为什么提供定期更改密码的功能? 因为竞品有这个功能, IT管理员需要这个, 否则无法签单
为什么IT管理员需要这个功能? 因为用户的密码容易被盗; 而且假如用户的密码已经被盗, 定期更改密码会让小偷停止盗窃
现在变成了两个问题: 为什么用户的密码会被盗? 为什么不能发现小偷现在正在盗窃?
因为密码强度不够; 因为用户还在使用不安全的HTTP/POP/IMAP/SMTP, 我们没有强制SSL; 因为用户的PC上有木马
因为我们没有完善的审计机制发现小偷
至此问题基本清晰了
然后在知乎上搜索到了问题:定期更换密码真的更安全吗?
里面确实提到了一种可能,如果被拖库了,哪怕是hash被拖了, 那定期更改密码是有意义的
但真正的安全可能还是尽早发现小偷,而不是定期更改密码。只关注在后一个方面只是掩盖了真正的问题所在。
Topic:
本站的feed
最新评论