需要用户手机验证登录背后的决策过程！

limeng · 发表于 2018-6-9 22:25:59

本帖最后由 limeng 于 2018-6-9 22:52 编辑

这整个过程是我参与决策，需要手机验证是我提的，如果要骂的话那就骂我好了，这个锅我来背！

过程：
一夜之间，论坛完全是乱七八糟的色情信息，后面的过程就是删贴，再后来就是关闭论坛发贴功能，一直持续到现在，发那些色情贴的帐号除了是刻意注册的一些帐号之外，还有一些是长期下单的客户，密码极度简单，如6个1之类，对于撞库来说极其简单，此时引起了我们高层的高度重视，开始了帐号方案的大讨论：

贺总方案：贺总马提出了用复杂的密度，用大小字母6位的方式，而我对于大小字母是非常反感，当晚上讨论，最终同意密码可以字母加数字的方式，对于简单密码强制修改，三天后上线，嘉立创反映太大，因为对于简单的密码客户，方案规定是必须重置密码，但是有很多老客户原来的手机号都不用了，没办法重置，所以上线半天后暂停！

也就是上线的当天，我跟高经理，贺总，还有杨总，在午餐进行短暂的讨论：
1）贺总的强密码方式因为在实施过程中重置密码行不通，我则提出的是继续保持弱密码然后再加补充系统记录手机号码的后6位，我的观点是，手机的后6位，对于小范围是公开的，而对于大的社会来说则是密文，但是他们反对说，如果简单的密文资料以泄透，则这部分客户无法保护以来，同样会形成大面积事件，对此观点我表示了认同

2）后续我继续提出了手机验证的方案，我的出发点两点，1）能让客户继续保留弱密码（好记）的功能，2）不要影响太多的客户，不要强制所有的弱密码必须改密码高经理补充说有一个知名招聘网站也是采用此方式，所以最后的方案就是现在的方案：

1）增加拖动滑条
2）对于简单的密码给于提示，而不强制必须改
3）增加了当前登录人的手机验证功能，也就是大家骂得最凶的

后记：
对于在强密码无法实施的情况下，进行手机验证，我个人到认为是一个不错的选择，手机人人有，在原来的基础上也仅仅增加了一个手机验证动作，增加了这个动作对于大家的帐户安全也得到了极大的保障！手机是人人都有的，当然为了尽可能减少对于客的影响，嘉立创从一开始就记往了密码，尽可能的不要密往密码功能，对于原密码的弱密的也给于了保留，只是给于了提醒（系统认为是异常的则强制）

armku · 发表于 2018-6-9 22:42:37

直接QQ、微信等第三方登录，把锅甩给第三方

Vmao · 发表于 2018-6-9 23:02:58

手机验证登录对于那些换手机号的就没有问题了?逻辑行不通

limeng · 发表于 2018-6-9 23:06:58

Vmao 发表于 2018-6-9 23:02
手机验证登录对于那些换手机号的就没有问题了?逻辑行不通

没有任何问题，此手机号不是注册帐号，是登录人的手机帐号

armok · 发表于 2018-6-10 00:58:46

提示: 作者被禁止或删除内容自动屏蔽

armok · 发表于 2018-6-10 01:06:50

提示: 作者被禁止或删除内容自动屏蔽

armok · 发表于 2018-6-10 01:12:50

提示: 作者被禁止或删除内容自动屏蔽

qycc566 · 发表于 2018-6-11 09:25:42

网络安全第一，强密码肯定是要强制的。做网络安全也有四年了，反正见过最坑的就是弱口令，公司里面一个在互联网上的系统，只有一个用户登录入口，入口做过加固，但就是有人懒，用了个qwer1234的密码再加上个人名字典。。。。

zxq6 · 发表于 2018-6-11 09:29:46

启用QQ，微信登录吧，这貌似要好很多。
另外，手机验证，是每次登录都验证，还是换地址后才验证？如果每次登录都验证，那有点那啥了。。。

web110 · 发表于 2018-6-11 09:38:46

论坛和下单系统要有隔离墙，对于想发帖的，可以强制修改密码！

idterminator · 发表于 2018-6-11 09:42:19

大小写字母或者字符+数字的方案不错，
现在不少地方都这样强制要求了，所以也不算是什么不可接受的麻烦事

czdavid · 发表于 2018-6-11 10:12:44

支持提高安全性。
现在是登陆一次验证一次短信，才能进入平台下单，是否能够优化下？

sunnyqd · 发表于 2018-6-11 11:29:01

立创在这件事上真没做对

liurangzhou · 发表于 2018-6-11 13:47:59

每次短信好烦，似乎网站有问题，进了后点某个地方，半天不响应

huanxian · 发表于 2018-6-11 15:15:30

所以一开始定义好密码规则很重要

zc3909 · 发表于 2018-6-11 15:26:32

本帖最后由 zc3909 于 2018-6-11 15:27 编辑

我司所有系统均禁止弱口令,大写+小写+数字+特殊字符,长度大于8,没有商量的余地,否则合规不过,强制下线

yqlomg · 发表于 2018-6-11 15:58:59

为了几个手机号停机的，就让大众背锅，杀敌8个，自损1000啊

Earthman · 发表于 2018-6-11 17:08:55

对于使用强密码的用户不用短信提醒，对于弱密码的用户，强制提醒，两种麻烦任选一个

天下乌鸦一般黑 · 发表于 2018-6-11 17:13:26

公司注册的账户，账户所有者、下单工程师和付款人不是一个人来完成的，你们有木有考虑用户的感受啊~

WindDragon · 发表于 2018-6-11 17:16:07

天下乌鸦一般黑发表于 2018-6-11 17:13
公司注册的账户，账户所有者、下单工程师和付款人不是一个人来完成的，你们有木有考虑用户的感受啊~ ...

就是啊，公司账户，好多个人一起用的。

天下乌鸦一般黑 · 发表于 2018-6-11 17:19:51

WindDragon 发表于 2018-6-11 17:16
就是啊，公司账户，好多个人一起用的。

不仅仅是下单的时候需要登录，开发票，查询一些下单信息，查找可贴片器件等等都需要登录网站的，每次都手机验证简直是太不人性化，方法肯定有的，建议嘉立创别做艰难的决定了，好好考虑考虑做个别的决定行不~

limeng · 发表于 2018-6-11 17:49:55

天下乌鸦一般黑发表于 2018-6-11 17:19
不仅仅是下单的时候需要登录，开发票，查询一些下单信息，查找可贴片器件等等都需要登录网站的，每次都手 ...

进入一次就记录了，不用每次要的！

hymculolo · 发表于 2018-6-11 19:12:30

yqlomg 发表于 2018-6-11 15:58
为了几个手机号停机的，就让大众背锅，杀敌8个，自损1000啊

这才是正解嘛。

opiviqo · 发表于 2018-6-11 20:10:04

limeng 发表于 2018-6-11 17:49
进入一次就记录了，不用每次要的！

袁总，但是如果公司一个账号，个人一个账号的话就需要切换了，这个时候就很麻烦了。
毕竟公司的账号是公用，个人的账号自己用！~~

limeng · 发表于 2018-6-11 20:18:07

opiviqo 发表于 2018-6-11 20:10
袁总，但是如果公司一个账号，个人一个账号的话就需要切换了，这个时候就很麻烦了。
毕竟公司的账号是公 ...

切换非常简单，嘉立创有切换功能，你没有用过？

sunnyqd · 发表于 2018-6-11 21:24:48

limeng 发表于 2018-6-11 20:18
切换非常简单，嘉立创有切换功能，你没有用过？

嘉立创有，立创商城没有啊

嘉立创-高先生 · 发表于 2018-6-11 22:48:07

sunnyqd 发表于 2018-6-11 21:24
嘉立创有，立创商城没有啊

立创已经在开发中，这个应该很快能上线

嘉立创-高先生 · 发表于 2018-6-11 22:49:08

yqlomg 发表于 2018-6-11 15:58
为了几个手机号停机的，就让大众背锅，杀敌8个，自损1000啊

几个?我告诉你数字四万六千多

techh · 发表于 2018-6-13 15:23:31

只能说每次短信验证太奇葩了

ddddd120 · 发表于 2018-6-14 07:19:31

pcb下单每次登陆都的验证短信，用户体验简直了！！

armok · 发表于 2018-6-14 07:24:27

提示: 作者被禁止或删除内容自动屏蔽

censtar · 发表于 2018-6-14 08:35:28

哎。。。。看了这个帖子，我胆战心惊！！！！！

censtar · 发表于 2018-6-14 08:37:00

“还有一些是长期下单的客户，密码极度简单，如6个1之类，对于撞库来说极其简单” ，这句说明：JLC 是知道用户的密码的！！！！也就是说，如果有人把数据库搞出去，可以轻松的逆向出用户的密码。

BD8NCF · 发表于 2018-6-14 09:10:37

censtar 发表于 2018-6-14 08:37
“还有一些是长期下单的客户，密码极度简单，如6个1之类，对于撞库来说极其简单” ，这句说明：JLC 是知道 ...

是啊。
保存用户密码明文，那怕你再怎么加密，都是令人恐惧的行为。
凡是保存用户密码明文的，除非水平低，要不就是有不能告人的想法

psocfans · 发表于 2018-6-14 09:32:10

公司账号注册是用的老板的手机号，我已经懒得去登录了。采购昨天搞了好几次，叫老板发验证码。呵呵。

censtar · 发表于 2018-6-14 13:01:11

BD8NCF 发表于 2018-6-14 09:10
是啊。
保存用户密码明文，那怕你再怎么加密，都是令人恐惧的行为。
凡是保存用户密码明文的，除非水平低 ...

不光是不能明文。一定是不可逆的算法才行。

limeng · 发表于 2018-6-14 18:15:36

censtar 发表于 2018-6-14 08:37
“还有一些是长期下单的客户，密码极度简单，如6个1之类，对于撞库来说极其简单” ，这句说明：JLC 是知道 ...

用我们贺总的话来解释为什么知道密码极其简单

QQ图片20180614181454.png

sq0101 · 发表于 2018-6-14 21:21:53

我用的是公司号，现在使用总是要找人家要验证码，太麻烦了，还是把这个验证交给QQ吧，使用QQ登录，其它什么手机绑定啊都交给QQ就行了，我QQ的加密也够了，换电脑登录要手机验证的，

limeng · 发表于 2018-6-14 22:36:41

sq0101 发表于 2018-6-14 21:21
我用的是公司号，现在使用总是要找人家要验证码，太麻烦了，还是把这个验证交给QQ吧，使用QQ登录，其它什么 ...

用你手机号就能验证，而且是登录一次就记住了，要是记不住，下载一个嘉立创下单助手

shuiluo2 · 发表于 2018-6-14 22:44:30

公司号怎么搞，每回都问一个人要密码，得烦死

limeng · 发表于 2018-6-14 22:52:02

shuiluo2 发表于 2018-6-14 22:44
公司号怎么搞，每回都问一个人要密码，得烦死

这个验证码是当前进入人的手机号，或是随意一个手机号，一般进入一次就会永运记往，当然有的IE记不往，你下载一个嘉立创下单助手肯定能记往

lyping1987 · 发表于 2018-6-15 11:14:44

limeng 发表于 2018-6-14 22:52
这个验证码是当前进入人的手机号，或是随意一个手机号，一般进入一次就会永运记往，当然有的IE记不往，你 ...

另一个贴回帖了，才看到这个主题。
建议：
1、能记住登录
2、不要每次等手机验证嘛，生活不能这么粗暴。哪怕超过3天没登录，就验证一下我觉得也好很多。
TIM图片20180615105034.png

看上去系统是知道上次是什么时候登录的。

还觉得不安全，判断与上次登录是不是一个省份或市，不是就验证，是就不验证。这也是很成熟的方案了。

chendy6868 · 发表于 2018-6-15 15:09:03

晕啊，我以为ZF叫你们网站必须用手机上咧。

wangjiati · 发表于 2018-6-15 19:33:08

chendy6868 发表于 2018-6-15 15:09
晕啊，我以为ZF叫你们网站必须用手机上咧。

你以为正负没说，是楼主不能说。说不得。

OurWay · 发表于 2018-7-17 10:43:39

这几天用 Chrome 登陆，发现只要不在不同网络服务商登陆再上就要手机验证，记得以前好像没有每次都验证。因为我晚上回去用长城宽带，公司用的联通

cocom · 发表于 2018-7-17 11:41:50

好多人没有搞清楚，其实验证码发送的是登录人的手机号的，不是必须注册人的手机号的，简单地说，就是谁登录就输谁的手机号。
看来好多人不看网站说明或语文不及格。

sanjue · 发表于 2018-7-19 00:22:19

还好还好，我能够接受

rei1984 · 发表于 2018-7-19 06:46:33

登录超级烦。昨天还不能用15的券和9.9包邮并存。。。。

我也是醉了

xfdr · 发表于 2018-7-19 07:44:39

cocom 发表于 2018-7-17 11:41
好多人没有搞清楚，其实验证码发送的是登录人的手机号的，不是必须注册人的手机号的，简单地说，就是谁登录 ...

这样岂不形同虚设了吗

需要用户手机验证登录背后的决策过程！

阿莫论坛20周年了！感谢大家的支持与爱护！！