1樓:
為了增加黑客暴力破解難度
但暴力破解根本不是問題,暴力破解有多種方式應對,比如答錯密碼延時一秒應答(Linux的做法),或者限制猜錯次數,超過則鎖定賬號一段時間等等。所以現在比如Google啥的都已經不用這種體驗極差的提示了。
2樓:axzaxy
除了安全考量以外就是效能了
怎麼確認這個精確提示,也是個問題
到底存不存在這個使用者名稱,或者存不存在這個密碼難道還想把整個資料庫跑一遍嘛
肯定不啊,雜湊一查,不匹配,gg下乙個,才是正道
3樓:
是不夠精細,在大資料和AI加持之後,應該這樣輸出:
「您的密碼已被使用者『張三』使用,請換個密碼」
「使用者『張三』不存在哦,您是不是想輸『張四』,『張六』?」
最後!需求最明確的!是密碼的自動補全功能!非常需要!
請各位程式設計師互相督促完成版本迭代公升級,蟹蟹
4樓:風拾梧桐
where username=xx and pwd=xx,這樣一步可以驗證。否則要先查使用者名稱,基於使用者名稱,驗證密碼。我覺的就是因為方便
5樓:
如果我賬號寫錯了,但是這個賬號是存在的只不過不是我的,同時我輸自己的密碼是對的呢?
這時候提示的肯定是「密碼錯誤」,但其實對於我來說,我其實是賬號輸錯了。
所以,應該怎樣?
6樓:冼輝
比如你賬戶是A,密碼是B,你寫A1,B,系統怎麼知道你不是A1呢?萬一存在A1他的密碼是B1呢?系統難不成還要隔著網線過來驗證你的指紋嗎?
7樓:
從安全的角度來考慮的。
如果精確提示的話,那麼我瞎編乙個使用者名稱,然後密碼寫:123456然後告訴我:使用者不存在。
那麼是不是說,密碼是正確的?
那麼好了,我可以遍歷使用者名稱了。
8樓:Marikaito
我覺得有另外乙個原因就是,假如這個是你自己的賬號,你輸錯了使用者名稱,而這個使用者名稱是存在的,他直接說密碼錯誤的話,你會一直檢查自己的密碼,而不去考慮使用者名稱的正確與否。到最後才發現是使用者名稱輸錯了。
9樓:殲擊機
小白測試答一下。
這個是安全問題中的錯誤返回問題。提示賬號或者密碼錯誤的話,惡意人員不知道是密碼或者賬號錯了,要破解的話難度更大。提示賬號錯誤,或者提示密碼錯誤的話,惡意者可以找到破解的方向。
10樓:孟不凡
此類資訊屬於web安全中的「敏感資訊」
後台在返回錯誤的時候需要模糊處理,返回給使用者的和返回給管理員的不一樣,有對照本。
一般都會把返回資訊模糊化但使用者能理解,然後帶乙個錯誤碼,這個錯誤碼在對照本中記載著詳細資訊,比如到底是使用者名稱錯了還是密碼錯了,以便技術人員定位問題。
11樓:MAPLE
我覺得並沒有什麼用,即使在登入不返回使用者名稱是否存在也可以通過註冊/找回密碼的方式來判斷。除非是那種網頁後台,才用得著這樣吧
12樓:R3start
這是傻吧……
提示使用者名稱錯誤存在使用者列舉問題,
提示密碼錯誤存在暴力破解問題。
當年看的乙個PHP程式設計教程,裡面說使用者名稱錯了就要提示使用者說,使用者名稱錯了,密碼錯了,就提示密碼錯了。美其名曰,為了更好的使用者體驗。殊不知,這是個安全問題。
13樓:yang leonier
這種可以嚇退一些沒有考慮時間差問題的爬蟲,但一旦考慮了,還是可以爬出使用者名稱的存在性。
還是要綜合使用的別的反爬/反撞庫手段。
為什麼 QQ 用數字作為使用者名稱?
因為加QQ的時候可以只報一串數字就好,你說我加。我覺得是現有qq我才知道的郵箱的,第一次使用郵箱就是qq郵箱。本來就是這個設定,天經地義,初始的代入觀念已經我改變。我答應小表弟,只要你期末考試夠考80分,哥就給你申請個qq號。 lein 這是乙個很好的問題,從一名普通的使用者角度,個人認為用數字作為...
知乎上的使用者名稱都有什麼內涵或意義?
燕趙之地 燕趙任俠三十萬,中原放行九關。氣勢巨集大 我極喜歡。嬴氏有十四姓,趙出自其中,也算一脈同宗。寧熙取自 熙寧拓土三千里 而且我有點同性戀傾向,很喜歡那種女孩子角色的感覺 鬼飯先生 更多是對曾經的懷念 起名廢 原來不敢說,現在可以說自己是半個老二次元了。最早的時候,也不怕笑話,受了工口老師的作...
說說自己的使用者名稱(ID)有什麼含義,或為什麼取它?
劉備 嗯.取這個使用者名稱只是為了勵志 不要因為失敗就過於沮喪,不要因為成功就驕傲,堅持不懈,不忘初心。勿以惡小而為之,勿以善小而不為,不要因為只有一點好處就不去實行,不要因為只有一點壞處就去做。 市民楊先生 因為我不是乙個會創造的人,也不會起名,但是我會在別人建造好的基礎上修改,但是在ID這塊,我...