为什么登陆百度知道输入账号和密码要输入验证码？_百度知道吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
为什么登陆百度知道输入账号和密码要输入验证码？收藏
视频来自：
请查看一下，是否存在账号风险？你这个账号在其他地区登陆过么？如果系统自动检测到前后多次登录的IP不一样，账号登录时就会被自动限制，也就需要输入验证码，如果确认是你本人上线的，请按要求输入验证码就好了。过几天就会自动没有这种提示了。另外：建议你的百度账号绑定手机，并设置好密码安全保护措施。
1.请查看一下，是否存在账号风险？你这个账号在其他地区登陆过么？如果系统自动检测到前后多次登录的IP不一样，账号登录时就会被自动限制，也就需要输入验证码，如果确认是你本人上线的，请按要求输入验证码就好了。过几天就会自动没有这种提示了。另外：建议你的百度账号绑定手机，并设置好,0密码安全保护措施，开启登录保护，尽量避免被盗号或异地上线。2.系统为了从源头上避免可能存在的风险行为。净化知道平台的知识环境，避免大量违规信息上线。对于那些涉嫌答题过快，灌水刷分等违规行为，系统会对其自动识别，要求输入验证码。如果您属于这类情况，请您注意提交速度。3.【验证码】暂时对你引起的不便和困扰，请谅解！谢谢！
我注册的时候要填手机号不是要获取验证码吗？可是玩游戏的时候要密码，验证码是不是密码？？？
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
用SESSION和COOKIE，是不是很容易被重置？
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
……别听他们用Session，Sesion到头来还是用Cookie存的，什么，你说你用URL参数，那更不靠谱了……
user_login_log存类似这样的内容
userid username ip count expired
然后用户输入用户名之后，一个ajax请求过去，看看需要不要验证码（count > 2）
登录的时候，先检查一下是不是需要验证码。
登录成功就清除他的count记录。
实际做的时候用redis这类的数据库性能会比较好。毕竟登录看起来是在短时间内连续发生的
不过实际上无所谓地说。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
你说的应该是 安全性的问题，你怕在客户端被 用户 强制 修改cookies是吧
那就用session来做，失败了一直累加数值，直到成功 才把这个 session级别的变量 赋值为0，或者你也可以 利用 间距时间来做，一段时间内 输错多少次，禁止登陆。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
这种问题就不要考虑和客户端进行配合来检测了。
就是说不用考虑什么 session 啊，cookies 这些需要和浏览器端配合的。
以用户 ID 为 key，在后端存储（MySQL, Memcache, Redis, ...）里面记录下这个用户登录失败的次数。
我管你用啥浏览器用什么电脑，你的用户 ID 不变，我就能判断你是否在尝试穷举密码了。
PS. 一些大公司的帐号系统甚至把你的访问 IP 啊，登录时间啊，浏览器信息啊等都保存下来了。那些异地登录提醒就是靠这些数据实现的。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
如果你的问题表述忠实地反映了你的需求的话——
给每个用户一个域，记录自上次成功登录以来登陆失败的次数。一旦登录成功就置此域为 0，遇登陆错误就自增一。
其实实际使用的话，这个域应该有个有效期的，比如说每天清零。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
按照IP或者账户ID来限制吧。。。
Session一般是需要有个随机字符做为SessionID放在Cookie或URL或隐藏表单中提交到服务器的，所以可以很轻松的伪造或者重置。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
先获取用户ID，然后再Memcache里记录一个用户登录的velocity即可
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
我认为该问题的关键在于用户的唯一标识，区分注册用户和非注册用户，跟session和cookie无直接关系
针对注册用户：
注册用户肯定有自己的uid（也就是用户唯一标识），在后端nosql数据库（例如Redis，Memcache）采用string数据结构，存储key为fault_[$uid]，value为失败次数的键值对，同时设置过期时间（这里过期时间系统允许多长时间内输错的时间），每次用户点击提交，查询Nosql数据库的key-value键值对，超过规定次数，则显示图片验证码。
针对非注册用户：
可以用cookie和session保持会话的完整性，例如用md5(用户ip+用户ua)作为session['credit']认证信息，同时cookie保存sessionid，每次开启同一会话，session['num']存储失败次数，当同一会话失败次数超过限制时，则显示图片验证码即可
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
Session 的话对于暴力破解 不遵守http协议的程序是无效的.建议楼主 如果用redis这些key-value来存储 设置过期时间3600.存储用户名为key 尝试数为value (计数器模式)。来限制锁定账户。不根据IP和cookie 这样最大限制来防止暴力破解。其他限制都可以绕过。
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
ASP MVC 4中simplemembership生成的Membership表：
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
Session如何重置
答案对人有帮助，有参考价值
答案没帮助，是错误的答案，答非所问
那帐号和密码都错误 3次
就出现验证码 ，判断数据库也不行啊，也不能对应id 去设置啊 ，谁有想法
该答案已被忽略，原因：不符合答题规范：内容不是答案，可用评论、投票替代
同步到新浪微博
分享到微博？
Hi，欢迎来到 SegmentFault 技术社区！⊙▽⊙ 在这里，你可以提出编程相关的疑惑，关注感兴趣的问题，对认可的回答投赞同票；大家会帮你解决编程的问题，和你探讨技术更新，为你的回答投上赞同票。
明天提醒我
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
扫扫下载 App
SegmentFault
一起探索更多未知中国工商银行中国网站
登网上银行输密码和验证码输不了,怎么解决呀?
我有一台7寸电脑,没有硬键盘,只有软键盘,登网上银行输密码和验证码输不了,是怎么回事,请高手指点.
&&提问时间：
第一次用你电脑登陆网上银行的时候是需要你下载一个插件的~没有插件密码区域是个X~~插件会自动出来或者在你浏览器的地址栏下面屏蔽了~手动下载一下即可。顺便告诉你，网银的登录密码是数字加字母的就可以了~跟键盘关系不大~自己切换下就能用&&
回答时间： 13:58:37
jxs3411幼儿园
先换个电脑试下看可以不&&
回答时间： 19:12:43
下载控件即可&&
回答时间： 22:00:15
xtpfidc1学前班
1，重新下载控件2，浏览器 工具& Internet选项 “高级” “还原默认设置& 确定 3，浏览器& 工具 Internet选项& 常规& 点击删除文件和删除所有脱机内容 再点击设置& 选择“每次访问此页时检查& 确定4.浏览器 工具& 安全 Internet自定义级别& 关于把ActiveX空间的全部打勾成启用& 确定5 ，如果您安装了瑞星卡卡助手& 打开卡卡助手－&插件管理－&插件免疫－&银行－&中国工商银行，将工行的控件取消免疫即可。（选中后，右下角有“取消免疫”的字样） 正常应显示“中国工商银行未免疫”。注：只卸载未取消免疫无效这些弄好后你重启看下&&
回答时间： 22:03:20账号密码+短信验证码登录，仍不保险_滚动新闻_新浪财经_新浪网
&&& &&正文
账号密码+短信验证码登录，仍不保险
　　CNNIC（中国互联网络信息中心）最新发布数据显示，截至2014年6月，我国移动支付用户规模达到2.05亿，半年度增长率为63.4%，网民手机支付的使用比例已提升至38.9%。
　　消费正在迈入移动支付时代，移动支付的安全性如何？昨天，360互联网安全中心发布了《2014年第二期中国移动支付安全报告》，最重要的内容是对目前安卓平台上使用率较高的16家银行的16款手机客户端的安全性做了一次专业测评。报告告诉我们：你正在使用的银行手机客户端没那么安全。
　　16家银行的最新版APP
　　安全性测评不过关
　　“测试的版本都是网上能下载到的最新版的银行手机客户端。”360安全专家万仁国告诉记者，测评的主要内容包括登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性这6个主要方面的8项具体测试，“是非常全面的一次安全性测评。”
　　手机银行客户端作为网上支付的重要工具， 其自身的安全性是网民账户、资金安全的基础。结果记者在报告中看到，这16款最新版本的银行手机客户端仅个别APP在登录、键盘输入环节安全性较高，但在后面几项关键性测评中所有APP都拿了零分。
　　“为避免具体测试方法和银行客户端漏洞被人恶意利用，我们暂时不会公开每个银行客户端的具体测评结果及敏感试细节。”360互联网安全中心相关负责人透露，秘密报告目前已经提交给了各家银行，也会做后续跟进。
　　在测评中拿分最高的是登录环节，16款银行手机客户端中9款有加密机制，有13款进行服务器证书校验。这是不是说明这些APP至少在登录验证环节还是安全的？
　　“目前手机银行客户端软件采用的多是‘账号密码+短信验证码’的认证体系，在面对具有短信劫持功能的手机木马攻击时，都显得非常脆弱。”一位安全专家告诉记者，今年5月他们曾拦截到一款伪装成银行客户端升级包的网银支付木马，表面看与银行手机客户端的登录界面一模一样，当用户登录时木马就会提示“系统升级中请稍候”，实际上此时，木马正在向一个“”的神秘号码发送激活短信。
　　然后，黑客使用控制号码向感染木马的手机发送一条短信， 向银行服务器请求一个授权码。银行服务器系统发送这样一条短信，原本是要保证手机客户端与特定号码绑定。如果用户在手机银行客端中正确输入了这个授权（有些软件会自动检测授权码短信），那么以后服务系统再发送消费通知、验证码等信息就会都发送到这个被绑定的手机号上。但这种验证方式安全性前提是必须保证授权短信只有使用该手机号码户能够看到。如被拦截案例中这样，木马程序会窃取并劫持授权短信的话，那就十分危险了――这意味着你收到的短信，黑客也能看到。
　　“后来我们查到这是一个福建泉州的联通手机号。”这位安全专家直言，虽然已经有部分银行开始推广音频盾、蓝牙盾等双因素认证系统，但这些系统的使用不是强制性的，绝大多数用户仍在使用“账号密码+短信验证码”的认证方式。
　　更可怕的是，一款恶意程序甚至可以同时监测、仿冒和劫持多个银行客户端的登录界面。报告测评结果显示，在16款手机银行客户端软件中，没有任何一款客户端能单独解决这类问题。
　　你用的APP输入键会变吗
　　自绘随机键盘更安全些
　　16款下载最多、使用最广的银行手机客户端都有安全漏洞，普通用户如何来分辨呢？对普通用户来说，你只能选择使用或不使用，却无法保证自己使用的银行手机客户端足够安全。
　　“键盘输入安全性较高的是自绘随机键盘，这个比较容易判断，打开银行客户端输入密码时，每次弹出来的键盘都不一样的就是自绘随机键盘。”360安全专家万仁国说，除了银行外，像证券等行业应用也会使用自绘随机键盘，“自绘随机键盘的使用肯定会增加客户端的开发成本，但在被评测的16款银行客户端中使用率不高不一定是成本原因，也有可能是设计人员没有考虑到，但判断一个银行客户端的安全性高低不仅仅从密码输入判断，还需要整体分析。”
　　事实上，提高银行手机客户端的安全还不够，因为手机系统本身也有漏洞，很容易被攻击，网民手机支付的使用比例正在以每年20%左右的速度增加，移动支付的安全问题需要引起更多关注了。
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
请用微博账号，推荐效果更好！
看过本文的人还看过急！个人网银登陆界面怎么不能填写密码和验证码啊？
个人网银界面怎么不能填写和验证码啊？是怎么回事？
&&& 请您不要着急，我们会在第一时间进行回复。
&&& 如果您在、验证码输入框遇到红色的小叉子等，则说明您的浏览器未成功下载我行的ActiveX安全控件；如果无法显示、验证码输入框，则说明您的浏览器禁止运行ActiveX安全控件。如果系统没有成功自动下载该控件，请您进行以下操作：&&& （1）登录工行门户网站.cn；&&& （2）点击&个人网上银行登录&下方的&安装&。进入下一个页面后，下载并安装控件程序。&&& （3）打开IE浏览器，选择&工具&菜单--&&Internet选项&--&&高级&标签--&点击&还原默认设置&，点击&确定&后关闭所有IE浏览器窗口；&&& （4）打开IE浏览器，选择&工具&菜单--&&Internet选项&--&&常规&标签--&Internet临时文件设置中的&检查所存网页的较新版本&选择&每次访问此页时检查&。并在Internet临时文件设置中点击&删除文件&，在&删除所有脱机内容&前打勾后点击确定关闭对话框，关闭所有IE窗口；&&& （5）若您安装了IE6 SP2浏览器或IE7浏览器，当安全控件被浏览器拦截时会在地址栏下方出现黄色的提示条，此时，只需点击这个提示条，在弹出的菜单中选择&安装此ActiveX插件&。在对话框中先点击&更多选项&，单选&总是安装来自&Industrial and Commercial Bank of China&的软件&，并点击&安装&按钮，以便使安全控件下载并生效。&&& （6）如果您安装了瑞星卡卡助手，请您进行如下操作：打开卡卡助手－&插件管理－&插件免疫－&银行－&中国工商银行，将工行的控件取消免疫即可。（选中后，右下角有&取消免疫&的字样） 正常应显示&中国工商银行未免疫&。注：只卸载未取消免疫无效。&&& （7）重启电脑。
附：若系统禁用了该ActiveX控件，请通过IE浏览器&工具&菜单中的&管理加载项&功能，重新启用该ActiveX控件，方法如下：&&& 1、打开IE浏览器，选择&工具&菜单--&&管理加载项&。&&& 2、若&AxIputContrl Class&及（或）&AxSubmitControl Class&状态为&已禁用&，请先分别点击该控件名称，再单选&设置&区域中的&启用&（对话框左下方），并点击&确定&。注意：如果本机上的&安全级别&为&高&，需要将其更改为&中&。
上一篇： 下一篇：
电脑网络专题
电脑网络推荐文章