V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kurtis
V2EX  ›  随想

用户名密码的登录模式是否可以改变?

  •  
  •   kurtis · 2013-12-01 20:30:35 +08:00 · 3862 次点击
    这是一个创建于 4015 天前的主题,其中的信息可能已经有所发展或是发生改变。
    虽然将来想iPhone5S指纹认证可能会流行。
    但是,用户名/密码 模式已经使用了几十年。

    为什么非要用户名 回车 密码 回车?
    为什么当初不设计成只要输入一行,不回显的密码 (或者不回显的用户名+密码)呢?
    如果现在的网站的设计采用一行式不是方便用户很多吗?

    有谁知道? 请不吝赐教!
    23 条回复    1970-01-01 08:00:00 +08:00
    lanbing
        1
    lanbing  
       2013-12-01 20:35:28 +08:00 via Android
    没看懂…
    faceair
        2
    faceair  
       2013-12-01 20:41:08 +08:00
    难度会大很多,重名的一行式密码怎么办?

    只要能保证唯一性当然可以登录,比如微博、QQ等第三方登录都是返回的一个长的不规则标识符来注明用户身份。
    但是对用户来说,维护一个长的不会重名的别人不会猜到的密码难度会很大。
    ETiV
        3
    ETiV  
       2013-12-01 20:43:23 +08:00 via iPhone   ❤️ 1
    用户名=门牌号
    密码=钥匙

    5S不需要是因为门牌号,也就是手机就在你手上。
    dorentus
        4
    dorentus  
       2013-12-01 20:43:59 +08:00 via iPhone
    用户自己设的密码可能会和其他人的重复,自动生成的话用户又记不住。

    一次性输入用户名和密码和分开输入没区别的吧,反而会因为分隔符问题增加两方的复杂度。

    不太清楚你说的到底是哪方面的,命令行远程登录的话 ssh 有更方便的基于非对称加密的密钥严重的方式;Web 的话也有类似基于客户端证书验证的方式。都完全不用输密码。
    lichao
        5
    lichao  
       2013-12-01 20:45:36 +08:00 via iPhone
    我的密码是 123
    你的密码也是 123
    网站如何区分你和我?
    niseter
        6
    niseter  
       2013-12-01 20:50:24 +08:00
    其实早有了啊,个人用的wpa/wpa2加密就只用输入密码,没有用户名
    还有很多地方,证书登陆也可以,比如ssh什么的。
    用户名密码啊邮箱啊都是特征码而已,区别目的达到即可
    dallaslu
        7
    dallaslu  
       2013-12-02 00:07:07 +08:00
    已经被改变了——现在一般还需要输入验证码
    sophy
        8
    sophy  
       2013-12-02 00:10:25 +08:00 via Android
    其实完全可以,A用户密码123,B用户利用123注册的时候会提示,此密码已被使用就行了
    ericls
        9
    ericls  
       2013-12-02 00:15:46 +08:00
    @sophy 然后输入123 改个密码 B用户就爽YY了
    sophy
        10
    sophy  
       2013-12-02 00:40:58 +08:00 via Android
    @ericls 嘿嘿嘿,明白人
    binux
        11
    binux  
       2013-12-02 00:46:55 +08:00
    @ericls 实际上有用户名密码也是一样的,你用户名是1,密码是23,我也输入1,23,铛铛,进去了
    kurtis
        12
    kurtis  
    OP
       2013-12-02 09:36:52 +08:00
    @dallaslu 呵呵,你很嘲!


    @binux
    @ericls
    @sophy
    @lichao
    @dorentus
    @faceair

    我的意思是,注册时区分用户名和密码,如果用户名重复则提示重复。
    然而登录时,用户只输入一行:用户名+密码 (中间不间隔,全文不回显)
    例如 用户名:abc 密码:2345xyz
    登录时 你只需输入abc2345xyz (显示为********)回车即可。
    lichao
        13
    lichao  
       2013-12-02 09:40:13 +08:00
    @kurtis 我用户名是 ab,密码是 c2345xyz 怎么办?
    Ansonyi
        14
    Ansonyi  
       2013-12-02 09:51:15 +08:00
    语音识别?二维码扫描?
    dallaslu
        15
    dallaslu  
       2013-12-02 10:01:26 +08:00
    @kurtis 其实你的意思是,「用户名+密码」的方式,其根本就在于不区分用户名和密码的间隔。这样,对于破解者来说,用户名和密码连接后的字符串的长度更长更安全(某种程度上);对于使用者来说,几乎没有使用障碍,同时减少了一次按键操作。

    但实际上,也可以认为传统的模式,是在用户名和密码之间用了一个回车符来区分的。所以,对于穷举者来说,在猜测用户名方面上,更困难了。举例,暴力破解后发现可登录的用户名密码字符:

    abcdefghijklmn

    用户名和密码的组合可能是以下几种:

    abcd+efghijlmn
    abcde+fghijlmn
    abcdef+ghijlmn
    ...

    对于破解者来说,原本要分别构造用户名和密码部分的字典;现在不得不把两个字典放一起来用了。但是,这样的结果是,当我要破解 abcd 的密码时,发现 abcdefghijlmn 通过验证了,于是认为该帐号的密码是 efghijlmn。当然,也可能是 abcde+fghijlmn 这样的组合——但是,who care? 反正我已经登录了,登录后我就知道我是谁了。

    碰撞到其他用户的密码组合,会降低安全性,同时也影响了用户的身份确定。尝试给一个解决方案,譬如我们确定用户名必须为十位——嗯,身份可以确定了——但是,这和使用了几十年的传统用户名加密码的方式,也没有区别了吧?



    ——————————————

    如果想要一行字符串来认证,不妨考虑上面几位提到了 SSH 登录密钥的方式,甚至目前Twitter、Weibo 提供给第三方应用的 Key。登录用的 Key 不涉及用户名和密码的明文组合,但是与系统中某一身份关联。但是对于普通用户来说,记住这样的复杂唯一的字符串,是不现实的。
    Mutoo
        16
    Mutoo  
       2013-12-02 10:04:17 +08:00
    我用户名 a 密码 bc
    你用户名 ab 密码 b
    你提示啥?
    提示用户名或密码重复的话,那不等于告诉我,你的用户名是 ab 密码是 c 么。
    ijse
        17
    ijse  
       2013-12-02 10:11:37 +08:00
    @Mutoo
    @kurtis
    @dallaslu 或者用一个特殊字符隔开,如| 。。。 不过这样好像就又绕回去了,仍然是区分用户名和密码,只不过登陆的展现形式变了而已,如果设计需要,可以这样,甚至可以做成shell脚本交互式的。。
    fuckgfw
        18
    fuckgfw  
       2013-12-02 10:28:48 +08:00
    相信可以的
    wdring
        19
    wdring  
       2013-12-02 10:35:50 +08:00
    微信网页版,手机扫一下二维码就登录了
    myrual
        20
    myrual  
       2013-12-02 10:38:49 +08:00
    基于公私钥签名方式,比较安全了。
    coosir
        21
    coosir  
       2013-12-02 10:42:39 +08:00
    用户名和密码分开很直观呀,只有程序员的思维才会想把两者连着输入吧。
    个人还是希望有其他方式替换用户名和密码登录的模式,比如指纹、虹膜、血管等方面的生理特征。
    faceair
        22
    faceair  
       2013-12-02 10:45:45 +08:00 via Android
    @kurtis 不回显,我不知道我的用户名输错没
    ooof
        23
    ooof  
       2014-02-19 23:54:25 +08:00
    转:Google 刚刚收购一家以色列公司,该公司利用语音识别做登陆验证。

    http://www.bbc.co.uk/news/technology-26222424
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5873 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 02:45 · PVG 10:45 · LAX 18:45 · JFK 21:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.