bilibili 账号改密码竟然要求输入当前密码

已经通过手机验证了，输入了正确的验证码了，那么，请问，是不是就应该直接填写新密码并确认一次新密码即可呢？

竟然要求填写当前密码，我正是因为忘记密码才要求改的啊。。。。。。

幸亏我试了好几次，终于想起来老密码。。。。

而且，尼玛，我的生日是 10 号，手机 app 里是 10 号，网页上是 9 号，一改，这网页就卡住了。。。。。

moonsola

2018-10-26 16:51:09 +08:00

楼主的操作确实……退出就可以了
不过 B 站修改密码的流程确实有问题，登录状态竟然比未登录状态多一步鉴权，理解不能

xaoduer

2018-10-26 16:57:42 +08:00

赶上一场精彩的辩论赛，修改密码本来就是在知道原密码的基础上修改的，这个没毛病，有毛病的应该是还要发手机验证码。发手机验证码应该在忘记密码时需要。

SeaRecluse

2018-10-26 17:11:52 +08:00

理解楼主，确实我以前也吐槽过，楼上一群键盘侠自己流程过一遍就懂了

geminil

2018-10-26 17:29:24 +08:00

忍不住评论下
修改密码：在原登录的情况下，验证手机，防止登录状态下，人离开电脑被别人擅自操作，不过是多了手机验证的一环（手机那个只是为了验证是否是本人操作，验证是否本人操作），然后就是老的逻辑，登录情况下改密码，需要输入原密码。
忘记密码：自然会觉得根本就不记得密码登录不进去，情况下。

lorryo

2018-10-26 17:36:18 +08:00

@passerbytiny
修改密码一般常见的逻辑就是验证原密码，输入新密码。或者验证短信 /邮箱验证码，输入新密码。
忘记密码一般常见的逻辑是验证短信 /邮箱验证码，输入新密码。或者验证实名身份什么的，输入新密码(少见)。

至于说 B 站短信验证码登录过后，修改密码为什么还要输入旧密码，觉得脱裤子放屁，多此一举。还是图样。

登陆时是你本人操作的，但是系统怎么判定登陆后(一段或短或长的时间)操作这个账户的还是你本人？
而且，[账号并不一定必须登录才能处于登录状态。]
所以才会有涉及敏感操作的时候再一步鉴权，比如修改密码、支付什么的，需要再一步获取短信验证码或者原登录 /支付密码。

至于忘记密码为什么只需要短信验证码，那时因为你忘记密码的时候目的明确，你肯定填写短信验证码之后立马就输入新密码修改了。而且短信验证码过时也会失效，基本可以判断这个是你本人操作。

再举个场景，比如 B 站有个 XSS 漏洞，你中招了，别人用你的 cookie 接管你账号了，一般情况下 cookie 失效后，权限就失效了。但是这个时候要是修改密码的地方不需要进一步鉴权(原密码或短信验证码)，输入新密码直接能改，那么直接可以修改你密码，持续化控制了。
再再举个例子，以前微博的 oauth2 认证有个漏洞，修改 uid 就可以调用任意微博用户的账号登录，要是修改密码的地方没有进一步鉴权，那也后果同上了。
而且输入旧密码还有个原始功能，可以防 CSRF 攻击。

所以，系统如果认定处于登录状态的账号就是你本人操作的，之后该账号进行敏感操作的时候没有进一步鉴权，会是一件很危险的事情。

realityone

2018-10-26 17:40:42 +08:00

安全性功能应该基于数学来设计，而非用户直观感受。

lorryo

2018-10-26 17:50:48 +08:00

接#65
开个群嘲。估计这楼里有不少开发的程序潜藏着一些弱智逻辑漏洞。

neverandy

2018-10-26 17:57:29 +08:00

不要在意这些小细节[doge]

wildmelon

2018-10-26 17:59:05 +08:00

@yzkcy
"修改密码一般常见的逻辑就是验证原密码，输入新密码。或者验证短信 /邮箱验证码，输入新密码。"
--------------------
B 站修改密码的逻辑是：
1. 验证短信 /邮箱验证码
2. 验证原密码
3. 输入新密码

B 站重置密码的逻辑是：
1. 验证短信 /邮箱验证码
2. 输入新密码

dcsite

2018-10-26 17:59:22 +08:00

产品经理：

很简单，之前修改密码需要原密码，后来发现密码被盗后改密的情况很多，就加入了手机验证码。很难理解吗程序员们？

redapple02041

2018-10-26 18:03:29 +08:00

我也觉得这个逻辑有点问题。。反正找回密码也是只用手机认证，要是盗号者真的有办法过手机这一关直接点找回密码不就得了。。

stabc

2018-10-26 18:04:29 +08:00

上面嘲讽 LZ 的人，是不了解『重置密码需要输入原密码』的初衷吧。

honeycomb

2018-10-26 18:06:55 +08:00

@ericgui
这个逻辑是正确的，登录状态下，修改密码以前，需要输入原有密码，然后通过第二步认证。

楼主可以看一下 Google，Microsoft 的账号在开启两步验证时修改密码的流程。

bbbai

2018-10-26 18:06:55 +08:00

一点问题都没有谢谢，登陆操作校验是登陆操作的事情，修改密码是修改的事情，肯定要进行验证。万一不是登陆的人控制了终端岂不是想怎么改。

winstars

2018-10-26 18:21:41 +08:00

@passerbytiny #27 明白明白。但是从安全角度来说，手机号验证只是确保这个修改密码的操作是本人而已。从业务逻辑上来说，重设密码和忘记密码是两回事。如果知道了原密码就能直接改密码，那么安全性就弱了。修改密码是涉及安全性的操作，修改密码需要双因素验证是主流。

cllvking

2018-10-26 18:22:59 +08:00

同意#65，很难判断：处于登录状态时的修改密码是否是本人操作，所以需要原密码还是有必要的

laoyur

2018-10-26 18:59:03 +08:00

修改密码需要「原密码」、「手机验证码」，不需要知道「手机号」；
忘记密码需要「手机号」、「手机验证码」

仔细想一下，两种场景还是有不同的，一定程度上用于应对不同的攻击模式。
当然，对用户本人来说，修改密码略微苛刻，因为它的限制反而比忘记密码更严格。