所有新功能的出现都是为了方便用户着想,这是毋庸置疑的。
但通过手机验证码修改密码 这个功能 到底应不应该存在? 我持怀疑态度。
做一个简单的测试, 你把你的手机借给你身边的任何一个有点上网经验的人,看看他用 “密码找回” 或 “忘了密码” 功能,能不能修改密码?
只要app 或者 web提供了 “ 通过手机验证码修改密码 ” 功能,答案一定是肯定的。 点下密码找回 -》输入手机号,点击发送验证码-》收到验证码后输入验证码,他就可到修改密码界面,然后你的该app或web的密码就被轻松的更改了。
这模拟的是一个什么场景?
1 你的手机丢了;
2 你以前注册的手机号码不用了,但没及时解绑,然后欠费几个月后,运营商已经把此号码卖给别人了。
作为开发人员的我,今天在QQ开发人员的群里建议了一下,结果被一顿拍砖。
1 有人说,那是用户自己的事情,谁让他不及时解绑。
2 有人说,就算被别人捡到了,他也不知道我哪个app,哪个网站用手机号码注册了,这是小概率事件,可以忽略。
3 有人说,就算密码改了,但付款也有付款密码,没事,钱丢不了。
我能爆句粗口吗?我们广大的开发工程师就这样站在用户的角度考虑问题吗?
我想说几句,用户是将手机丢了,谁这辈子没丢过东西,你能保证你一辈子不丢?
现在各大web网站, app这么多,广大网民们谁还没十几个 手机注册的账号,手机丢了,一个个改来得及?漏改了呢?
再说说知不知道哪个app用手机注册了的这个场景,通常用户登录app,很少有 退出登录 习惯的。就算你有session,还有的app是记住账号的,碰巧账号默认已填好并且是手机号呢?就算是神马都没有, 一个个app试也可以吧?
再说说有支付密码的,OK,支付不用操心,你的钱丢不了?但是你的支付密码就是用手机验证码的怎么办?就算不是那样,OK,但是你的账户信息都被泄露的一览无余,你的个人信息,你的交易明细,你的收货地址,等等等等 。我不知道这些信息在不法分子手中能干什么?可能什么都干不了,但你希望被别人看到?我 -----不-----想!!!!!
还有很多情况是我没有想到的
如果你非要说 不能因为怕坠机而不坐飞机,那我也没办法。
我不知道我考虑的对不对,但我不希望我的信息能这样轻易的泄露出去。
我建议:
1 通过用户自定义配置,可自定义开启手机验证码修改密码功能。
2 通过2种以上联系方式同时验证,才能修改密码,毕竟修改密码是小概率事件,保证信息安全,用户花点时间也是值得的。
3 如果做不到同时验证,至少在手机验证码更改密码时,通过第二种方式提示用户,至少让用户知情,有人动了他的密码。
4 或者再狠点,直接砍掉手机验证码修改密码 功能。允许手机号码注册,登录,但不能通过手机验证码修改密码。
虽然有些过失是用户造成的,但我们工程师们也要站在用户的角度,维护用户的信息安全。
