论坛首页 > 官方交流 > 对话立创商城&嘉立创 > 需要用户手机验证登录背后的决策...
查看:1069  |  回复:36
需要用户手机验证登录背后的决策过程!
limeng
【官方工作人员】
168
主题
624
回复
发表于Sat Jun 09 22:35:50 CST 2018   |  只看该作者 1# 电梯直达
这整个过程是我参与决策,需要手机验证是我提的,如果要骂的话那就骂我好了,这个锅我来背!
过程:
一夜之间,论坛完全是乱七八糟的色情信息,后面的过程就是删贴,再后来就是关闭论坛发贴功能,一直持续到现在,发那些色情贴的帐号除了是刻意注册的一些帐号之外,还有一些是长期下单的客户,密码极度简单,如6个1之类,对于撞库来说极其简单,此时引起了我们高层的高度重视,开始了帐号方案的大讨论:
贺总方案:贺总马提出了用复杂的密度,用大小字母6位的方式,而我对于大小字母是非常反感,当晚上讨论,最终同意密码可以字母加数字的方式,对于简单密码强制修改,三天后上线,嘉立创反映太大,因为对于简单的密码客户,方案规定是必须重置密码,但是有很多老客户原来的手机号都不用了,没办法重置,所以上线半天后暂停!
也就是上线的当天,我跟高经理,贺总,还有杨总,在午餐进行短暂的讨论:
1)贺总的强密码方式因为在实施过程中重置密码行不通,我则提出的是继续保持弱密码然后再加补充系统记录手机号码的后6位,我的观点是,手机的后6位,对于小范围是公开的,而对于大的社会来说则是密文,但是他们反对说,如果简单的密文资 料以泄透,则这部分客户无法保护以来,同样会形成大面积事件,对此观点我表示了认同
2)后续我继续提出了手机验证的方案,我的出发点两点,1)能让客户继续保留弱密码(好记)的功能,2)不要影响太多的客户,不要强制所有的弱密码必须改密码    高经理补充说有一个知名招聘网站也是采用此方式,所以最后的方案就是现在的方案:
1)增加拖动滑条
2)对于简单的密码给于提示,而不强制必须改
3)增加了当前登录人的手机验证功能,也就是大家骂得最凶的
后记:
对于在强密码无法实施的情况下,进行手机验证,我个人到认为是一个不错的选择,手机人人有,在原来的基础上也仅仅增加了一个手机验证动作,增加了这个动作对于大家的帐户安全也得到了极大的保障!手机是人人都有的,当然为了尽可能减少对于客的影响,嘉立创从一开始就记往了密码,尽可能的不要密往密码功能,对于原密码的弱密的也给于了保留,只是给于了提醒(系统认为是异常的则强制)  
该帖子已被limeng于Sat Jun 09 22:45:01 CST 2018编辑过
深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
回复 收藏
  举报
D
66
主题
457
回复
发表于Sat Jun 09 22:58:44 CST 2018   |  只看该作者 2#
1.现在的验证方式全球独一无二。2.支持采用弱密码的想法很奇特。
3M口罩滤棉5N11、2091、2097在商城也有售了,价格实惠,搜索关键词“滤棉”; 合泰新出点阵LED驱动HT16D35A
limeng
【官方工作人员】
168
主题
624
回复
发表于Sat Jun 09 23:14:52 CST 2018   |  只看该作者 3#
D 发表于 Sat Jun 09 22:58:44 CST 2018  2# 1.现在的验证方式全球独一无二。2.支持采用弱密码的想法很奇特。
.有一个很知名的招聘网站,也是采用此方式,所以不是独一无二,第二,贴中说过了,有很多原来注册手机号不见,无法重置密码
深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
limeng
【官方工作人员】
168
主题
624
回复
发表于Sat Jun 09 23:18:30 CST 2018   |  只看该作者 4#
强密方案事实以实施半天,因天法重置密而停止,总不能说无法重置密的一律不管
深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
小差
26
主题
262
回复
发表于Sat Jun 09 23:26:19 CST 2018   |  只看该作者 5#

这次的动作幅度有点过大了,昨天晚上登录的时候非常着急,主要有:

    1、毕竟涉及到代售的金额金额较大。

    2、我以为封WWW了。

其实说了半天,最主要的一点,手机验证无非是论坛的需求,如果技术可行,把论坛和商城独立,商城正常是不需要也不应该频繁验证的,而登录论坛的时候验证手机还来得及;实在不行,论坛的发言功能暂时屏蔽了也是可以接受的。

     商城技术对这块的处理,真是有点本末倒置了,论坛才多少人气?


      作为一个商城普通的客户,我可以边喝茶边看着商城做作,找谁买不是买?

      作为商城的忠实客户,我是希望商城能做好,毕竟产品设计选型时的痛苦记忆犹新:电话询价时销售的查户口(公司、产品、用量),不小心踩坑用了偏门芯片设计后全球找货源,因为采购的贪便宜整批更换QFP100主控芯片。


PIC32MM系列高性价比32位单片机。。电源线通讯HT45B0005
D
66
主题
457
回复
发表于Sat Jun 09 23:36:39 CST 2018   |  只看该作者 6#
limeng 发表于 Sat Jun 09 23:14:52 CST 2018  3# .有一个很知名的招聘网站,也是采用此方式,所以不是独一无二,...

既然已决心采用这种方案了,提几个建议吧,可能会在一定程度上改善现在的体验:


1. 账号设置“自动发送手机验证码”的手机号设置,设置登录时自动往特定手机号发送验证码的功能,省去了手动再输一遍手机号的步骤,特定的手机号码在账号里面可以自定义。这就相当于强制开启二次认证了。不过这是降级版的二次认证,主要用途是记录一个手机号。


2. 既然输入密码登录时候已经拖动了一次滑条,接下来验证手机的时候就不需要拖动滑条了吧?限制验收码的发送次数就好了,超出次数后需要重新回到密码登录界面。


3. 关联同一个手机号的不同账户间,增加一键切换功能(当然,一键切换功能用户可选是否打开,设置是否一键切换需要手机号验证码),方便不同账户之间的切换,否则,现在这种验证方式对于需要切换多个账户的用户来说,过于繁琐了,需要验证好多次。


3M口罩滤棉5N11、2091、2097在商城也有售了,价格实惠,搜索关键词“滤棉”; 合泰新出点阵LED驱动HT16D35A
无锡粽子
22
主题
161
回复
发表于Sat Jun 09 23:40:27 CST 2018   |  只看该作者 7#

当前手机可以每次收到验证码 --- 同 “方案规定是必须重置密码,但是有很多老客户原来的手机号都不用了,没办法重置” 矛盾

我前面喷的意见比较激烈,这个事情还是应该对事不对人,抱歉抱歉

我个人建议

1,新用户坚决贯彻强密码,6~8位字母数字。字母大小写随意,不强制必须包括大写又小写。这个阻力或者技术难度必须突破。

2,老用户如果是弱密码,则每次登陆就需要手机验证的方式,必须痛苦。一旦自己修改为强密码,则无需每次手机验证。

3,这个问题简单的说我认为就是一个立创和嘉立创发展过程中的小痛点,长痛不如短痛,从我个人看法,贵司未来妥妥的电子行业内的京东亚马逊,宜站在适当的高度决策,不要老想着打小补丁,修修补补过日子。

4。如果技术实现需要时间,我们客户可以等。时间长久不是问题,但我们需要一个长远方案。




MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
limeng
【官方工作人员】
168
主题
624
回复
发表于Sat Jun 09 23:44:12 CST 2018   |  只看该作者 8#
D 发表于 Sat Jun 09 23:36:39 CST 2018  6# 既然已决心采用这种方案了,提几个建议吧,可能会在一定程度上...
嘉立创的多帐号切换以有,滑动条的建议到时讨论,感谢建议
深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
limeng
【官方工作人员】
168
主题
624
回复
发表于Sat Jun 09 23:46:45 CST 2018   |  只看该作者 9#
无锡粽子 发表于 Sat Jun 09 23:40:27 CST 2018  7# 当前手机可以每次收到验证码 --- 同 “方案规定是必须重置密码...
采用手机验证方式,解决了撞库的可能性,从长远来说是可行的,及安全的!
深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
该回复已删除! 10#
无锡粽子
22
主题
161
回复
发表于Sat Jun 09 23:59:30 CST 2018   |  只看该作者 11#
D 发表于 Sat Jun 09 23:36:39 CST 2018  6# 既然已决心采用这种方案了,提几个建议吧,可能会在一定程度上...

不行不行,我不同意您的“既然。。。就。。。”

我觉得决定了的东西也可以改嘛,只要是长远对的,就要坚持





MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
电子123
9
主题
2114
回复
发表于Sun Jun 10 09:40:45 CST 2018   |  只看该作者 12#
连IE都登录不了! 点击查看大图
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
limeng
【官方工作人员】
168
主题
624
回复
发表于Sun Jun 10 10:51:51 CST 2018   |  只看该作者 13#
电子123 发表于 Sun Jun 10 09:40:45 CST 2018  12# 连IE都登录不了!

安装嘉立创下单助手,一定可以, 你的是IE11对吧,存在兼容性问题

下载地址:

http://download.sz-jlc.com/jlchelper/release/3.1.0/JLCPcAssit_setup_3.1.0_1.zip

深圳市嘉立创科技发展有限公司 PCB事业部:http://www.sz-jlc.com 业务QQ:800005884 工号:001
let
9
主题
442
回复
发表于Sun Jun 10 13:56:41 CST 2018   |  只看该作者 14#
无锡粽子 发表于 Sat Jun 09 23:40:27 CST 2018  7# 当前手机可以每次收到验证码 --- 同 “方案规定是必须重置密码...

1,新用户坚决贯彻强密码,6~8位字母数字。字母大小写随意,不强制必须包括大写又小写。这个阻力或者技术难度必须突破。

2,老用户如果是弱密码,则每次登陆就需要手机验证的方式,必须痛苦。一旦自己修改为强密码,则无需每次手机验证。



同意,如果系统能判断密码强弱,登陆时候自动弹出这个提示选项,就解决了问题。

SMT从业员,需要可联系。
ChessWorld
40
主题
777
回复
发表于Sun Jun 10 17:04:12 CST 2018   |  只看该作者 15#

大BOSS能公开致歉,难得可贵


 本人给个小建议:

在不考虑成本和麻烦的情况下,给每个商城或JLC用户发个类似银行的U盾,那么再简单的登录密码都是可以。

当然,这个U盾还有其它功能最好。


EDA老贺
【官方工作人员】
4
主题
167
回复
发表于Sun Jun 10 18:54:48 CST 2018   |  只看该作者 16#
电子123 发表于 Sun Jun 10 09:40:45 CST 2018  12# 连IE都登录不了!
?你的IE是否是兼容模式下无法登陆呢
电子123
9
主题
2114
回复
发表于Sun Jun 10 20:18:17 CST 2018   |  只看该作者 17#
EDA老贺 发表于 Sun Jun 10 18:54:48 CST 2018  16# ?你的IE是否是兼容模式下无法登陆呢
IE11 兼容模式下,滑块都看不到
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
fz002
4
主题
38
回复
发表于Sun Jun 10 20:45:01 CST 2018   |  只看该作者 18#
不就是购物网站嘛,整的比银行系统登录还麻烦
JS016
0
主题
10
回复
发表于Sun Jun 10 20:48:43 CST 2018   |  只看该作者 19#
完全是垃圾决策,还不如把论坛关了算了
Lee
0
主题
110
回复
发表于Sun Jun 10 21:09:01 CST 2018   |  只看该作者 20#
比较同意14楼的建议,很好用的方法,大部分网站用的也是这种思路。
HF163F-L/3-HL2T:3V控制的磁保持自锁继电器,双线圈,8A 250VAC
EDA老贺
【官方工作人员】
4
主题
167
回复
发表于Sun Jun 10 21:56:20 CST 2018   |  只看该作者 21#
let 发表于 Sun Jun 10 13:56:41 CST 2018  14# 1,新用户坚决贯彻强密码,6~8位字母数字。字母大小写随意,不...
有些账号手机号都没有,怎么能让他修改密码呢?
路在脚下
5
主题
185
回复
发表于Sun Jun 10 22:02:56 CST 2018   |  只看该作者 22#
ChessWorld 发表于 Sun Jun 10 17:04:12 CST 2018  15# 大BOSS能公开致歉,难得可贵 本人给个小建议: 在不考虑成本和...
这个建议不错
电子123
9
主题
2114
回复
发表于Sun Jun 10 22:33:35 CST 2018   |  只看该作者 23#
ChessWorld 发表于 Sun Jun 10 17:04:12 CST 2018  15# 大BOSS能公开致歉,难得可贵 本人给个小建议: 在不考虑成本和...
BOSS 就是用来攻击的!
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
无锡粽子
22
主题
161
回复
发表于Sun Jun 10 23:02:44 CST 2018   |  只看该作者 24#
EDA老贺 发表于 Sun Jun 10 21:56:20 CST 2018  21# 有些账号手机号都没有,怎么能让他修改密码呢?
没有手机号,登陆又如何收到验证码的呢
MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
青龙
76
主题
712
回复
发表于Mon Jun 11 06:06:28 CST 2018   |  只看该作者 25#
如果出门没带手机呢!又急着付款,很麻烦。手机号没费了,一时交不了费,或者卡或手机突然丟了呢?!
电子123
9
主题
2114
回复
发表于Mon Jun 11 08:51:37 CST 2018   |  只看该作者 26#
能不能搞个权限,普通权限,不用验证手机,跟平时一样,要发贴,就要手机验证登录。
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
Lee
0
主题
110
回复
发表于Mon Jun 11 09:17:01 CST 2018   |  只看该作者 27#
青龙 发表于 Mon Jun 11 06:06:28 CST 2018  25# 如果出门没带手机呢!又急着付款,很麻烦。手机号没费了,一时...

不能考虑太极端的情况,急着付款的时候万一电脑坏了呢,万一键盘坏了呢,万一公司停电了呢

现在无疑手机是最方便的,开手机验证我是支持的,只是对老帐号不能有强制措施。

HF163F-L/3-HL2T:3V控制的磁保持自锁继电器,双线圈,8A 250VAC
Echo
41
主题
334
回复
发表于Mon Jun 11 09:37:04 CST 2018   |  只看该作者 28#
limeng 发表于 Sat Jun 09 23:14:52 CST 2018  3# .有一个很知名的招聘网站,也是采用此方式,所以不是独一无二,...
网站是要实名的,很多网站不实名无法发帖。最常见的实名方式就是绑定手机号。
ECHO Studio http://www.uimeter.com
EDA老贺
【官方工作人员】
4
主题
167
回复
发表于Mon Jun 11 09:45:09 CST 2018   |  只看该作者 29#
无锡粽子 发表于 Sun Jun 10 23:02:44 CST 2018  24# 没有手机号,登陆又如何收到验证码的呢

收验证码不一定要是注册的手机,用当前登陆人手机号码即可。


Echo
41
主题
334
回复
发表于Mon Jun 11 09:58:59 CST 2018   |  只看该作者 30#

就一个登录方案,何必自己拍脑袋呢?直接参考其它网站的实现方式不好吗?

目前的输入完密码,再输入手机号,输入验证码,拖两次滑动条的登录方式,简直是前无古人后无来者。

提几个点:

1)作为一个购物网站,涉及用户资金,还有代售客户投资,安全级别应该是金融级别的,实名认证是必须的。绑定手机号,安全邮箱等都要做。因此不应该存在没有绑定手机号的帐户,即使存在,也应该严格限制其权限,不允许发帖,不允许下单。几个月不活动以后自动注销。设置必要的门槛是很重要的,很多封闭论坛发展得很好。

2)记忆不同的复杂密码,对用户来说是负担,类似摩拜那种完全不用密码,用手机验证码登录的方式,是个很好的解决方案,不过他们登录一次就行了,不用每次关闭浏览器都验证一次。

3)永远不要明文存储用户的密码。

ECHO Studio http://www.uimeter.com
EDA老贺
【官方工作人员】
4
主题
167
回复
发表于Mon Jun 11 10:03:07 CST 2018   |  只看该作者 31#
Echo 发表于 Mon Jun 11 09:58:59 CST 2018  30# 就一个登录方案,何必自己拍脑袋呢?直接参考其它网站的实现方...

立创永远没有用明文保存过密码。

嘉立创是一个11年的企业,试想,还有多少企业存活过这么久?  嘉立创在最开始的时候,根本就没有想那么多,有些账号没有邮箱 与手机号,这些都在下单。 这些没有手机与邮箱的账号怎么处理? 

这种处理方法不好,但是有历史包袱在。


Echo
41
主题
334
回复
发表于Mon Jun 11 10:34:44 CST 2018   |  只看该作者 32#
EDA老贺 发表于 Mon Jun 11 10:03:07 CST 2018  31# 立创永远没有用明文保存过密码。 嘉立创是一个11年的企业,试想...

变化是永恒的,不能永远守着过去的规则。历史不是问题。11年并不算长,腾讯20年了,淘宝也15年了。

包袱如果不去解决,就永远要背在身上,想要走得远,走得快,必须要解决掉,越早越好,越快越好。

老贺您是做互联网的,知道重构、迭代在互联网企业中的重要性。一段代码如果长期不去优化重构,一段时间以后和可能就死掉了。

ECHO Studio http://www.uimeter.com
Echo
41
主题
334
回复
发表于Mon Jun 11 10:38:17 CST 2018   |  只看该作者 33#
EDA老贺 发表于 Mon Jun 11 10:03:07 CST 2018  31# 立创永远没有用明文保存过密码。 嘉立创是一个11年的企业,试想...

没有手机、邮箱的帐号,限制下单会影响公司收益,可以暂缓,限制论坛发帖可以做到吧?因为一些帐户的滥用禁止整个论坛发帖,这思路也真是神了。

ECHO Studio http://www.uimeter.com
常州华威电...
1
主题
19
回复
发表于Mon Jun 11 17:12:50 CST 2018   |  只看该作者 34#

多种并行吧。

强密验证码登陆,账号密码登陆 自由选择。

弱密强制验证码登陆。


手机验证码登陆我是支持的,但是第一天等了好久收不到短信,今天还行秒到。

青龙
76
主题
712
回复
发表于Mon Jun 11 21:43:16 CST 2018   |  只看该作者 35#
常州华威电容 发表于 Mon Jun 11 17:12:50 CST 2018  34# 多种并行吧。 强密验证码登陆,账号密码登陆 自由选择。 弱密强...
支持楼上的说法, 如果是复杂的密码不用短信。 简单密码要短信认证。
kingtop
2
主题
311
回复
发表于Thu Jun 14 11:16:07 CST 2018   |  只看该作者 36#
常州华威电容 发表于 Mon Jun 11 17:12:50 CST 2018  34# 多种并行吧。 强密验证码登陆,账号密码登陆 自由选择。 弱密强...

一直验证的额手机号,今天验证不了了:

 

众才云集
2
主题
8
回复
发表于Fri Jun 15 09:31:33 CST 2018   |  只看该作者 37#

登陆一次就要发送一次验证码,真的好麻烦啊,离开一会或者手误关掉页面都需要重新发送验证码。

可以设置检测IP嘛,IP不变就不需要重新验证,一天验证一次就行。

  • 温馨提示:标题不合格、重复发帖、发布广告贴,将会被删除帖子或禁止发言。 详情请参考:社区发帖规则
  • 您当前输入了 0个文字。还可以输入8000个文字。 已添加复制上传图片功能,该功能目前仅支持chrome和火狐

顶部