认识达内从这里开始

相信对于每一位互联网用户来说，个人的账户安全等级和保障程度是非常重要的事情。所以对于互联网公司和app开发公司来说，在制作产品和提供服务的时候，只要涉及到了安全问题，都是反复考量研究之后才开始实施，主要也是为了能够进一步减少漏洞，预防账户信息泄露或账户被盗。

今天，我们就一起来了解和学习一下，当我们的企业在开发产品的时候，如果有账户安全的功能需求的时候，我们需要设计和提供哪些安全保护方法呢？

Q1：通过验证原密码改密的方法为什么不可取?

观察一下现在各大厂的做法，通过原密码改密的方式已经稍显落后了。

对于我们的产品来说，若提供了通过原密码改密的功能，一旦用户密码被盗取，第一时间就会对账户的主人造成困扰，而邮箱、手机号则盗取的难度会相应更高一些。手机号的盗取难度自然不必说，而邮箱则又多了一层密码防护，并且即使被盗也未必会对用户在我们产品中的账户造成直接影响。因此，我在产品中并不会提供这个改密方式。

Q2：用户登录后，是否有必要提供改密功能?

讲道理，用户修改密码最大的可能性，就是忘记了密码，这时在登录后提供一个修改密码的功能显然是没有什么帮助的，除非——用户就是想改密码，但哪怕只是因为这一个「除非」，这个功能也还是需要做的。

Q3：绑定邮箱 / 手机号时，是否应通过已绑定的另一个途径进行验证?

这是必须的，否则，账户被盗取后依然很容易被改密——直接绑定盗号者的邮箱或手机号就可以了。出于这个考虑，绑定时的验证必须是已绑定的另一个途径，而不能是密码，否则也没有太大意义。

Q4：变更邮箱 / 手机号时，应当通过需要变更的途径进行验证，还是通过任意一种已绑定的途径进行验证?

后者。无论是手机号还是邮箱，一个人对其进行更换都不会非常频繁，而更换的原因主要是因为——无法找回了。例如，很典型的例子，一些大学会给学生统一办一批连号的手机卡，以便在学校中使用，当学生毕业后，来到另一个城市工作，多数会更换新的手机号，并注销掉学校的手机号，很少会有人一直保留之前的号码。在这个过程中，用户并不会把上一个手机号绑定的所有账户都换绑新号，在这个时候，我们必然应当允许用户通过进行邮箱验证来更换绑定的手机号。同理，在用户手机坏了、手机在外地丢失等场景下，这个功能也是有必要的。

Q5：为什么要屏蔽绑定邮箱 / 手机号中的部分字符?

A5：这是一个能给盗号者带来极大困扰，而一般不会影响到用户的措施。当盗号者盗取账户后，这个策略能够有效的保证盗号者不会通过明文的邮箱和手机号进行社工。特别是针对一些可以自定义登录账户(用户名)的网站会更有用。

Q6：人工申诉时，如何判断申诉者是用户本人?

人工申诉一般是针对其他途径均无法找回密码时使用的。我们的产品是可以进行上传身份证进行身份验证的，因此我们可以通过要求用户提供身份证后 6 位的形式来进行验证;如果用户在我们的网站上进行过购买，我们也可以要求其出具具体的购买时间及订单号;比较通用的，还可以要求用户提供曾用密码(但很少会有产品记录这个)。

其实在思考这些问题的时候，我的心里就已经有了方案了，而且思考的焦点也没有只盯在自己的产品上。在设计产品的过程中，我们思考的越多，策略就会越复杂，当然也就会越安全，而安全和便捷无法兼得，为了安全，就必然会牺牲一部分用户体验，但这都是值得的。

达内时代科技集团致力于培养面向电信和金融领域的Java、C++、C#/.Net、3G/Android、3G/IOS、PHP、嵌入式、软件测试、UID、网络营销、网络工程、会计、UED、web、Unity3D、大数据、童程童美等17大方向中高端软件人才课程与少儿教育课程。选择运城达内培训，不再孤军奋战，轻轻松松做IT高薪白领。运城达内培训带领有明确目标的学子迈向成功之路!想找工作的求职者可以加QQ：3373924515（太原达内就业服务部）咨询了解。

通过对以上内容的了解，我相信你对账户的安全应该有了一个基本认识了吧。