计能理解的,当年 b 站改密码只需要原密码,后来手机验证流行了之后在原有流程上加入了新环节,就变成了原密码+验证码

    而忘记密码是从一开始就设计成 通过问题 /密保联系方式获得用户验证 ->直接修改密码 的流程,所以不存在添加补丁的问题

    这个问题是一个系统升级的模式问题,一直通过补丁来升级往上叠罗汉的结局就是这样
    zyqf
        85
    zyqf  
       2018-10-26 23:39:04 +08:00 via Android
    @passerbytiny 当黑客获取到你的 Cookie 就可以直接改密码了。如果你觉得这件事情概率很小,但你离开电脑做,心怀不轨的路人甲乘你登录时候还是可以修改密码。

    所以修改密码必须要验证当前登录者必须是账号所属者。
    tia
        86
    tia  
       2018-10-26 23:47:47 +08:00
    @zyqf #85 反正一群人不懂这个道理
    crysislinux
        87
    crysislinux  
       2018-10-27 00:14:14 +08:00 via Android
    @passerbytiny 挺你一波。你的意思明显是直接登出重置密码只需要手机。已经登录了反而除了手机之外还要密码。。那些说安全性的,人家捡了你的手机直接登出重置密码不就行了,还要啥子原密码。
    auzeonfung
        88
    auzeonfung  
       2018-10-27 00:24:30 +08:00 via iPhone
    我觉得楼主说得没错啊?
    楼上一群嘲讽的,个个咬牙切齿的,让我不禁怀疑是不是 B 站的产品开的小号。
    还有人说什么“那个人我早就 b 了”,逼真精神胜利,我都笑出声了。
    这明显就是 b 站修改密码的流程有问题。
    原来的修改密码估计是没有验证手机这一步的,后来加上了,验证原密码的这一步就应该去掉。
    有人说这样更安全…这不是搞笑吗?直接登出走忘记密码的流程不是一样可以重置密码??验证原密码毫无意义。
    cyspy
        89
    cyspy  
       2018-10-27 00:45:20 +08:00
    B 站手机还是以前的,销号了之后就完全没法改了必须要接收老短信,不知道现在怎么样
    ericgui
        90
    ericgui  
    OP
       2018-10-27 06:39:29 +08:00 via Android
    @auzeonfung 感谢。
    chinvo
        91
    chinvo  
       2018-10-27 06:59:35 +08:00 via iPhone
    挺楼主
    就像 @no1xsyzy #47 说的,
    修改密码要避免密码泄漏的情况下被恶意修改的道理大家都懂,
    但是让人震惊的是重设密码竟然比修改密码需要验证的内容少,
    只需要用户名或手机号 加上 手机验证码,明显比修改密码需要用户名(要先登录)、原密码、手机验证码要少,
    某些嘲讽别人逻辑弱智的人是真的逻辑混乱
    liuzuo
        92
    liuzuo  
       2018-10-27 07:45:02 +08:00
    请不要将找回密码和修改密码混为一谈!!!!!
    修改密码一定要验证你是你,网站在不验证其他信息的情况下只有一种方法:密码,所以修改密码一定要验证原密码;
    假定如果在手机号更换的情况,你拿到的新手机号之前如果注册过网站用户,如果修改密码不需要密码你觉得会如何?结果就是你找回的是别人的账户。
    因此现在找回密码系统设计的时候,首先要验证手机号,然后还一定要验证实名信息,如果相匹配是找回密码,否则就是重建账户。
    ucanuup
        93
    ucanuup  
       2018-10-27 08:04:06 +08:00   ❤️ 1
    楼主说的没错啊,B 站这个改密码的流程就是有问题。
    修改密码:验证手机号 并且 原密码。
    重置密码:验证手机号
    这样子,修改密码根本没有存在的必要。
    楼上一群人根本不知道楼主说的什么。自己去试一下就知道了。
    imn1
        94
    imn1  
       2018-10-27 09:17:27 +08:00   ❤️ 2
    首先确定一点:产品设计有问题
    主要问题不在于是否鉴权,而是在于流程

    合理的流程是
    修改密码
    1.先问现在密码
    2.提权鉴定
    3.新密码

    忘记密码
    1.曾用密码(这个需要数据库另外设计,保留历史)
    2.不能记忆曾用密码的,换一种低权限问法
    3.提权鉴定
    4.新密码

    两种都是基于两次 /多重验证,比较重要是多设备的思想
    就是登入设备相关内容询问一次,鉴权设备再问一次

    LZ 的情况在于站点提权后,才问低权限(登入设备相关)问题,流程不对,客户体验糟糕
    如果忘记密码没有问登入设备相关内容,直接用鉴权设备就可以换密码,也是有问题的
    wolfie
        95
    wolfie  
       2018-10-27 09:44:16 +08:00
    都不赞同你,也不至于攻击所有产品经理。。。
    lzvezr
        96
    lzvezr  
       2018-10-27 09:54:38 +08:00 via Android   ❤️ 1
    试了一下手机 app,确实如此,修改密码既要手机验证又要原密码,而重置只需要手机验证
    ryan18
        97
    ryan18  
       2018-10-27 09:57:11 +08:00 via Android
    日常生活中太常见的一个情况就是你人走开,电脑开着已经登录了。这时候别人可以操作你电脑,也就罢了,还可以修改密码什么的,岂非弄成麻烦?所以大多数网站对修改密码这类操作是要求二次验证的,正常操作,并非 b 站独有
    SuperMild
        98
    SuperMild  
       2018-10-27 10:20:02 +08:00
    1.楼主一开始说得不是很清楚
    2.由于重置密码的常见流程,很多人先入为主没有细看楼主说的问题

    这两点导致这楼讨论有点乱。

    现在很多网站重置密码、忘记密码之类的流程,最大的问题是给手机短信太大权限了。

    不管哪个环节都让手机短信插一手,同时又给手机短信最大权限,导致用户发现:“哦,原来搞来搞去,只要手机短信就能获得最大权限,原来那些旧流程只剩下个空架子了!”
    7vps
        99
    7vps  
       2018-10-27 11:23:39 +08:00
    这波操作很骚,爸爸给你 99 分,少一分怕你骄傲。
    niceworld
        100
    niceworld  
       2018-10-27 11:56:44 +08:00
    我觉得没问题啊,虽然你结果一样但是开始的状态和中间的操作逻辑不一样。
    现在很多场景是不需要每次都要登陆的,这就造成就大多数时候你是登陆状态,不能保证修改密码的是你本人,这个时候修改密码他要验证一下是不是本人。
    忘记密码是没有登陆,验证一下本人就🆗了
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1039 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 18:15 · PVG 02:15 · LAX 10:15 · JFK 13:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.