原贴:http://www.dbanotes.net/security/password_hint_design.html
Generator | Trampoline
<script type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/cpa/ads?client=ca-pub-2198040673582211&cpa_choice=CAAQhaT2_gEaCI52gVKP95-sKLGsuIEBMAA&oe=UTF-8&dt=1204646008532&lmt=1204621731&format=ref_text&output=textlink&correlator=1204646008531&url=http%3A%2F%2Fwww.dbanotes.net%2Fsecurity%2Fpassword_hint_design.html®ion=_google_cpa_region_&ref=http%3A%2F%2Fwww.dbanotes.net%2F&frm=0&cc=100&ga_vid=1245649234.1204646009&ga_sid=1204646009&ga_hid=1603068676&flash=9.0.64&u_h=800&u_w=1280&u_ah=772&u_aw=1280&u_cd=24&u_tz=480&u_his=5&u_nplug=3&u_nmime=4" language="JavaScript1.1" type="text/javascript"></script> Get Firefox with Google Toolbar for better browsing
<script type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/cpa/ads?client=ca-pub-2198040673582211&cpa_choice=CAAQidTQgAIaCEapPfRcsfp6KN2uuIEBMAA&oe=UTF-8&dt=1204646008890&lmt=1204621731&prev_fmts=ref_text&format=ref_text&output=textlink&correlator=1204646008531&url=http%3A%2F%2Fwww.dbanotes.net%2Fsecurity%2Fpassword_hint_design.html®ion=_google_cpa_region_&ref=http%3A%2F%2Fwww.dbanotes.net%2F&frm=0&cc=100&ga_vid=1245649234.1204646009&ga_sid=1204646009&ga_hid=1603068676&flash=9.0.64&u_h=800&u_w=1280&u_ah=772&u_aw=1280&u_cd=24&u_tz=480&u_his=5&u_nplug=3&u_nmime=4" language="JavaScript1.1" type="text/javascript"></script> Generate revenue from your website. Google AdSense.
在公司洗手间看到一个关于“密码提示问题”的笑话。不过仔细一琢磨发现不是这回事儿。电子商务网站几乎都设置密码提示问题的。一个有趣的现象是有些 UE(或交互设计师?反正是干这个活儿的人) 工程师自己都没搞清楚这个 "密码提示问题“ 要给用户什么。
对于 UE 我是门外汉,不过我理解的这个过程就是建立公钥和私钥:公开的密钥即“密码提示问题”,是其他用户也可以看到的),只有自己知道的叫私钥,也就是答案。很明显,既然说到私钥,那么私钥的保护就是关键。设计者有必要引导用户保护好自己的私钥。
我们先看个例子(类似的网站很多,就别说具体哪家了,都那鸟样):
告诉我,用户需要填入"正确"的还是"错误"的答案?
就这个密码提示问题来说,如果没有直接明白的告诉用户正确的使用方式(你的用意!),那么很多用户还是输入“真 实”的答案。除了第一个和第四个问题之外,其他几个问题我想在SNS 网络如此盛行、搜索引擎如此强大的今天,要得到答案是不存在什么障碍的。用户并不傻,但用户也不是都会耍小聪明,如果你去做个统计,我相信会有大量的用户 输入的答案是可以猜到的。
或许有人会说,"没事啊,即使别人猜到了这个答案,密码最后也会发到原用户自己的信箱里的啊"。拜托,安全本来就是一环套一环的,这个如果被搞定了,你能确保用户的信箱不会被搞定么?
到各个站点查看帮助说明,发现原易趣的说明还是比较到位的(是否在用户设定问题的时候提示,我就不知道了):
选择一个容易回答但其他人难以猜到答案的问题。
密码提示问题与任何其他机密信息一样重要,所以不要向其他人透露。
为安全起见,可以为问题提供并不正确或答非所问的回答。
前几天白鸦有篇文章《跟着用户走到沟里》,其实很多时候网站是设计者把用户带到沟里。
--EOF--
del.icio.us Generator | Trampoline
<script type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/cpa/ads?client=ca-pub-2198040673582211&cpa_choice=CAAQhaT2_gEaCI52gVKP95-sKLGsuIEBMAA&oe=UTF-8&dt=1204646008532&lmt=1204621731&format=ref_text&output=textlink&correlator=1204646008531&url=http%3A%2F%2Fwww.dbanotes.net%2Fsecurity%2Fpassword_hint_design.html®ion=_google_cpa_region_&ref=http%3A%2F%2Fwww.dbanotes.net%2F&frm=0&cc=100&ga_vid=1245649234.1204646009&ga_sid=1204646009&ga_hid=1603068676&flash=9.0.64&u_h=800&u_w=1280&u_ah=772&u_aw=1280&u_cd=24&u_tz=480&u_his=5&u_nplug=3&u_nmime=4" language="JavaScript1.1" type="text/javascript"></script> Get Firefox with Google Toolbar for better browsing
<script type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/pagead/show_ads.js" type="text/javascript"> </script> <script src="http://pagead2.googlesyndication.com/cpa/ads?client=ca-pub-2198040673582211&cpa_choice=CAAQidTQgAIaCEapPfRcsfp6KN2uuIEBMAA&oe=UTF-8&dt=1204646008890&lmt=1204621731&prev_fmts=ref_text&format=ref_text&output=textlink&correlator=1204646008531&url=http%3A%2F%2Fwww.dbanotes.net%2Fsecurity%2Fpassword_hint_design.html®ion=_google_cpa_region_&ref=http%3A%2F%2Fwww.dbanotes.net%2F&frm=0&cc=100&ga_vid=1245649234.1204646009&ga_sid=1204646009&ga_hid=1603068676&flash=9.0.64&u_h=800&u_w=1280&u_ah=772&u_aw=1280&u_cd=24&u_tz=480&u_his=5&u_nplug=3&u_nmime=4" language="JavaScript1.1" type="text/javascript"></script> Generate revenue from your website. Google AdSense.
自定义搜索
335
到【灌水乐园】发言
公钥密码体制很大的一个意义,就是建立数字签名机制。像这种依葫芦画瓢的安全机制,称不上公钥密码体制~ :)
至于谁把谁带沟里,,
如果你知道什么是对的,就不会被用户牵着鼻子走;反之则会互相往沟里带。
ps.为啥发评论的时候没有验证码显示出来?你防Spam与我何干?
问题在于,你能指望用户在忘记密码的时候还能记住错误的答案?:)也许密码提示问题从来就没考虑过提供另一种破译方式,只是给用户一个方便
@fiorano
我没有说是"机制"
只是这个东西的初衷是近似公私钥体制而已,
但凡碰到密码提示表单,我一般是随便选个问题,然后填一串固定的、和问题无关的字符.
文章说的很在理,很多网站上的这东西是起了反作用.以前就有人专门猜别人提示问题破qq密码.
身份证最后4位容易搜到?