通过手机验证码修改密码功能

所有新功能的出现都是为了方便用户着想，这是毋庸置疑的。

但通过手机验证码修改密码  这个功能 到底应不应该存在？  我持怀疑态度。

做一个简单的测试，  你把你的手机借给你身边的任何一个有点上网经验的人，看看他用  “密码找回”  或 “忘了密码” 功能，能不能修改密码？

只要app 或者 web提供了 “ 通过手机验证码修改密码 ”  功能，答案一定是肯定的。  点下密码找回  -》输入手机号，点击发送验证码-》收到验证码后输入验证码，他就可到修改密码界面，然后你的该app或web的密码就被轻松的更改了。

这模拟的是一个什么场景？

1  你的手机丢了；

2  你以前注册的手机号码不用了，但没及时解绑，然后欠费几个月后，运营商已经把此号码卖给别人了。

作为开发人员的我，今天在QQ开发人员的群里建议了一下，结果被一顿拍砖。

1  有人说，那是用户自己的事情，谁让他不及时解绑。

2  有人说，就算被别人捡到了，他也不知道我哪个app，哪个网站用手机号码注册了，这是小概率事件，可以忽略。

3  有人说，就算密码改了，但付款也有付款密码，没事，钱丢不了。

我能爆句粗口吗？我们广大的开发工程师就这样站在用户的角度考虑问题吗？

我想说几句，用户是将手机丢了，谁这辈子没丢过东西，你能保证你一辈子不丢？

现在各大web网站， app这么多，广大网民们谁还没十几个  手机注册的账号，手机丢了，一个个改来得及？漏改了呢？

再说说知不知道哪个app用手机注册了的这个场景，通常用户登录app，很少有 退出登录 习惯的。就算你有session，还有的app是记住账号的，碰巧账号默认已填好并且是手机号呢？就算是神马都没有，  一个个app试也可以吧？

再说说有支付密码的，OK，支付不用操心，你的钱丢不了？但是你的支付密码就是用手机验证码的怎么办？就算不是那样，OK，但是你的账户信息都被泄露的一览无余，你的个人信息，你的交易明细，你的收货地址，等等等等 。我不知道这些信息在不法分子手中能干什么？可能什么都干不了，但你希望被别人看到？我 -----不-----想！！！！！

还有很多情况是我没有想到的

如果你非要说  不能因为怕坠机而不坐飞机，那我也没办法。

我不知道我考虑的对不对，但我不希望我的信息能这样轻易的泄露出去。

我建议：

1  通过用户自定义配置，可自定义开启手机验证码修改密码功能。

2  通过2种以上联系方式同时验证，才能修改密码，毕竟修改密码是小概率事件，保证信息安全，用户花点时间也是值得的。

3  如果做不到同时验证，至少在手机验证码更改密码时，通过第二种方式提示用户，至少让用户知情，有人动了他的密码。

4  或者再狠点，直接砍掉手机验证码修改密码  功能。允许手机号码注册，登录，但不能通过手机验证码修改密码。

虽然有些过失是用户造成的，但我们工程师们也要站在用户的角度，维护用户的信息安全。