技术头条 - 一个快速在微博传播文章的方式     搜索本站
您现在的位置首页 --> 用户研究 --> 【社会化设计】自我(self)部分――密码反面模式(the Password Anti-pattern)

【社会化设计】自我(self)部分――密码反面模式(the Password Anti-pattern)

浏览:2326次  出处信息

    问题概述(Problem Summary)

    用户被要求输入其他网站的登录名和登录密码,以便网站能访问到该用户在其他网站的地址簿 ,联系人列表或者其他一些数据。

    例子(Example)

    untitled

    ilike上的密码反面模式

    untitled2

    plaxo用了“密码反面模式”,要求用户的google帐户和密码;

    何时用(Use When)

    1.当你允许用户从其他网站上抓取朋友和联系人数据的时候,不要使用此模式;

    2.如果你想让用户了解是如何被欺骗的(被钓鱼),请使用此模式;

    3.遏制采用开放的社会化可移植标准,请使用此模式。

    解决途径(Solution)

    1.访问第三方数据应要求在第三方网站验证,不管网站提示说:网站不会保留用户名和密码;

    2.利用诸如Oauth验证层服务,阻止钓鱼式攻击;

    3.使用OpenID的,允许用户控制谁可以访问他们的授权数据。

    逻辑依据(Rationale)

    1.用户应该能访问到他们的数据,并允许从一个网站携带到另一个网站。社会化网站不应该通过 教育用户同意给出他们在任何网站的用户名和密码,来传播这种坏的行为;

    2. 尽管这种现象已经变得越来越普遍和容易操作,这种交互行为是一种“反面模式”;

    3. 这种进程违反了许多第三方网站的用户服务条款;

    4.通过鼓励用户随意地给出他们的用户名和密码,社交网站正在让用户了解自己是如何被欺骗的(被钓鱼);

    5.做为选择,社会化网站应应采用开放技术,如OAuth和OpenID的协议,该协议允许在第三方位网站上发生验证;

    6. OAuth是“一种开放的协议,以一种简单标准的方式,允许安全地API授权。”换句话说,一个开 放的技术,允许想要一个用户的数据的网站能够以一种安全的方式访问,不要求用户抛出所有 在互联网上他们的登录名字和密码。实际访问发生在第三方的网站,这些数据仍存储在第三方 网站上并在其控制下的。美国在线,雅虎和谷歌都同意支持OAuth,在未来几年,应该没有理 由持续这种反面模式。

    译者注:在软件工程中,一个反面模式(anti-pattern或antipattern)指的是在实践中明显出现但又低效或是有待优化的设计模式[1][2],是用来解决问题的带有共同性的不良方法。它们已经经过研究并分类,以防止日后重蹈覆辙,并能在研发尚未投产的系统时辨认出来。

    ――――――――――――――――-

    原文(英文):The_Password_Anti-Pattern

    本文链接:http://socialdesign.cn/2009/09/the_password_anti-pattern/

    译者:puting

建议继续学习:

  1. 【社会化设计】自我(self)部分――欢迎区(welcome area)    (阅读:12212)
  2. 网站密码存储方案比较    (阅读:5523)
  3. 解决linux下安装ssl后,apache重启时需要密码    (阅读:5331)
  4. 懒人连ssh不输密码若干大法    (阅读:4494)
  5. 利用QQ游戏破解QQ密码    (阅读:4203)
  6. SSH无密码登录    (阅读:4256)
  7. 新浪微博OAuth认证流程分析    (阅读:4074)
  8. 基于PECL OAuth打造微博应用    (阅读:4068)
  9. Linux各版本root密码的本地破解方法    (阅读:3845)
  10. 深入理解OAuth与豆瓣OAuth test    (阅读:3876)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
© 2009 - 2024 by blogread.cn 微博:@IT技术博客大学习

京ICP备15002552号-1