问题概述（Problem Summary）

    用户被要求输入其他网站的登录名和登录密码，以便网站能访问到该用户在其他网站的地址簿 ，联系人列表或者其他一些数据。

    例子（Example）

    ilike上的密码反面模式

    plaxo用了“密码反面模式”，要求用户的google帐户和密码；

    何时用（Use When）

    1.当你允许用户从其他网站上抓取朋友和联系人数据的时候，不要使用此模式；

    2.如果你想让用户了解是如何被欺骗的（被钓鱼），请使用此模式；

    3.遏制采用开放的社会化可移植标准，请使用此模式。

    解决途径（Solution）

    1.访问第三方数据应要求在第三方网站验证，不管网站提示说：网站不会保留用户名和密码；

    2.利用诸如Oauth验证层服务，阻止钓鱼式攻击；

    3.使用OpenID的，允许用户控制谁可以访问他们的授权数据。

    逻辑依据（Rationale）

    1.用户应该能访问到他们的数据，并允许从一个网站携带到另一个网站。社会化网站不应该通过 教育用户同意给出他们在任何网站的用户名和密码，来传播这种坏的行为；

    2. 尽管这种现象已经变得越来越普遍和容易操作，这种交互行为是一种“反面模式”；

    3. 这种进程违反了许多第三方网站的用户服务条款；

    4.通过鼓励用户随意地给出他们的用户名和密码，社交网站正在让用户了解自己是如何被欺骗的（被钓鱼）；

    5.做为选择，社会化网站应应采用开放技术，如OAuth和OpenID的协议，该协议允许在第三方位网站上发生验证；

    6. OAuth是“一种开放的协议，以一种简单标准的方式，允许安全地API授权。”换句话说，一个开 放的技术，允许想要一个用户的数据的网站能够以一种安全的方式访问，不要求用户抛出所有 在互联网上他们的登录名字和密码。实际访问发生在第三方的网站，这些数据仍存储在第三方 网站上并在其控制下的。美国在线，雅虎和谷歌都同意支持OAuth，在未来几年，应该没有理 由持续这种反面模式。

    译者注：在软件工程中，一个反面模式（anti-pattern或antipattern）指的是在实践中明显出现但又低效或是有待优化的设计模式[1][2]，是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类，以防止日后重蹈覆辙，并能在研发尚未投产的系统时辨认出来。

    ――――――――――――――――-

    原文（英文）：The_Password_Anti-Pattern

    本文链接：http://socialdesign.cn/2009/09/the_password_anti-pattern/

    译者：puting

建议继续学习：

1. 【社会化设计】自我（self）部分――欢迎区（welcome area）    (阅读：9118)
2. 网站密码存储方案比较    (阅读：5300)
3. 解决linux下安装ssl后，apache重启时需要密码    (阅读：5141)
4. 懒人连ssh不输密码若干大法    (阅读：4361)
5. 利用QQ游戏破解QQ密码    (阅读：4066)
6. SSH无密码登录    (阅读：4055)
7. 新浪微博OAuth认证流程分析    (阅读：3952)
8. 基于PECL OAuth打造微博应用    (阅读：3841)
9. 深入理解OAuth与豆瓣OAuth test    (阅读：3688)
10. Linux各版本root密码的本地破解方法    (阅读：3686)