关于填写的密码提示问题我忘记了注
密码如何设置或修改新浪免费邮箱的密码提示问题和答案?再把密码保护答案和邮箱输进去我猜到了密码答案我忘记密码保护问题的答案/安全邮箱的地址了,怎么办?怎么破解windows xp系统的密码查看更多>>推荐阅读
文学超人李白的临终遗言成吉思汗出征失误搭了老命多吃当季食物对人体健康最安全《杜拉拉升职记》成了个爱情戏 美国人看不懂韩寒玉树地震应该让专业人士先行 更多>> 动态添加新的表格行 动态添加select框
关于密码提示问题默认分类 2009-03-19 16:40:09 阅读121 评论0 字号:大中小
看了淘宝UED的博文怎样设置密码保护问题,深受启发,同时谈一下自己在这个功能模块...全部
密码如何设置或修改新浪免费邮箱的密码提示问题和答案?再把密码保护答案和邮箱输进去我猜到了密码答案我忘记密码保护问题的答案/安全邮箱的地址了,怎么办?怎么破解windows xp系统的密码查看更多>>推荐阅读
文学超人李白的临终遗言成吉思汗出征失误搭了老命多吃当季食物对人体健康最安全《杜拉拉升职记》成了个爱情戏 美国人看不懂韩寒玉树地震应该让专业人士先行 更多>> 动态添加新的表格行 动态添加select框
关于密码提示问题默认分类 2009-03-19 16:40:09 阅读121 评论0 字号:大中小
看了淘宝UED的博文怎样设置密码保护问题,深受启发,同时谈一下自己在这个功能模块上的一些不成熟的想法,原文我就不引用了。
站在“巨人”的肩膀上我总结一下哈,别说我抄袭:
我认为密码提示问题最重要的最核心的只有两点:
1。是否存在信息被泄露的风险。
2。答案是否是唯一且长期持续有效。(综合了作者的第二三点)
关于第一点,我认为在国内,很多信息都已经存在被别人轻易得到的可能,比如你的真实姓名,你的配偶姓名,包括你的工号和学号(有些信息可以通过在搜索引擎搜索用户名被轻易获得,有些则有可能在你买车、买房、办信用卡时被泄露)。
密码保护问题要做的首先就是排除掉这些安全等级很低的问题,比如你的出生地和配偶姓名就是安全等级很低的问题,而父母的名字、父母的生日可能是安全等级中等的问题,而你的初恋情人姓名、你最喜欢的小学老师的名字应该是安全等级最高的问题,毕竟无论是在各大网站注册个人信息或写博客,购房办信用卡的时候,没有一项会变态到要求你填写这些信息吧(自己故意泄露的不算)?
关于第二点,我认为问题不能让人觉得模棱两可或者误导用户产生模棱两可的答案,或者会随着时间的推移,心情的改变会转变的答案。
举个不好的例子就是:你最喜欢的颜色?
最要命的就是我最喜欢的颜色会随着时间的改变而改变,比如以前我喜欢蓝色,现在我可能喜欢绿色呢?
还有比如:你最好的朋友的爸爸名字是什么?
如果我有几个都是最好的朋友呢?天知道我几年以后最好的朋友是谁呢?我现在最好的朋友,可能以后会变成一般的朋友,甚至是讨厌的人,所以这个问题在答案唯一性和持续有效性方面都存在问题。
再有就是作者在上面已经提到的那个问题了:你小学校名是什么?
这个问题是最最典型的违背第二点要求的问题,因为答案可以是多种多样,五花八门:东部中学?东部一中?上海东部一中?上海东一中?经过一段时间以后,恐怕用户再也无法记起当时自己填写的答案了。
关于作者提到的不要提供自定义问题,我有保留看法。
我认为提供自定义问题是这个密码提示问题的精髓和核心所在,而且这个跟‘Don’t make me think’似乎很难扯上关系,试想一下,一个用户来注册一个网站,在某个位置遇到了这个功能模块,用户不能简单的跳过这个模块,或者他的确害怕自己的密码被遗忘或者丢失,那么它就一定要找出其中的一项,某一项可以符合以上提到的两点要求的,结果他一项一项看下来,发现其中任何一项都有可能或者存在信息安全性问题或者答案非唯一且不持续有效,但是他又必须使用这个功能,那么这时候提供一个对用户自己来说非常安全且答案非常唯一的问题应该就不会是鸡肋了吧?
当然会有一些特殊情况出现:有些问题对有的人来说不是一个好问题,对其他人来说可能就是很好的问题,比如‘你最喜欢的小学老师的名字是?’有些人对小学没有很深的印象,但大多数人还是对小学最喜欢的老师记忆深刻且恒久不忘,而且这个答案因为已经经过了时间的沉淀,变成了唯一且不变的答案,你总不可能在一觉醒来之后突然开始讨厌你最喜欢的小学老师吧?还有比如“你小学班主任的名字是?”这个问题,对有些班主任跟班走的人来说,答案就是唯一的,对一年换一个班主任的人来说,这个问题就不是一个好问题,我想这也正是密码提示答案做成下拉菜单而不是radio button的且最好保留自定义密码提示问题的原因之一吧。
。收起
