各種網路賬號忘記密碼後，為什麼是採取驗證修改密碼，而不是將密碼發給用戶？

01-02

是因為怕被第三方竊取么

1、按照邏輯來說，網站們是用的不可逆加密演算法得到的密文保存密碼，不應該知道你的真實密碼。

2、即使從技術上，現在很多所謂的不可逆加密演算法都能被破解，但是網站也不會無聊到把你的密碼破解了再發給你。

3、即使是用明文保存密碼的網站，也一般不會蠢到告訴用戶「我們是用明文保存密碼」。

4、明文發回密碼容易造成二次泄漏。

5、督促用戶改成勤改密碼的好習慣？

真相只有一個：因為大家記不住隨機的新密碼。

技術層面來說，是可以的。直接生成一個隨機密碼，然後加密存儲。發送明文密碼給用戶與是否明文存儲密碼沒有必然關係。

這個做法更多的是從產品層面考慮的。

對用戶來說，直接代為重置密碼，有幾個弊端：

1. 把明文密碼傳給用戶，是否會引起用戶恐慌，認為你明文存儲密碼？

2. 明文密碼由系統生成，必然是隨機的。隨機字元串大部分人都記不住，為了下次還能用，通常用戶會保留含有該原密碼的簡訊或者郵件。一旦這個郵箱或者手機被盜用，會引起二次傷害，這個帳號密碼也被他人知道了。

3. 用隨機密碼，大部分用戶會記不住密碼是多少，會不斷的重置密碼。除了用戶體驗不好，最重要的是重置密碼時每條簡訊都是白花花的銀子啊，預算嘩嘩嘩就上去了。

所以呀，用戶自己設置密碼，又好記，又省事。

當然自己設置這個也有弊端，好多人想不到密碼，就設置成woaini123456，盜號人士最愛。

其實各大網站只是想給你一個假象：看，我們也不知道你的密碼，你要自己保管好哦。

CSDN曝名文密碼簡直是抽了程序員的臉。

在大數據面前，簡單的不可逆加密和名文差不多。看看下圖的解密方法有多少？

你想把密碼發到你的gmail郵箱，但是誰又曾知道，gmail的最終用戶條款的其中一條是，允許google使用郵件內容進行各種操作（略

那些說網站不知道密碼啊，什麼加密演算法不可逆所以怎麼怎麼樣啊，在天朝都是偽命題。

給個鏈接讓你修改什麼都不說明，但如果直接把密碼發來說明這網站要麼是明文存的密碼要麼它的處理方式是可求原象的，無論是哪種都不是啥好事情……

他們使用了不可逆的加密演算法，就連他們自己都不知道密碼是多少了~

(可是密碼對他們又有什麼用呢？)

最後知道真相的我眼淚掉下來…

有良心的網站，是真的不知道你的密碼的。伺服器資料庫密碼那個欄位保存的是經過不可逆加密的一大段字元串。

A網站被拖庫，黑客拿密碼去試了你的郵箱發現過了！

要是剩下的找回密碼直接發到郵箱里那麼多密碼就全部都……

一般來說，網站會對用戶密碼這種敏感數據進行MD5或其他類型的加密後存進Database，所以就算是管理員，也只能看到你密碼的MD5值，這種情況下，談何把你的密碼發送給你呢？

但是某知名的網站也曾爆出過使用明文密碼儲存，一些用戶資料一旦泄露，或者是說被管理員蓄意利用去撞庫，就比較尷尬了。有職業底線的公司都不會這樣去做。

比較方便的方式還是給你一個OTP，然後你自己登錄了去修改。

如果密碼發過去，被別人看到郵箱內容，他就知道了你幾乎所有的密碼╮(╯▽╰)╭

如果不是本人的操作的話，你登錄的時候就知道密碼被改了啊

1、因為有很多的密碼使用的是不可逆加密演算法，如SHA1等，如果對方直接將你明文密碼發給你，你什麼感覺？

2、防止被惡意截取，尤其是不安全網路環境下。

因為網站方面也不知道你的密碼。所以只能給你一個臨時授權，在有效期內重設密碼