Blog

此乱命也

我知道的有一家公司,主要经营销售业务。客户每个周期可以从公司的网站上订购产品。这个网站的登陆账号是公司给客户统一发放的证件号,默认密码就是 1。基本上所有客户都不会主动去修改一下自己的密码,因此,客户的订货权就算是曝光的,不设防的。这种情况比较危险,因为公司经营的商品有不少是紧俏产品,别人随便改改订单,就可能造成购买失败,所以公司决定改善这种情况。

于是想了这么一个法子——让公司所有的一线人员,一家一家拜访客户,带着客户修改密码。然后总部这边组织人员进行复查,看看密码都修改了没有。

当我第一次听说这个做法时,我就觉得很不靠谱。当初设计这个系统的人图省事,造成了后来这么大的困难。现在还有哪家网站敢这么干吗?用个随机字符串、甚至用客户的电话当密码也比这个要好。

说说这次的人工修改密码吧。这么短的时间,上万的客户,工作量超大,一线人员很多在周末加班的。而且这样的事情能肯定吗?客户的安全意识低,有些不愿改难记的密码。有的客户的电脑在家里,日常在家中订货,说回家后改密码,回家后忘了这回事,也是经常有的。更有甚者,底下的一个子公司,为了确保所有的密码都得到了修改,把客户的默认密码由 1 修改为了 111111,也算是完成了任务。真是上有政策,下有对策!

现在,这家公司已经得出了一个模模糊糊的结论,然后,由负责密码核实的人写一篇通报发出去,也就结束了这次行动。估计从上到下,理智的人都不会觉得这次行动是明智的。

那么,为什么一开始设计这个系统的时候,就把密码安全这一块考虑清楚呢?现在有些网站,你注册个帐号,密码安全审查时那个变态啊。密码短了不行,包含你之前填写的信息(名字的汉语拼音、电话号码、证件号码)不行,结果我注册的时候,来来回回的改了好几遍密码,才勉强通过。当然这是比较极端的情况,但要让用不不使用默认的密码,很简单就能够办到,但当初就是没有想过。我觉得这是中国传统软件开发商的问题——只想到做出系统,客户怎么使用就不管。另一边的客户很有可能是一个不懂行的、接到任务要做出这么个系统的人,具体使用起来有没有问题,估计他不会过分操心。

这样,导致了日后维护起来的一连串的问题,这次的修改密码仅仅是其中的一种。现在还能不能把系统升级一下,解决这些问题呢?估计成本低不了。这就是新兴 IT 业试图解决中国传统的行业面前的无力感——根本不解决,只能是事倍功半。

没有评论

Leave a Reply