密码设置需避开哪些雷区?(2)

有一个很重要的问题需要考虑：您是否可以将用户身份验证转给其他人?如果你是一家金融机构，答案可能是否定的;如果您要把最新的猫咪宠物视频给别人看，在此之前需要验证，那这种情况下答案应该是可以的;如果您正在开发面向企业员工内部使用的应用程序，请考虑基于SAML的身份验证或LDAP集成;如果您正在开发面向公众的应用程序，请考虑使用社交登录(即使用Google，Facebook等登录)。许多社交网站已经投入大量精力来保护其身份验证机制，并为用户提供各种身份验证选项。您不需要全盘重来。

在不必要的情况下实施用户身份验证会给企业和用户都带来麻烦，甚至有潜在危险。创建安全的用户验证机制困难且耗时。可您是真的想要处理被盗用的密码数据库，还是攻击者在身份验证机制中发现漏洞?而且用户有更重要的事情要做，而不是记住另一个密码!

（编辑：ASP站长网）