冷门但很重要的一点：91爆料网密码管理的平台规则别再搞错了，告诉你一次，一秒就懂了

冷门但很重要的一点：91爆料网密码管理的平台规则别再搞错了，告诉你一次，一秒就懂了

一句话速懂：帐号密码要长且唯一，平台别存明文、用慢哈希并加盐，重置走一次性短时令牌，强制两步验证能显著降低被盗风险。

为什么很多人会弄错

• 以为复杂度（大写、小写、特殊字符）比长度更重要，结果用户用“P@ssw0rd!”式的短密码，安全性低且容易被暴力词典攻破。
• 平台为了方便开发或客服，把密码以可逆方式存储或通过邮件发送，这直接放大泄露风险。
• 忽略密码重置流程的安全性，重置链接没有过期或一次性机制，会让恢复流程成为攻击入口。
• 没启用两步验证，把所有安全都压在密码上，风险集中。

给管理员和开发者的关键规则（简洁版）

• 密码存储：永远不要存明文。使用 Argon2 或 bcrypt（推荐 Argon2id），合理配置参数以抵抗 GPU 破解。每个密码使用独立随机盐。
• 阻止常见/泄露密码：在注册和修改密码时检查是否出现在泄露数据库（如 Have I Been Pwned 的密码 API）。
• 最低长度优先：把复杂度规则变成长度优先，建议最少 12 字符，或鼓励 16+ 的短语式密码。
• 两步验证（2FA）：优先支持 TOTP（Google Authenticator、Authy），同时支持安全密钥（WebAuthn/FIDO2）。把 SMS 当作最后备选。
• 密码重置：发送一次性、短时（例如 15 分钟内）的令牌链接；令牌单次使用；重置完成后立即失效所有旧会话（强制登出）。
• 登录保护：对失败登录进行渐进式延迟、短时封禁或 CAPTCHA，阻止爆破；避免回显是否存在该邮箱/用户名以防用户枚举。
• 审计与监控：记录异常登录、地理/设备变化、短时间频繁失败；发生异常时通知用户并要求重设密码。
• 客服流程靠流程而不是密码：客服不应要求用户提供原密码，重置流程通过验证身份并触发安全重置，而非查询明文。

给普通用户的一秒行动清单

• 用密码管理器（1Password、Bitwarden、LastPass 等）生成并保存唯一密码。
• 开启两步验证（优先使用 TOTP 或安全密钥）。
• 不在不同网站重复使用密码。
• 接到平台安全邮件或异常登录提醒，尽快按提示重设密码并检查历史登录记录。

密码重置和邮件的具体注意点

• 邮件只发送短时、一次性重置链接，不要发送临时密码或明文密码。
• 链接指向 HTTPS 页面并在用户点击后要求设置新密码（不是自动登录）。
• 密码重置请求应在后台记录并在异常风险高时触发额外验证（例如短短信或安全问题的替代验证）。
• 切断所有旧会话：重设密码后把所有已登录的会话踢出，避免被盗会话继续访问。

样例策略（可直接应用）

• 密码最短 12 字符（推荐 16）；禁止使用常见泄露密码；支持密码管理器生成的密码。
• 登录失败 5 次后封禁 15 分钟并要求 CAPTCHA；同 IP 短时间内失败次数超过阈值进行更长封禁。
• 重置链接有效期 15 分钟且单次使用；重置后立即撤销所有现有会话令牌。
• 优先展示并鼓励用户开启 2FA，注册后强烈建议开启，关键权限变更前要求 2FA 验证。

常见问题速答

• Q：复杂规则（大小写、特殊符号）还要不要保留？
  A：保留性价比低。把焦点放在长度和漏检密码名单过滤，用户体验更好且更安全。
• Q：管理员可以查看用户密码吗？
  A：不可以。如果有“查看密码”的需求，说明流程设计有问题，应改为密码重置或临时认证方式。
• Q：为什么要用慢哈希（Argon2/bcrypt）？
  A：慢哈希能显著增加暴力破解成本，攻击者无法快速测试大量候选密码。
• Q：短信 2FA 可以用吗？
  A：可以作为备选，但不要作为首选，因短信可被拦截或 SIM 换卡攻击劫持。

结语（行动调用） 把这些规则当作平台的最低合规门槛：简单、明确、用户友好。调整几项关键设置（存储、重置流程、2FA）就能把大部分常见账号被盗风险降下来。需要的话，我可以把上面的“样例策略”整理成可以直接复制粘贴到开发文档或用户帮助中心的文本版本。要我把哪部分变成模板？