查看:
9754
|
回复:
36
|
需要用户手机验证登录背后的决策过程!
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 22:35:50
|
只看该作者
1#
电梯直达
这整个过程是我参与决策,需要手机验证是我提的,如果要骂的话那就骂我好了,这个锅我来背!
过程: 一夜之间,论坛完全是乱七八糟的色情信息,后面的过程就是删贴,再后来就是关闭论坛发贴功能,一直持续到现在,发那些色情贴的帐号除了是刻意注册的一些帐号之外,还有一些是长期下单的客户,密码极度简单,如6个1之类,对于撞库来说极其简单,此时引起了我们高层的高度重视,开始了帐号方案的大讨论: 贺总方案:贺总马提出了用复杂的密度,用大小字母6位的方式,而我对于大小字母是非常反感,当晚上讨论,最终同意密码可以字母加数字的方式,对于简单密码强制修改,三天后上线,嘉立创反映太大,因为对于简单的密码客户,方案规定是必须重置密码,但是有很多老客户原来的手机号都不用了,没办法重置,所以上线半天后暂停! 也就是上线的当天,我跟高经理,贺总,还有杨总,在午餐进行短暂的讨论: 1)贺总的强密码方式因为在实施过程中重置密码行不通,我则提出的是继续保持弱密码然后再加补充系统记录手机号码的后6位,我的观点是,手机的后6位,对于小范围是公开的,而对于大的社会来说则是密文,但是他们反对说,如果简单的密文资 料以泄透,则这部分客户无法保护以来,同样会形成大面积事件,对此观点我表示了认同 2)后续我继续提出了手机验证的方案,我的出发点两点,1)能让客户继续保留弱密码(好记)的功能,2)不要影响太多的客户,不要强制所有的弱密码必须改密码 高经理补充说有一个知名招聘网站也是采用此方式,所以最后的方案就是现在的方案: 1)增加拖动滑条 2)对于简单的密码给于提示,而不强制必须改 3)增加了当前登录人的手机验证功能,也就是大家骂得最凶的 后记: 对于在强密码无法实施的情况下,进行手机验证,我个人到认为是一个不错的选择,手机人人有,在原来的基础上也仅仅增加了一个手机验证动作,增加了这个动作对于大家的帐户安全也得到了极大的保障!手机是人人都有的,当然为了尽可能减少对于客的影响,嘉立创从一开始就记往了密码,尽可能的不要密往密码功能,对于原密码的弱密的也给于了保留,只是给于了提醒(系统认为是异常的则强制) 深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
D
6
主题
447
回复 |
发表于2018-06-09 22:58:44
|
只看该作者
2#
1.现在的验证方式全球独一无二。2.支持采用弱密码的想法很奇特。
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 23:14:52
|
只看该作者
3#
.有一个很知名的招聘网站,也是采用此方式,所以不是独一无二,第二,贴中说过了,有很多原来注册手机号不见,无法重置密码
深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 23:18:30
|
只看该作者
4#
强密方案事实以实施半天,因天法重置密而停止,总不能说无法重置密的一律不管
深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
D
6
主题
447
回复 |
发表于2018-06-09 23:36:39
|
只看该作者
6#
既然已决心采用这种方案了,提几个建议吧,可能会在一定程度上改善现在的体验: 1. 账号设置“自动发送手机验证码”的手机号设置,设置登录时自动往特定手机号发送验证码的功能,省去了手动再输一遍手机号的步骤,特定的手机号码在账号里面可以自定义。这就相当于强制开启二次认证了。不过这是降级版的二次认证,主要用途是记录一个手机号。 2. 既然输入密码登录时候已经拖动了一次滑条,接下来验证手机的时候就不需要拖动滑条了吧?限制验收码的发送次数就好了,超出次数后需要重新回到密码登录界面。 3. 关联同一个手机号的不同账户间,增加一键切换功能(当然,一键切换功能用户可选是否打开,设置是否一键切换需要手机号验证码),方便不同账户之间的切换,否则,现在这种验证方式对于需要切换多个账户的用户来说,过于繁琐了,需要验证好多次。 |
|||
无锡粽子
16
主题
197
回复 |
发表于2018-06-09 23:40:27
|
只看该作者
7#
当前手机可以每次收到验证码 --- 同 “方案规定是必须重置密码,但是有很多老客户原来的手机号都不用了,没办法重置” 矛盾 我前面喷的意见比较激烈,这个事情还是应该对事不对人,抱歉抱歉 我个人建议 1,新用户坚决贯彻强密码,6~8位字母数字。字母大小写随意,不强制必须包括大写又小写。这个阻力或者技术难度必须突破。 2,老用户如果是弱密码,则每次登陆就需要手机验证的方式,必须痛苦。一旦自己修改为强密码,则无需每次手机验证。 3,这个问题简单的说我认为就是一个立创和嘉立创发展过程中的小痛点,长痛不如短痛,从我个人看法,贵司未来妥妥的电子行业内的京东亚马逊,宜站在适当的高度决策,不要老想着打小补丁,修修补补过日子。 4。如果技术实现需要时间,我们客户可以等。时间长久不是问题,但我们需要一个长远方案。 MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 23:44:12
|
只看该作者
8#
嘉立创的多帐号切换以有,滑动条的建议到时讨论,感谢建议
深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-09 23:46:45
|
只看该作者
9#
采用手机验证方式,解决了撞库的可能性,从长远来说是可行的,及安全的!
深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
无锡粽子
16
主题
197
回复 |
发表于2018-06-09 23:59:30
|
只看该作者
11#
不行不行,我不同意您的“既然。。。就。。。” 我觉得决定了的东西也可以改嘛,只要是长远对的,就要坚持 MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
|
|||
电子123
4
主题
2111
回复 |
发表于2018-06-10 09:40:45
|
只看该作者
12#
连IE都登录不了!
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
|
|||
limeng
【官方工作人员】
188
主题
797
回复 |
发表于2018-06-10 10:51:51
|
只看该作者
13#
安装嘉立创下单助手,一定可以, 你的是IE11对吧,存在兼容性问题 下载地址: http://download.sz-jlc.com/jlchelper/release/3.1.0/JLCPcAssit_setup_3.1.0_1.zip 深圳市嘉立创科技发展有限公司
PCB事业部:http://www.sz-jlc.com QQ:3001295068
|
|||
let
9
主题
485
回复 |
发表于2018-06-10 13:56:41
|
只看该作者
14#
1,新用户坚决贯彻强密码,6~8位字母数字。字母大小写随意,不强制必须包括大写又小写。这个阻力或者技术难度必须突破。 2,老用户如果是弱密码,则每次登陆就需要手机验证的方式,必须痛苦。一旦自己修改为强密码,则无需每次手机验证。 同意,如果系统能判断密码强弱,登陆时候自动弹出这个提示选项,就解决了问题。 SMT从业员,需要可联系。
|
|||
ChessWorld
36
主题
820
回复 |
发表于2018-06-10 17:04:12
|
只看该作者
15#
大BOSS能公开致歉,难得可贵 本人给个小建议: 在不考虑成本和麻烦的情况下,给每个商城或JLC用户发个类似银行的U盾,那么再简单的登录密码都是可以。 当然,这个U盾还有其它功能最好。 |
|||
EDA老贺
7
主题
1499
回复 |
发表于2018-06-10 18:54:48
|
只看该作者
16#
?你的IE是否是兼容模式下无法登陆呢
|
|||
电子123
4
主题
2111
回复 |
发表于2018-06-10 20:18:17
|
只看该作者
17#
IE11 兼容模式下,滑块都看不到
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
|
|||
fz002
2
主题
63
回复 |
发表于2018-06-10 20:45:01
|
只看该作者
18#
不就是购物网站嘛,整的比银行系统登录还麻烦
|
|||
JS016
0
主题
11
回复 |
发表于2018-06-10 20:48:43
|
只看该作者
19#
完全是垃圾决策,还不如把论坛关了算了
|
|||
Lee
1
主题
122
回复 |
发表于2018-06-10 21:09:01
|
只看该作者
20#
比较同意14楼的建议,很好用的方法,大部分网站用的也是这种思路。
|
|||
EDA老贺
7
主题
1499
回复 |
发表于2018-06-10 21:56:20
|
只看该作者
21#
有些账号手机号都没有,怎么能让他修改密码呢?
|
|||
路在脚下
0
主题
201
回复 |
发表于2018-06-10 22:02:56
|
只看该作者
22#
这个建议不错
|
|||
电子123
4
主题
2111
回复 |
发表于2018-06-10 22:33:35
|
只看该作者
23#
BOSS 就是用来攻击的!
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
|
|||
无锡粽子
16
主题
197
回复 |
发表于2018-06-10 23:02:44
|
只看该作者
24#
没有手机号,登陆又如何收到验证码的呢
MUN5214T1G,进多了13盘,清仓价出,朋友帮帮忙 http://item.szlcsc.com/188094.html
|
|||
青龙
59
主题
726
回复 |
发表于2018-06-11 06:06:28
|
只看该作者
25#
如果出门没带手机呢!又急着付款,很麻烦。手机号没费了,一时交不了费,或者卡或手机突然丟了呢?!
|
|||
电子123
4
主题
2111
回复 |
发表于2018-06-11 08:51:37
|
只看该作者
26#
能不能搞个权限,普通权限,不用验证手机,跟平时一样,要发贴,就要手机验证登录。
爱浦隔离电源模块:5V转5V,5V转3.3V,12V转5V,24V转5V等;电源滤波器:ACM7060-701
|
|||
Lee
1
主题
122
回复 |
发表于2018-06-11 09:17:01
|
只看该作者
27#
不能考虑太极端的情况,急着付款的时候万一电脑坏了呢,万一键盘坏了呢,万一公司停电了呢 现在无疑手机是最方便的,开手机验证我是支持的,只是对老帐号不能有强制措施。 |
|||
Echo
35
主题
536
回复 |
发表于2018-06-11 09:37:04
|
只看该作者
28#
网站是要实名的,很多网站不实名无法发帖。最常见的实名方式就是绑定手机号。
ECHO Studio
http://www.uimeter.com
|
|||
EDA老贺
7
主题
1499
回复 |
发表于2018-06-11 09:45:09
|
只看该作者
29#
收验证码不一定要是注册的手机,用当前登陆人手机号码即可。 |
|||
EDA老贺
7
主题
1499
回复 |
发表于2018-06-11 10:03:07
|
只看该作者
31#
立创永远没有用明文保存过密码。 嘉立创是一个11年的企业,试想,还有多少企业存活过这么久? 嘉立创在最开始的时候,根本就没有想那么多,有些账号没有邮箱 与手机号,这些都在下单。 这些没有手机与邮箱的账号怎么处理? 这种处理方法不好,但是有历史包袱在。 |
|||
Echo
35
主题
536
回复 |
发表于2018-06-11 10:34:44
|
只看该作者
32#
变化是永恒的,不能永远守着过去的规则。历史不是问题。11年并不算长,腾讯20年了,淘宝也15年了。 包袱如果不去解决,就永远要背在身上,想要走得远,走得快,必须要解决掉,越早越好,越快越好。 老贺您是做互联网的,知道重构、迭代在互联网企业中的重要性。一段代码如果长期不去优化重构,一段时间以后和可能就死掉了。 ECHO Studio
http://www.uimeter.com
|
|||
Echo
35
主题
536
回复 |
发表于2018-06-11 10:38:17
|
只看该作者
33#
没有手机、邮箱的帐号,限制下单会影响公司收益,可以暂缓,限制论坛发帖可以做到吧?因为一些帐户的滥用禁止整个论坛发帖,这思路也真是神了。 ECHO Studio
http://www.uimeter.com
|
|||
常州华威电容
1
主题
24
回复 |
发表于2018-06-11 17:12:50
|
只看该作者
34#
多种并行吧。 强密验证码登陆,账号密码登陆 自由选择。 弱密强制验证码登陆。 手机验证码登陆我是支持的,但是第一天等了好久收不到短信,今天还行秒到。 |
|||
青龙
59
主题
726
回复 |
发表于2018-06-11 21:43:16
|
只看该作者
35#
支持楼上的说法, 如果是复杂的密码不用短信。 简单密码要短信认证。
|
|||
kingtop
1
主题
331
回复 |
发表于2018-06-14 11:16:07
|
只看该作者
36#
一直验证的额手机号,今天验证不了了:
|
|||
众才云集
3
主题
11
回复 |
发表于2018-06-15 09:31:33
|
只看该作者
37#
登陆一次就要发送一次验证码,真的好麻烦啊,离开一会或者手误关掉页面都需要重新发送验证码。 可以设置检测IP嘛,IP不变就不需要重新验证,一天验证一次就行。 |
|