「密碼不正確」這話有安全隱患，你看出來了嗎

在網路安全上有一個最佳實踐，在用戶輸錯密碼導致登錄失敗的時候不應該說「密碼不正確」，相反，應該說「 用戶名或密碼不正確」。 原因是，前者會讓黑客知道某個賬戶存在，從而增加賬戶被盜風險；而後者則更加安全。

目前，大多數網站都不會存在上述問題，但是，黑客依然有辦法獲悉某個賬號是否存在。例如，在用戶註冊界面，部分網站使用「用戶名」或者Email地址來作為用戶賬號，於是，為了防止賬號重名，在用戶註冊的時候會檢測該賬號是否存在。這無形中又增加了安全隱患。

那麼，更加好的做法是什麼呢？推薦以下3種方法：

使用手機號作為用戶賬號並發送驗證碼進行驗證。在註冊時，無論用戶輸入什麼手機號均不會有任何提示，而只有當用戶通過「獲取驗證碼」並在界面中正確輸入後才能進行下一步流程。目前阿里、網易等都提供了相關簡訊套餐服務，費用也可以接受，目前已經越來越多的網站採用該方法。

使用QQ、微信、微博等第三方身份認證。由於大部分用戶都有這些賬號，這樣可以減少用戶註冊的麻煩，提升用戶體驗，而在後台則可以通過內部ID（例如使用UUID）來進行賬戶的關聯。如果有必要，在用戶完成第三方身份驗證之後，可以引導用戶設置一個本地賬號和密碼。

使用Email作為用戶賬號但要注意安全。使用Email作為用戶賬號也是可以的，但注意在用戶註冊的時候，無論用戶輸入的Email地址是否存在，都不要直接給出提示，而是通過發送確認郵件到該Email地址的方式來進行驗證。這樣，如果該Email地址確實為該用戶所有，那麼它打開郵件驗證後繼續註冊，如果之前已經註冊過，則可以在郵件中引導用戶直接登陸。而如果該Email並非該用戶所有，則他無法繼續後續流程。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！