淘宝用户进行修改密码时，不验证旧密码，只需输入新密码……

淘宝：花了这么多工程师的心血搞出来的安全环境验证机制，就是为了让用户方便一些，这也可以被喷。

@nfroot ???? 你自己出门后把门打开了, 怪贼进去了咯? 随手 win l 不是常识吗..

@yzkcy

章口就来是说你自己么。。。。

"章口就来？就算给你密码，你在陌生环境登录也得过二次认证吧。"

确实是之前没注意到这一点，看到你这句话后随手我就拿起旁边的一个工作笔记本登录了我刚才修改密码的淘宝用户，用的火狐浏览器 v52.9。（绝对从未在上面登录过私人账号，因为这是从别人岗位退下来的破旧电脑，平时只是做下实验用）

并没有出现二次验证啊！

在新设备登录，需要验证码的。

不验证旧密码很正常啊，你都登录进去了，也是你常用电脑
不要你刷脸，拍监狱照就不错了

我觉得还是验证下原始密码比较好

？？？
笑死我了。自己智障怪工程师？？

@arrow8899 我在 23 楼解释过了，实测新设备并没有进行二次验证，直接进入了。。（电脑端）

看了最近的 1818 黄金眼，有一则新闻说的就是一哥们的新卡号在注销期之前有人绑定了支付宝，然后只需手机验证码就盗刷了别人的花呗七千多。。。

难道要你提交手持证件照才放心？

@nfroot 你说你试了，我在回复之前也试了，没弹二次认证我也不会回这个帖子了。

另外你最好仔细判断下自己的新设备是不是属于 [陌生环境] 。

@nfroot 换个 IP 清除 cookie 之后重登陆试一下

@nfroot #10 你那一大坨真是够了。

1 办公条件这么恶劣的，安全意识高的，离开电脑必然是锁屏，你那些七大姑八大姨那一段也就不存在了。

2 连找回密码都不知道的人，要么没有攻击价值，要么事情都交给别人办，所以你后面这一段也不存在了。

@yzkcy 对于我的账号来说，这个电脑真的是陌生设备，这方面记忆不会出错，原因有多个。
1.这个电脑很破旧，我不可能在上面登录淘宝这样卡死个鬼的网站。（登录用户使用）
2.这是从别人岗位上退下来的，平时最多就测一下网络，测下软件，不会去登录淘宝这种类型的网站
3.用的是火狐浏览器，检查了一下系统也没有存在“淘宝、支付宝安全控件、组件”之类的东西，如果没有安装这类组件的话，火狐也没可能获得这个电脑偏硬件的信息。。。

首先你得确定：你以为的“陌生环境”和支付宝以为的“陌生环境”是否一致，否则后续判断整个基础就偏了..

洗地的都是傻逼吗。

你列举的三条从来没用过的论据，确实不能判定本人，
但这并不代表不能通过其他因素判定为安全环境。
这就好像：
我穿了件旧衣服，衣服是别人的，衣服上也没有我的名字和工牌，
甚至于不用看到我，只要听听声音，朋友还是认识我。

@nfroot 我又试了另外一个 [陌生环境] ，一样弹出二次认证。

1.这个设备是否用这个账号登陆过其他阿里系软件，如阿里云等？
2.陌生的网络环境？
3......

这是要说明淘宝很不安全？还是身边人很不安全？
不过同一网络环境，用新设备登陆不需要包括密码的任何安全认证，确实挺不安全的。

安全环境的判定是否完美属于技术问题，可以改进，
但努力在不影响安全的前提下尽力降低用户的使用复杂度，这不是很好的方向么？
楼上虽有个别嘲讽，但大多意思只是说楼主心中的判定条件只是支付宝判定的子集，
至于开骂么？
要反击恶意，你也得看准人吧，非要贴标签 AOE 攻击引战？