ronaldtgi
2017-06-15 14:33:20 UTC
假設有人偷了我的密碼,他/她可以通過確認舊密碼來輕鬆地更改它。
所以,我很好奇為什麼我們需要這一步,使用舊密碼確認的目的是什麼?
請注意,出於答案中給出的有效理由,此政策(或類似政策)必須適用於所有帳戶控制功能。例如。更改具有密碼重置功能的帳戶的電子郵件地址。
@ronaldtgi我假設您的意思是“如果已經登錄* _,為什麼我們需要該步驟_ *,這是正確的嗎?否則問題似乎很愚蠢。
同樣,這類似於在Linux計算機上發出“ sudo”命令時要求您再次輸入密碼。否則,我走了30秒鐘而沒有鎖定我的PC,有人迅速鍵入了“ sudo惡意命令”,即使我沒有以root用戶身份登錄,即使該人只是使用root用戶訪問權限,我也被蒙上了一層陰影。或類似Windows UAC提示您安裝某些東西時。這些都是提供保護層的額外網關。
“假設有人偷了我的密碼,他/她可以通過確認舊密碼來輕鬆地更改它。”確實,但是如果系統不詢問舊密碼,它將變成“假設某人根本不知道我的密碼,他/她可以輕鬆地將其更改為他們想要的任何密碼”。這聽起來對您安全嗎?
@oerkelens第二個陳述不正確,並且高估了該問題。應該是“假設某人根本不知道我的密碼,如果他/她可以訪問我已經登錄的系統*,他/她可以輕鬆地將其更改為他們想要的任何內容”。根據上下文,這可能在可接受的安全性限制內。例如。當我想更改它時,我可能不需要我的防盜報警系統詢問我的舊代碼,因為在現實情況中,這並不重要。
@Aaron,確實是。如果我問的問題就像我正在註銷並想要編輯密碼,那將更加愚蠢。
我想知道有多少人通過推理來實現它
如果有人找到一種完全繞開登錄系統的方法怎麼辦?在更改密碼時強制使用密碼可以防止黑客將您鎖定。當然,他們仍然有權使用,但至少*您*仍然可以進入。這不是一個真正的答案。只是一個小小的想法。我可能完全錯了。
進入會話!=竊取密碼
最好添加一個安全問題