首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
工单节点使用指南
• 请用平和的语言准确描述你所遇到的问题
• 厂商的技术支持和你一样也是有喜怒哀乐的普通人类,尊重是相互的
• 如果是关于 V2EX 本身的问题反馈,请使用 反馈 节点
V2EX  ›  全球工单系统

淘宝用户进行修改密码时,不验证旧密码,只需输入新密码……

  •  
  •   nfroot · 207 天前 · 7323 次点击
    这是一个创建于 207 天前的主题,其中的信息可能已经有所发展或是发生改变。
    标题应该很清楚了吧,进入修改密码页面的时候,提示当前环境安全,啥都不验证,直接进入修改密码页面,修改密码页面只需输入新密码,无需输入旧密码,不验证手机、邮箱、啥都不验证。
    第 1 条附言  ·  207 天前
    经过下面评论提醒,在一个陌生设备登录时,淘宝会进行二次验证,所以修改了密码也还是用不了(大意如此)。确实我发帖之前没考虑到。。。。

    但是看到这个评论后,我马上拿出一个工作笔记本进行测试,很顺利的登录了。。。很顺利(别人岗位上退下来的笔记本电脑,我没使用过更没登录过自己账号,只是偶尔做下实验,而且刚好开着,所以一分钟就完成测试了)
    93 回复  |  直到 2019-02-23 12:41:40 +08:00
        1
    a852695   207 天前   ♥ 3
    有什么问题吗,你先搞清楚淘宝怎么实现“当前环境”安全的验证,别拿着半截就开跑。
        2
    crab   207 天前   ♥ 1
    换个新 IP,开浏览器隐身模式试下。
        3
    fnh   207 天前   ♥ 1
    你也说了,提示当前环境安全,还验证个啥子,你支付不是要支付密码么
        4
    Light3   207 天前   ♥ 1
    啥他没验证? 喷他?
    撸主说话真就不过脑子 自己还说了条件 当前环境
        5
    goodan   207 天前   ♥ 1
    淘宝会判定你的 ip 是否是常用登陆地。
    流程简单了也要被用户说,复杂了也要被用户说。企业真的很为难。
        6
    kanata   207 天前   ♥ 22
    亲亲,这边建议您别再用淘宝了呢。
        7
    SakuraKuma   207 天前   ♥ 1
    你换个环境验证到你怀疑人生。。
        8
    baiyun888   207 天前   ♥ 1
    阿里猿工表示很委屈
        9
    liangguan5   207 天前 via Android   ♥ 1
    亲,我们决定百万年薪邀请您来解决这个问题
        10
    nfroot   207 天前
    淘宝已经登录了好一会,一直在看其他页面(非淘宝),然后突然想起来了,点过去修改密码。。。。。连旧密码都没有验证的!还没明白吗?一般修改密码最起码要验证旧密码吧?要验证旧密码啊!!!

    如果还是不了解,哪天同事、领导、下属、客户、供应商、客人、女朋友、男朋友、老公、老婆、儿子、女儿、孙子、孙女……不、任何一个人陌生人都可以在你短暂离开电脑( 1 分钟就够了)的时间内修改掉你的密码,然后美滋滋的从其他电脑登录,查看你的一切内容。。。。。对方本人还可能莫名其妙,咦,为什么登录不了了,然后花上一大堆时间去尝试找回密码(前提是知道有找回密码这个功能,还能经过各种验证。。。有的可能直接放弃这个帐号了)

    当你关掉页面后,忘记刚才登录了淘宝,美滋滋的在做其他事情,要等到你下次用淘宝的时候才会发现,淘宝密码不能用了。。。。这时候什么都晚了噢!!!

    虽然设计成不验证旧密码的网站也存在一些,但是淘宝这种安全性抓得很稳的,还是第一次见。。。
    @nfroot @a852695 @crab @fnh @Light3 @goodan @kanata @SakuraKuma @baiyun888 @liangguan5
        11
    xfspace   207 天前 via Android   ♥ 1
    看发帖记录
    只是眼高手低的用户
        12
    hnbcinfo   207 天前   ♥ 1
    @nfroot 按照你的理论,是不是还得判断,是否是有人偷窥了你的密码,是否是有人捡了你的手机,然后登陆在申请的修改密码?
    简化用户操作和相对安全之间总要有个平衡。何必这么较真,按照你这种死钻牛角尖的思维,这种问题是没法解决的。
        13
    yuanshuai1995   207 天前   ♥ 1
    @nfroot #10 只要不是支付密码怕什么呢
        14
    goodan   207 天前   ♥ 1
    @nfroot #10 你离开电脑了。。那为啥不锁住。。这是常识吧。。
        15
    mztwfed   207 天前 via iPhone   ♥ 1
    离开电脑不随手 win+l,你觉得是谁的问题
        16
    cojing   207 天前   ♥ 1
    @nfroot #10 安全是个厂商和用户共同参与的过程,看你的假设说你离开电脑,要知道个人信息安全意识里可以是有锁屏这一说,而且极端个例谁不会举,来来来我给你举两三个。1、你的密码是你爱人生日,被你爱人尝试出来了,怪厂商不验证; 2、你离开电脑不锁屏,别人用 Chrome 浏览器打开淘宝改密码,怪 Chrome 在 History 页面没验证; 3、你锁了屏,但被别人插 U 盘用 PE 破解了密码,怪淘宝不验证。
    建议楼主先去了解一下个人信息安全基础意识再来想为什么离开电脑不锁屏这件事应该怪厂商。
        17
    qping   207 天前   ♥ 1
    别人改了你的,你可以再改回来,不怕。
        18
    yzkcy   207 天前   ♥ 4
    @nfroot "任何一个人陌生人都可以在你短暂离开电脑( 1 分钟就够了)的时间内修改掉你的密码,然后美滋滋的从其他电脑登录,查看你的一切内容"

    章口就来?就算给你密码,你在陌生环境登录也得过二次认证吧。
        19
    cojing   207 天前   ♥ 2
    另外,请楼主想一个安全验证方案,手机验证码?万一手机放桌上被看到验证码,也怪淘宝没做更严格的验证咯?
        20
    yzkcy   207 天前   ♥ 2
    下结论之前,最好自己先试试。写代码的,严谨是底线。
        21
    Hayek   207 天前   ♥ 2
    淘宝:花了这么多工程师的心血搞出来的安全环境验证机制,就是为了让用户方便一些,这也可以被喷。
        22
    SakuraKuma   207 天前   ♥ 1
    @nfroot ???? 你自己出门后把门打开了, 怪贼进去了咯? 随手 win l 不是常识吗..
        23
    nfroot   207 天前
    @yzkcy

    章口就来是说你自己么。。。。

    "章口就来?就算给你密码,你在陌生环境登录也得过二次认证吧。"

    确实是之前没注意到这一点,看到你这句话后随手我就拿起旁边的一个工作笔记本登录了我刚才修改密码的淘宝用户,用的火狐浏览器 v52.9。(绝对从未在上面登录过私人账号,因为这是从别人岗位退下来的破旧电脑,平时只是做下实验用)

    并没有出现二次验证啊!
        24
    arrow8899   207 天前   ♥ 1
    在新设备登录,需要验证码的。
        25
    Halry   207 天前 via Android   ♥ 1
    不验证旧密码很正常啊,你都登录进去了,也是你常用电脑
    不要你刷脸,拍监狱照就不错了
        26
    Vegetables   207 天前 via Android   ♥ 2
    我觉得还是验证下原始密码比较好
        27
    drydiy   207 天前   ♥ 1
    ???
    笑死我了。自己智障怪工程师??
        28
    nfroot   207 天前
    @arrow8899 我在 23 楼解释过了,实测新设备并没有进行二次验证,直接进入了。。(电脑端)
        29
    tony2lord   207 天前   ♥ 1
    看了最近的 1818 黄金眼,有一则新闻说的就是一哥们的新卡号在注销期之前有人绑定了支付宝,然后只需手机验证码就盗刷了别人的花呗七千多。。。
        30
    cjpjxjx   207 天前 via iPhone   ♥ 1
    难道要你提交手持证件照才放心?
        31
    yzkcy   207 天前   ♥ 1
    @nfroot 你说你试了,我在回复之前也试了,没弹二次认证我也不会回这个帖子了。

    另外你最好仔细判断下自己的新设备是不是属于 [陌生环境] 。
        32
    lixuedong   207 天前   ♥ 1
    @nfroot 换个 IP 清除 cookie 之后重登陆试一下
        33
    wangxiaoaer   207 天前   ♥ 1
    @nfroot #10 你那一大坨真是够了。

    1 办公条件这么恶劣的,安全意识高的,离开电脑必然是锁屏,你那些七大姑八大姨那一段也就不存在了。

    2 连找回密码都不知道的人,要么没有攻击价值,要么事情都交给别人办,所以你后面这一段也不存在了。
        34
    nfroot   207 天前
    @yzkcy 对于我的账号来说,这个电脑真的是陌生设备,这方面记忆不会出错,原因有多个。
    1.这个电脑很破旧,我不可能在上面登录淘宝这样卡死个鬼的网站。(登录用户使用)
    2.这是从别人岗位上退下来的,平时最多就测一下网络,测下软件,不会去登录淘宝这种类型的网站
    3.用的是火狐浏览器,检查了一下系统也没有存在“淘宝、支付宝安全控件、组件”之类的东西,如果没有安装这类组件的话,火狐也没可能获得这个电脑偏硬件的信息。。。
        35
    Aixtuz   207 天前
    首先你得确定:你以为的“陌生环境”和支付宝以为的“陌生环境”是否一致,否则后续判断整个基础就偏了..
        36
    reus   207 天前   ♥ 4
    洗地的都是傻逼吗。
        37
    Aixtuz   207 天前   ♥ 1
    你列举的三条从来没用过的论据,确实不能判定本人,
    但这并不代表不能通过其他因素判定为安全环境。
    这就好像:
    我穿了件旧衣服,衣服是别人的,衣服上也没有我的名字和工牌,
    甚至于不用看到我,只要听听声音,朋友还是认识我。
        38
    yzkcy   207 天前   ♥ 1
    @nfroot 我又试了另外一个 [陌生环境] ,一样弹出二次认证。

    1.这个设备是否用这个账号登陆过其他阿里系软件,如阿里云等?
    2.陌生的网络环境?
    3......
        39
    Hazurt   207 天前   ♥ 1
    这是要说明淘宝很不安全?还是身边人很不安全?
    不过同一网络环境,用新设备登陆不需要包括密码的任何安全认证,确实挺不安全的。
        40
    Aixtuz   207 天前   ♥ 2
    安全环境的判定是否完美属于技术问题,可以改进,
    但努力在不影响安全的前提下尽力降低用户的使用复杂度,这不是很好的方向么?
    楼上虽有个别嘲讽,但大多意思只是说楼主心中的判定条件只是支付宝判定的子集,
    至于开骂么?
    要反击恶意,你也得看准人吧,非要贴标签 AOE 攻击引战?
        41
    DANG   207 天前   ♥ 1
        42
    realpg   207 天前   ♥ 1
    @goodan #5
    如果只是这样,那阿里那些工程师还不如我家实习生呢
    看不到的地方很复杂,包括当前状态的失效判定,都是很复杂的
    甚至有基于用户操作习惯的判断
        43
    DANG   207 天前   ♥ 1
        44
    nfroot   207 天前
    @yzkcy 并没有登录相关的网站帐号,因为这就是个很破旧的电脑,不可能在上面使用的,太卡了。。。。淘宝、支付宝帐号属于非常注意帐号了,不可能随便在其他电脑帐号登录的。感觉在别人电脑登录这些帐号纯粹是找刺激。。。

    这个电脑只是做实验用的,比如说网速慢的时候,用它来做测试,会发现,卧槽,这个配置、插屁系统的电脑还能正常速度运行咱们的软件,牛逼了。。。有时候就是通过它来判定一下现在网络正常不正常,软件速度怎么样。。。其他的不会在上面用的。。
        45
    Heyavc   207 天前   ♥ 1
    ..."提示当前环境安全",这不是说明淘宝已经进行安全环境判定了么。安全业务两不误啊,这不是方便用户的措施么。
        46
    realpg   207 天前   ♥ 1
    @yzkcy #38
    大家能想到的都太少了
    你可以尝试把你常用登陆淘宝支付宝的手机拿到室外去,跟你不在同一个 WIFI 下且 wifi 列表搜不到你这个网络可用的 wifi 和手机基站 ID,打开软件操作一次上报数据防止被杀进程干掉,你再看看你的淘宝改密码验证原密码不……

    这只是一个参数 还有更复杂的……
        47
    yzkcy   207 天前   ♥ 1
    @nfroot
    不清楚你的使用环境和历史操作,我刚试了两个完全陌生的环境,都弹出二次认证了。
    我还是更倾向于相信淘宝的风控,因为能绕过陌生环境的二次认证的话,算比较大的威胁情报了。
        48
    DANG   207 天前   ♥ 1
    楼主上图吧,空口无凭
        49
    nfroot   207 天前
    @yzkcy 你这个测试确实也证明了淘宝还有其他的机制,我倾向于是判断了输入用户名时的打字频率和按键时间的习惯,以及鼠标操作习惯(按键频率捕获下登录时的频率还能理解,鼠标好像有点玄了,其他的基本是可以伪造或固定的)。。。
        50
    nfroot   207 天前
    @DANG
    进入我的淘宝》导航栏账户设置-修改登录密码,出现下面图 1 的页面。然后出现修改密码的输入框,图 2,用新密码登录的页面就不截图了,没意义。
    图 1

    图 2
        51
    yzkcy   207 天前   ♥ 1
    @nfroot 你这个有点玄乎了。应该是着重网络环境,其次硬件环境。
        52
    eliteYang   207 天前   ♥ 1
    修改密码有两种方式,一种是登录进去后修改,这个时候前面已经验证了你的正确性,所以无需验证老密码。第二种是通过邮件链接的方式,这个链接里带了很多验证的信息,所以也是安全的,不需要输入老密码。
        53
    nfroot   207 天前
    @yzkcy 之前在知乎视频里看到过这种方式,手机上写着密码,其他人看着这个密码输入,验证不通过,本人同样是输入这个密码,验证通过。。。。(就是不知道视频是不是假的,或者说页面是不是定制的)

    但是觉得这种新型的方式,应该也是可以作为判断依据的。。。
        54
    nfroot   207 天前
    @eliteYang
    @Halry
    @Vegetables
    关于登录后修改用户密码,要不要验证旧密码,大多数网站 /服务会选择需要输入旧密码。。。其实这也是一直存在争议的话题,但是仔细看的话会发现,安全性要求高一点的网站 /服务,都是会要求验证旧密码的,不验证旧密码的很少或者是极少。所以我是偏向于最好验证下旧密码。。。毕竟密码是记心里的。
        55
    amon   207 天前
    刚才在自己的 MBP 上尝试了下淘宝修改密码的流程,说说吧。

    首先登录淘宝,需要扫一扫登录(手机淘宝扫码),或者输入账号密码登录(浏览器填充了账号密码)。
    当我去到个人中心修改密码后,要我验证身份,有两种方式:
    1. 联系客服
    2. 通过 手机验证码+证件

    当我选择第二种,然后又选择其他验证方式后,又多了一种验证方式:
    3. 通过 手机验证码+快捷支付银行卡


    自己理解吧。。。
        56
    nfroot   207 天前
    @amon 我在 50 楼贴了截图,我的步骤是,通过用户名密码登录淘宝》然后浏览器在其他网站浏览了一会》进入我的淘宝》导航栏账户设置-修改登录密码,然后出现截图中的图 1 和图 2,无需验证,这里就不重复发图了,和你的步骤还是有所区别的。
        57
    reus   207 天前   ♥ 1
    连“离开电脑不随手 win+l,你觉得是谁的问题”这种话都说出来了,可见舔狗门的智商有多低。
        58
    DANG   207 天前
    淘宝验证环境的几项里楼主肯定满足了大部分所以会显示环境安全,具体的检查项我倒是没搜出来。。也不能说校验安全的环境真的安全,只能说这是在衡量用户体验和安全性的一种方案
        59
    lfzyx   207 天前
    楼上一大堆舔阿里的是 p7 专家?
        60
    nfroot   207 天前
    @goodan
    @mztwfed
    @cojing
    @SakuraKuma
    我更愿意相信淘宝的极大部分用户是普通用户,而不是程序员,电脑高手,电脑爱好者之类的群体,所以离开电脑不锁电脑很正常,稍微注意点的会最小化(哇塞这个功能真的太棒了,最小化别人就看不到了),有意识离开电脑锁电脑的不多。。。而个人的公司帐号不强制要求的情况下,极大部分会采用弱密码,包括一部分程序员和运维人员,有通用默认密码存在时,大部分人都是这个通用默认密码(这里说的是如 HR 系统、ERP 系统、邮箱密码)


    @arrow8899
    忘记回复你了,我这里实测不需要验证码,但是回复中其他人测试需要密码,疑惑中。
        61
    msg7086   207 天前   ♥ 2
    首先有一个问题。七大姑八大姨等非账号主人趁账号主人不在时偷改密码是非法占有他人财物,不触犯刑法的吗,而你还在纠结淘宝……

    要知道,当有人能够物理接触你电脑系统的时候,就意味着一切东西都不安全了。
    就算今天淘宝需要你的原始密码,你的七大姑八大姨就不能在这一分钟里给你装个键盘记录器把你登录密码记下来?
        62
    goodan   207 天前
    @nfroot #60 有点意思,你说的在理,我父母辈都是记不住密码的,更不要提更改密码了,哈哈。
        63
    helionzzz   207 天前
    安全验证这种东西向来没有定论,走个极端,即使真是你本人在修改密码,系统又怎么知道你是清醒状态还是梦游状态? 是不是还要去医院证明一下,然后再去派出所证明一下你自己是你自己? 能满足大部分人的方案那就是好方案。
        64
    Chan6   207 天前   ♥ 1
    这让我想到了「招商银行」手机 app 的做法,在常用的手机 app 转账,不需要短信验证码,但是换手机就不行。过了晚上 10 点也不行。

    所以这些看似有问题的或者是不安全的做法,是有开发者在安全和便捷性上做的努力,应该是肯定和赞扬的。我很厌烦这种动不动就手机短信验证码的做法,简单粗暴不用动脑。但这也反映了开发者的技术和安全无能,因为某些地方确实可以优化的。

    感谢支付宝和招商银行在这些方面所做的尝试,而不是采用无脑懒惰的做法。
        65
    Arcy   207 天前
    想问下, 楼主大佬的登录方式, 是扫码登录的嘛?
        66
    vincentzlt   207 天前 via iPhone
    之前看过其他地方讨论,简单来讲判断当前情况是安全的,就可不输入密码。。当然负责的大厂的做法一般都是出了问题先行赔付,然后是技术背锅吧……总之是平衡易用性成本和安全成本
        67
    zyp0921   207 天前
    你那台笔记本是不是同一个 IP ??换个 IP 试试喃
    登录密码也没啥用啊 不是还有支付密码吗
        68
    SakuraKuma   207 天前
    @nfroot 这个物理因素, 无解, 既然你不信任身边的人, 就应该保护好.
    就像过年要是你亲戚来拜年, 那不是不能去厨房做菜了?? 不然会进你房间了. :doge.
        69
    firebroo   207 天前
    你这纯粹找喷。。还举例不锁屏,有点安全常识 。。
        70
    nfroot   207 天前
    @Arcy 输密码,登录后去逛别的网站了,一会想起来了就去点了下修改密码。
        71
    Felldeadbird   207 天前
    我记得之前有一家淘宝店,内部有一个人出问题了,偷偷改了淘宝店的密码。
    当时就是 因为 这个熟悉的电脑环境,没有二次验证。。。
        72
    zzzzzzZ   207 天前
    已登录状态下是不是就默认你已经有原密码,何必再多此一举再输一次呢

    你说的极端环境假设就不太正常,再怎么骚到你淘宝账号也不能用你的钱买东西,因为没有支付密码

    照这样那干脆所有游戏都别做免密 /记住密码之类的功能,因为都会有熊孩子上你的游戏给你删皮肤花元宝,手机电脑上所有产品每次打开都重新输入一遍账号密码是最好的

    还有你说的别人岗位退下来的破电脑也能够直接登录新密码的账号,那是因为两台电脑用的同一个网段,默认就是安全验证通过了,例如你用自家 wifi 手机和平板,这本来就视为同一个安全的环境

    与其提工单教别人做淘宝,还不如管理好自己的密码和安全行为
        73
    Raymon111111   207 天前
    很显然

    这个逻辑没有发生过大规模盗号的情况

    要不然, 早就改了
        74
    zzNucker   207 天前   ♥ 3
    我发现这个人的回复 @reus 都是 shabi xidi 之类的。。。。

    是拿不到工资的无脑戾气程序员吗
        75
    windsofye   207 天前
    为什么我的显示当前安全环境后,还是需要输入当前密码?
        76
    ericdeng   207 天前
    亲测在登陆成功之后马上修改密码是不需要验证旧密码的
        77
    cccy0   207 天前
    @nfroot #23 网络环境没有改变把 IP 地址啥的
        78
    chunshuxvgou   207 天前
    阿里有一套叫做 AlphaRisk 的风控系统。如果发现问题会介入的。在验证了当前的环境,用户的操作习惯等条件没有问题的时候会尽量不打扰用户。
        79
    fullpowers   207 天前
    不想想就问会被网友怼死的,小老弟
        80
    False   207 天前
    @reus 所以你是傻逼吗?
        81
    reus   207 天前
    @False 你妈炸了
        82
    fyxtc   207 天前
    不是,不用输入原密码就能直接改密码这个是正常操作吗?我的天。。。。。
        83
    a62527776a   207 天前
    女友有次在我手机上登陆了支付宝
    后来退出登陆了
    我拿过来直接点忘记密码
    然后问了我女朋友最近买的几个东西
    点了几下后
    就进去了

    支付宝大概觉得会在另一台手机上做敏感操作并且手机主人还知道很细节的情况下
    手机的主人应该不是主人就是极其亲密的人吧
        84
    galikeoy   207 天前
    @fyxtc 非常赞同,环境怎样安全也要输入原密码,这也是大多数网站的方案,我不知道淘宝工程师有多么牛逼的方法
        85
    shangh   206 天前
    改密码 希望能够用细节提供给用户安全感.
    普通用户修改密码发现没有任何验证,觉得不安全.逻辑不对吗?
        86
    gouflv   206 天前 via Android
    好傻
        87
    xmtudgzy   206 天前   ♥ 1
    淘宝银河系第一,怎么可能会有错。楼主居然敢质疑淘宝,找几个带一下节奏就可以喷死你丫的!
        88
    a1528026364   206 天前
    @galikeoy 简化用户体验和安全之间要找个平衡,很正常不是么,而改密码又不是常用行为,体验的影响相比安全上比重不高,要求安全些的考虑没什么不对,帖子里有必要着重个人安全习惯么
        89
    vanxy   206 天前
    淘宝修改密码:


    v2ex:


    浏览器的记住密码功能,使得输入原密码这个操作显得相当滑稽
        90
    jhdxr   206 天前
    @Livid @Kai @Olivia @GordianZ @sparanoid 举报 @reus #36 #81
        91
    iNaru   206 天前
    @vanxy 敏感账户正确密码我从来是不会使用浏览器记住功能的,甚至只会故意设置记住一个错误的密码。
        92
    lynskylate   206 天前 via Android
    从来如此就一定对吗?在 session 有效期很短的情况下,修改密码需要输入原密码我一直觉得适合愚蠢的设计,只不过是心理安慰而已。
    楼主可以试试在任意一个网吧登录试试修改密码的难度。
        93
    loli   206 天前 via Android
    我就想问一下哦,为什么隔段时间网页端就要重新登录呢?上面有说不让浏览器记住敏感账户密码的,可你不记住密码一天内就能让你输密码输到崩溃。这勉强可以说是为了安全,但是手机上就是另一个模样了,我不说长时间不用重登录这一点,用钛备份备份数据,然后刷机数次,每次都有恢复,经过几个月,然后恢复过来还是保持登录的。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2579 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 30ms · UTC 13:00 · PVG 21:00 · LAX 06:00 · JFK 09:00
    ♥ Do have faith in what you're doing.