V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
F2Sky
V2EX  ›  Twitter

Twitter 这样的登录机制是否合适?

  •  
  •   F2Sky · 2018-05-06 09:08:39 +08:00 · 7674 次点击
    这是一个创建于 2398 天前的主题,其中的信息可能已经有所发展或是发生改变。



    最近 Twitter 曝出密码问题,也收到了官方发来的提醒修改登录密码的邮件。

    但是不管是 web 端还是移动客户端( iOS/Android )都没有要求再次输入密码,而是可以继续使用。


    较为安全的方式难道不是,修改密码后,浏览器和移动客户端要求输入一次新密码,再才能继续使用。现在这种情况,如果别人之前知道了我的密码(泄露了),那我改了密码,别人仍然可以继续登录使用啊……是否有其它的机制来避免这种情况?
    7 条回复    2018-05-06 14:30:17 +08:00
    coderfox
        1
    coderfox  
       2018-05-06 09:33:10 +08:00 via Android   ❤️ 1
    因为这次泄漏是日志没有脱敏引起的,理论上只有推特工作人员能看到,而且应该也不是非常容易去形成数据库,所以安全风险和被拖库比起来小很多。
    LazyZhu
        2
    LazyZhu  
       2018-05-06 09:33:51 +08:00
    不要大惊小怪, 只是日志记录了密码没脱敏
    https://www.v2ex.com/t/452464
    Mogugugugu
        3
    Mogugugugu  
       2018-05-06 10:55:53 +08:00 via Android
    现在的新闻 总想搞个大事情。。。
    blackcurrant
        4
    blackcurrant  
       2018-05-06 11:05:59 +08:00
    楼主说的问题和密码泄露无关。更安全的做法的确应该是修改密码后,所有的登录 session 失效。
    ksyson
        5
    ksyson  
       2018-05-06 12:26:11 +08:00 via Android
    密码泄露前我刚改完推特密码...又要改
    0TSH60F7J2rVkg8t
        6
    0TSH60F7J2rVkg8t  
       2018-05-06 13:45:00 +08:00
    改完之后,有个提示,点进去会显示你已经授权的各种服务,在当时你就可以挨个取消掉各个授权,然后重新分配一次。然而这个提示也太小了,改完密码不点的话不会注意到。
    nciyuan
        7
    nciyuan  
       2018-05-06 14:30:17 +08:00 via Android
    又是国内标题党,什么叫漏掉加密过程,这威锋的编辑是大专做的吧?还有什么叫泄露风险?日志已经删了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5983 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 02:31 · PVG 10:31 · LAX 18:31 · JFK 21:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.