建议 关于强制改密码的规定

[myffire]

刚刚看到消息

似乎论坛想要求每两个月更换一次密码

而且有设置无法改成曾用过的密码

 

对于密码防盗来说自是有促进作用

国外银行员工门禁密码是每天更新的

 

但就本人10年IT工作经验而言，此做法实际并不利于大众私人的密码管理和防盗

大部分人有自己的密码设置习惯，比如分类或是索引以方便记忆。而只有只保存在大脑里的密码才是安全的。

完全随机的密码在破解的理论上是更安全的，但到实际情况却并达不到期望的效果

密码频繁更换过于频繁会引发记忆问题，导致会员账号因忘记密码而丢失，或因更多的【找回密码】操作而加大服务器负担

会导致很大部分人群把密码保存在电脑上的某个文本文档里，而这种做法比使用生日作为密码的人更容易被盗。（虽然密码本身看似难以被破解，但人为操作会将其双手奉于窃密者，而这种人为操作是人性使然的规律，不以人的意志为转移。）

若此规定落实实施，不用几个月会导致大量用户密码遗失，从而引发一系列后遗症。

 

矫枉不应过正，数字字母结合的密码在正常范围内已经能满足一个论坛的安全需要，若过于苛刻反而适得其反。

真有黑客有心盗取密码，每周甚至每天更换一样会被窃。请慎重考虑这一决定。

 

[myffire]

Eternalの无心 发表于 2016-5-25 12:54

常用密码＋数字就行了「比如用月份或者按12345的顺序轮下去」

如果你想得更长远些就会发现，无论你用什么方法，都是有个量的限制

你用月份，一年就用完了

而且天长日久容易混淆容易忘

 

在发这个帖子之前我就设计了几种做法，其中包括一种：

常用密码加上每个月的三位英文缩写加上2位年份数字

这种做法自然是可以用到百年之后

除此之外还有几个其他的方法都可以用个几十上百年的

 

但是最后还是有一个问题

你必须记得上一次改的是什么

比如我的常用密码是PSWD999加上现在这个月得出PSWD999may16

但是我不能保证我在比如2018年7月份-10月份这3个月一定有时间上来改这个密码

如果其中某一个月忘了改，或者我去没网络的非洲呆了几个月玩野外生存

我不能保证记得上次是哪年那月改的密码

 

我可以给自己强制设置一个习惯：每个月的1号或者发薪日登陆这个网站改一下这个密码

但是还是不能避免以上的问题发生，人类不是机器不是电脑

而且再来说，有必要么？

[myffire]

苍云静岳 发表于 2016-5-25 11:21

没有强制改密码，只是改密码之后才能完成那个每月白拿30汁液的任务。

 

也就是这个任务从【福利】变成了一个 ...

严格上说确实没有强制更换

但本质来说等同于强制更换

[myffire]

萨卡 发表于 2016-5-25 13:51

你看上楼上那些说自己用一个密码的.

你说那些帐号被盗的大部分原因是啥?

提示见第一句.

对于“简单”和“有效”这两个词表示保留意见

 

另账号被盗大部分原因并不是不修改密码，而是密码保管不善

[myffire]

总结一下作为IT从业人员对于回复的回复

 

首先“福利”变成“改密码任务”，作为论坛的拥有者和管理者确实有这个权利，可以做这样的规定

然而强制或半强制定期修改密码也能从一定程度上防止密码“被窃”但长远来看对于论坛的影响弊大于利

 

首先这种规定对于用户而言很不友好

大部分用户会为了这个福利而改密码——确实达到最初目的——但这部分客户中的大部分会把密码直接储存在电脑里，或者直接就忘了，间接造成用户流失。

 

为了应对26楼提到的问题，

22楼提到的设计中也包括一种将网站域名首字母加入密码设计

但同样也是有缺陷的。其中之一：网站域名是有可能会变动的。当然还有其他缺陷，比如这种做法并不能帮助pass你们这次的任务。

把这种方法加上22楼的方法当然可以做到，但是又会遇到22楼提到的问题。

 

现在准备采取的方法看似简单，但实际上对于每个用户来说并不简单，特别是大部分底层用户，刚刚穿越的最需要“福利”的新用户。

就我本人而言，1W节操+600汁的库存，有福利很好，没福利也能过。

但是对于刚穿越只有1K节操的人来说，就面临一个选择：冒着遗忘密码的风险每个月做任务拿30汁，或者放弃30汁而保证记得这个账号的密码。

 

拿笔记下是一种方法。但是记在哪里？不是每个人都和我一样有一个小本本记着一堆密码的。

多数人会选择一张小纸片，容易丢。

即使有一个小本本，保管这个小本本的辛苦我是知道的但很多人不知道。而一旦养成这个习惯（其实并不能算是好习惯），你将面临更大的危险：一旦这个小本本某一天找不到了，你的很多事情都会被耽搁（只是找不到，并没丢，也许在枕头下面回家就找到，但是当天的事情就被耽搁了）。

嗯，任务要求是两个月更换，但是从人本的角度考虑大部分上心的人会选择每个月更换而不是每两个月，这样更不容易忘记。

论坛账号被盗是个非常严肃的问题，看到一个个昔日大神被封即使作为白丁我的心里也不好受。

如果诸位有机会看一下易经，它告诉我们管理行为以法制与人治结合为佳。

比如对于一般用户，一旦被盗，无法自己找回则封禁处理。而有特殊贡献的可以有限的人为帮其找回（比如给个两次机会手动重置密码）。当然会加大管理者的工作量，但有时也是必要的。

 

从另一个角度说，账号密码可以看作家里保险箱钥匙（不带密码的那种），钥匙被偷导致丢钱 和 定期更换保管钥匙的位置导致遗失或忘记钥匙在哪。正常人都会找锁匠帮忙开锁。那么不久的将来可以遇见将会有一大批用户由于忘记密码来走程序，或是论坛申请加重服务器负担，或是开个小号密管理员。到时方法1基本能找回密码然后再次进入循环，方法2的基本找不回来，我不认为管理员有那时间处理这些问题（且有上一次强制性全论坛重置密码情况为先例，作为恰逢非常时期的gmail用户印象深刻）。

之后方法2的用户或再熬上三个月重新穿越，或是放弃论坛。

而密码保管良好的客户一年以后会开始产生厌倦，部分渐渐放弃任务，渐渐或极端的直接离开。

 

站在高位时当降低自己来考虑问题，保护用户账户安全也并非只有一种方法。

最主要的，个人的账号安全并不是管理者的义务。

[myffire]

深紅色 发表于 2016-5-25 16:29

原本只是靜看這件事情，只是看到這裡突然有些話想說

之前我也是怕忘記密碼、方便所以都用類似的密碼共用

可 ...

是的，出现问题就要想办法解决

你的办法是其中一种

这里的重点是从今天起，一半以上论坛经常在线用户每两个月这么来一次。

[myffire]

苍云静岳 发表于 2016-5-25 16:02

@c0821qoo @Saka 客服就交给我吧~

 

然后其实这句话说晚了，亚由和萨卡的回复应该能解释原因了。

试运行的话个人建议还是加一个改密码任务另外给奖励

毕竟服务器承受力也不是很强大

 

比如福利30汁一分为二

月薪改为15

每个月改次密码再领15

[myffire]

结局的续篇 发表于 2016-5-25 18:03

底层用户？

 

你直接说伸手党不就好了？

你不能指望所有用户都是大神

很多大神也是从伸手党发展起来的

没有一定的底层用户基数，上层用户数量同样有限

这个论坛从根本上来说也不是纯技术论坛，说爱好者同盟更合适些

 

管理层之所以是管理层，比普通用户付出更多是自然的

但是这并不是说管理层要为普通用户造成的过错来买单

被盗号被封禁活该，我不认为应该帮他们找回，除了那些有特殊贡献的

 

管理不只是两个汉字说说那么简单

我不是这个论坛的管理层所以那些事不是我该管的。

强制执行自然是作为管理层的权利，呵呵我也是你的权利，我只希望做决定时多考虑一层。

 

有一点是肯定的，除了大D吧起那些建设元老，论坛里其他所有成员都是从底层用户开始的。

 

给你们提建议是因为在这个论坛已经三年，可以算是一种习惯了

那些半个月一个月登陆一次的不会和你们啰嗦这么多

[myffire]

结局的续篇 发表于 2016-5-25 21:32

最后，关于其他地方的反驳我已经在点评中说了，但有一点我不得不用【回复】来反驳你。

 

我就问 ...

哦，很好，发布前看见有回复了，下面是之前码的

 

你们可以点评我我不能点评自己点评上的点评- -|

我只想说 你激动了

 

在这里说这么多，是给你们一个“别的声音”

不是和你争论谁对谁错

 

上面我举的是极端例子，在两个极端之间有大片的中间区域。

况且我想你误会了我提到那种不常登陆用户的用意。他们不会和你争论，也不会在意你怎么管理论坛，更不会在乎什么福利。也不在我以上所有主贴回帖的讨论范围之内。只是告诉你，在乎的人，都是希望论坛能够长久繁荣的人。

 

至于付出的问题，我并没说你的观点有错，恰恰很多情况下确实如此。

但现实不是数学，没有那么绝对。

 

 

这里回复你的回复

 

你问了一堆“凭什么”，我的回答只有一句：对，就因为你是管理层。

你要这个头衔，愿意做这个事，就要承担起这个责任。大众自然有权对你们加以评论。

但如果你对这些评论报以抵触的心态，不管你做什么都会觉得冤枉。

区分其他声音的目的性是很重要的

我不否认有很多恶意攻击者

对于这些人我的手段并不温柔。

你的这些问题，有很多和我所提的实在是接不上，也许是之前其他事情的缘故

比如必须满足所有人要求，这一条本身就是不可能实现的

 

管理本身就不是这两个汉字这么简单

一刀切的管理方法被无数实践证明只能治标且容易被反噬，弊远大于利

如果你只是简单的要求密码不能和其他论坛相同，那很简单，每个新注册用户随机配给一个2位字母并强制加入密码序列的开头或结尾处。技术上也是可行的。

again,这只是个栗子，可行的方案一定还有不止一个

 

讨论个问题犯得上这么激动么？喝杯茶歇会

[myffire]

结局的续篇 发表于 2016-5-25 22:01

国/家颁布最新规定，必须认真落实与实践国家身份证明相关规定，所有要领取低保的同志，需要每两 ...

不管你怎么来的，就一句话，在其位谋其政。接受这个职位的同时你也同时接受了它的责任、权利和义务。

要和需要是两码事，我原话的对象也是并列的，并且再次，只是举例，如果要用“到包括但不仅限于”这句话那我们是在谈合同。

 

至于第一句，我只是告诉你，管理层和用户大众并不是处于对立面的敌人，特别是会给你们提意见的用户。

 

我们是不是跑题了？

 

管理一个团体本身就是吃力不讨好的事，我也从不质疑作为管理层的辛苦程度。

但是类似这次的决定继续增多，只会加大你们的工作量，不会减少。

[myffire]

作为不作为是一回事

怎么作为又是另一回事

无人问津的论坛不会有盗号

某宝可是什么账号都有得卖

 

[myffire]

妮特妮特妮 发表于 2016-5-25 22:15

增加工作量嗎？ 不管怎麼說，妳對管理層的看法是怎樣的？

我想聽聽妳的意見和看法～ ...

呵呵我没啥看法

就事论事说的对这相改动的看法而已

[myffire]

萨卡 发表于 2016-5-25 22:41

别把什么自己是it专业挂嘴边. 到现在还没搞懂大部分盗号原因吧？ 我都已经提示了.

不是用户电脑中毒 不是写 ...

没有所谓完美

两弊取其轻

 

你有权采取任何你认为合理的措施

我只是说出我的观点和我看到将来可能发生的状况

 

写在小本子的方法对于目前的盗号产生原因是有利的

但是我不认为有超过半数的论坛活跃用户会采取这种方法

[myffire]

萨卡 发表于 2016-5-25 22:54

我当然不希望大家写本子上

同样我也希望论坛能健康持久的发展

p.s.建立一套合适健康的制度能大量减少管理层的工作量

[myffire]

看了一上午回帖，包括那个新贴

谢谢有人支持我的观点，同时希望各位理性就事论事。

对于论坛的这项改动我本人表示理解，同时对方法保留态度。

 

两个帖子回帖内容总结一下

比较多的是出主意：用纸笔记录、加个数字、形成习惯

部分的表示没强迫改密码， 爱改不改，不想改别领工资

这点破事搞不完了烦不烦

然后看到下面这里算是看到重点了。

萨卡 发表于 2016-5-26 03:30 不不 这任务只是最开始促进用 其实整个任务被废弃也不奇怪 因为论坛已经面临通货膨胀 ...

为解决通胀的问题取消工资不是不可行，然而取消工资和添加新任务奖励改密码应该是两件事，分开比较好免去很多争议。这是两件事，分开进行和合并处理是有本质区别的。

还有表示管理层辛苦的，对于这点我本人以及我相信绝大部分论坛住民心里都是清楚并且感激的。但感激并不等于应该闭口不言，辛苦也不代表绝对正确。

 

我在此贴里一再强调的并不是有没有每个月一次的30汁工资问题，也不是讨论谁对谁错，更没有质疑任何一名管理者的出发点。

而是这一项改动落实以后，大众可能的做法，以及所可能产生的一系列连锁反应和影响。

并不是某一个或几个人有自己的办法；或者给大家想个办法完成任务。并不是每一个解决方案都能适用于所有人。

关键点是大部分人会怎么做。

 

对我个人来说，我能有很多办法完成这项任务，但最后我还是会选择放弃工资。这不是懒不懒的问题。

如果一家银行要求客户每个月换不同的密码来保障客户自己账号的安全，大部分客户的选择将是换一家银行存钱。

 

对于论坛账号，对于大部分人来说（注意我说的是大部分人），来这个论坛，并非其对sstmlt这6个字母有什么特殊的感情，而是他们对同盟论坛有所需求。对于他们来说，不管你什么规定，“我”只要满足需求，更不会和你争论。假如我没写这个帖子，有可能完全没有反对的声音出来。

其次分成两类，A自认为存货足够，也就每个月少30汁工资无所谓，他们不会去动密码；B定期改密码完成任务拿工资。而B中有一部分会在一段时间后变成A，另一部分则可能因为密码遗忘进入“找回”程序，无法找回的会再次麻烦管理层，若无果则被迫重新穿越或从此离开。即使完美操作改密码，没有任何意外发生，几个月后也会产生厌烦或变成A或索性离开。无论是频繁走“找回”程序，还是麻烦管理层，都会增加论坛负担；而对于A则完全没达到这项决议的最初本意。而用户流失也不会是大家所想看到的结果。

至于各种出主意想办法完成任务的朋友，你们是积极的，但同时也应该把目光看更长久视野也加宽，看到所有人如此做几个月几年会怎么样，是否有这个可能。

 

作为管理者，进行任何一项决议首先要明确一点：目的。实施后是否能达到所期望的目的。

然后还要考虑一点：副作用。没有所谓完美，副作用是一定会有的。而这副作用和目标达成度之间的对比，是可接受的牺牲还是难以评价。

我发这个帖子不是因为我缺那一年360汁，而是对这项决议实施半年后所会产生的副作用有所担忧。

个人观点最终很难达成初始目的却需承担不小隐患的副作用，如上文的分析。

 

至于把对这么一个决议的支持与否看做对论坛的忠诚度，有多少爱更是不可取的。

众人对你的评价取决于你做好了多少事而不是做了多少事。隋炀帝劳苦一生做的也都是利在千秋却得暴君之名，就是因为他只考虑到了千秋之功却并没衡量百姓和国家当时的负载能力。（again只是个例子）

还是那句话，站在高位时当放低自己考虑问题，高度是你的优势，请利用这个优势眺望远方同时也别忘了自己脚下最底层的土地。不要让高台上的风景占据了你全部的视野。

 

你们既已决定此项决议，我本人以及大部分群众当然会接受（也只能接受），但讲出我的观点应该也是我的权利（起码我没煽动群众吧）。这次是对于这一项决议但不仅限于这一项决议的看法，如果能对论坛管理带来帮助实我所原，如果不能就当看个笑话完事了。

 

最后谢谢这个中肯的回复，码字一半才看见

【福利】改【任务】也是计划的一部分。

 

将来不排除提升任务奖励的可能。总之把【无差别福利】改成【对支持举措者的奖励】也是决定之一。

 

大家说这里是高冷论坛也是因为这边一直在解除轻松拿货币资源的免费午餐【捂脸。60天也是，现在这个决定也是。

 

依旧感谢意见，我会传达给其他后台管理。