密码修改设计

密码修改与密码找回是有本质区别的，密码修改是用户已经登录了系统，然后对密码进行修改。而密码找回是用户还没有登录系统，由于忘记了密码而申请找回。

对于一些企业内网PC端管理系统，一般采用输入原密码和新密码的方式来修改密码；对于互联网App端产品，一般不通过这种方式处理，而是结合手机号、邮箱、人脸识别、指纹识别来修改密码；对于互联网PC端产品，一般采用邮箱、手机验证码的方式来修改密码，如图5-16所示。

图5-16 密码修改方式分类

对于App端产品可以有效地结合人工智能校验，增强系统安全性，在密码修改前先进行人脸识别验证、指纹识别验证来增强系统安全性，其中人脸识别活体检测的安全性最高，可以验证是用户本人在操作。

手机验证码的方式使用最为广泛，主要还是因为其实现简单，性价比较高。一般的公司并没有人脸识别的技术能力，付费使用第三方接口的成本十分高昂。

密码修改时需要记录密码修改轨迹信息，这样当发生一些安全性问题时才有迹可循，能进行反向追查。同时，通过密码轨迹信息可以统计用户密码修改的频率、修改密码时所发生的位置变化、使用的设备变化等。

如果用户的密码修改频繁，而且这次在北京，下次在云南，或者设备经常变化，则可以对账户进行风险标记，并且发送短信提醒，告知账号存在风险。

可以详细记录用户密码的修改轨迹信息，如表5-5所示。

表5-5 用户密码的修改轨迹信息

续表