起因:/t/501359
现在国内(国外不清楚),似乎多数网站,有重设密码、忘记密码这两个入口
通常来说是这样的
忘记密码:要求手机或者邮箱的验证,然后就能直接更改
而重设密码:要求手机或者邮箱的验证,然后还需要原密码,才能修改
那这样为什么不是只需要一个验证入口就行?
感觉这个逻辑有点怪怪的
这是属于历史遗留的问题,还是有着其他的什么机制么?
1
mjVtb96d2bap2u3Z 2018-10-26 14:30:59 +08:00 via Android
其实这是完全合理的。楼主忽略了一个场景:登录后短暂离开,另一个人过来把你密码修改了(没验证原密码)。
|
2
passerbytiny 2018-10-26 14:32:37 +08:00
@ali727 #1 傻
|
3
HeiXiaoBai OP @ali727 这个我清楚,重点在于:两种方式都是要手机\邮箱验证,而重设密码不仅要验证,还需要原密码,在这种情况下干净有点多余(或者有什么我没注意到的点)
|
4
helionzzz 2018-10-26 14:37:26 +08:00
一般来说重设密码是登陆后行为 可以不做验证直接改 但是大家都觉得不安全,所以加加限制最后都成一样的了。
|
5
98jiang 2018-10-26 14:42:36 +08:00
因为已经写清楚了是修改密码呀,所以弄个原密码才像修改嘛(
|
6
locoz 2018-10-26 15:00:34 +08:00
忘记密码的风控级别高一些吧,非常用设备、常用地之类的可能就不只是验证个手机或邮箱了,当然也要看那个网站有没有这种设定
修改密码用原密码+其他验证的原因大概是为了防止人离开但账号还在登陆状态,或是被人使用技术手段拿到了登录 session 并修改密码? |
7
micean 2018-10-26 15:09:52 +08:00
重设密码步骤一般要比直接修改密码步骤繁琐。
如果直接修改密码也要验证码的话,那不如只留一个重设密码 |
8
SuperMild 2018-10-26 16:06:16 +08:00
重设密码,通常不需要手机或者邮箱验证吧?只需要原密码。反正以前是这样的,这个功能我很少用,不知道现在通常是怎样。
如果现在还需要额外验证,那就是历史遗留问题了。 |
9
SuperMild 2018-10-26 16:09:30 +08:00
说起来,“产品经理”这个职位貌似还没有正规的课程、资格证之类的东西吧,都是其他行业转过去做的,很多产品经理都不具备基本的专业素质,业务流程各种奇怪。
|
10
hstdt 2018-10-27 12:43:06 +08:00 via iPhone
一般登录进来了,就默认你知道密码(三方登录的历史毕竟不长),用原密码修改即可。如果未登录状态,大部分情况就是忘记密码了呀。
|