互聯網上有幾種登錄表單(例如Google的登錄表單),您可以在其中首先輸入登錄名,然後在提交登錄名後輸入密碼。
其中一個優點是,我想,服務器只能提取它知道的圖像並將其顯示給用戶,以幫助阻止簡單的網絡釣魚方案。
我的問題是為什麼沒人反其道而行之-首先要求
我可以看到一個明顯的答案(該密碼可能不是唯一的,因此服務器將不知道要顯示誰的反網絡釣魚圖像),但是不說服我。立即可以禁用共享密碼的帳戶,或者至少強制用戶下次登錄時將其密碼更改為唯一的字符串,並且可以解決“ 123456”密碼現象。
我可以看到的另一個問題是,在網絡釣魚的情況下,用戶正確輸入了密碼,然後注意到向他顯示了錯誤的圖像,他已經放棄了密碼,網絡釣魚者要做的所有工作就是確定誰密碼屬於。
我想知道的是,登錄-然後-密碼序列是否主要是出於慣例或用戶界面的考慮,或者是否存在其他安全問題?首先輸入密碼(除了我提到的兩個密碼)。