怎样改造登录页使之可以在不安全的环境下用？

参考微信支付宝的登录，检测登录地，必要时手机短信

@lhx2008 并不是异地 IP，并且短信验证如同 2FA 一样，只是避免后台被破，但会丢主登录密码

接入微信、企业微信的扫码登录，或者你愿意的话 telegram 也可以……

后端的登录态只允许同时存在一个

同一个账号在别处登录就踢掉之前的 session

但是不在别处登录，本机的就一直好使的话，偷了你的 cookie 不还是可以为所欲为

浏览器自动填充，各种密码插件

只要让别人不知道你的密码就可以，第三方登录，短信验证码都可以。

@nikoo 丢你是说被窃取的意思？这个早期支付宝 /QQ 就是用那种安全控件，加驱看看有没有额外的键盘钩子，或者是加一些干扰字符输入

@ETiV 谢谢，很有启发！接微信扫码登录不太现实，telegram 可以扫码吗？没看到呢。。
另外因为不安全环境并不是针对性的监控，所以可忽略偷 cookie，主要就是登录页怎么改可以避免丢密码

@l12ab 在已中毒的电脑上安装密码管理插件。。。这个。。。

@lhx2008 这种控件有没有开源的？如何加一些干扰字符输入呢？

你手写一套扫码登录就 OK 了（

企业微信很好弄的 你自己用，不需要认证企业

telegram 类似上行短信认证：网页上显示一串字符，用户通过 telegram （但其实任意 IM 都行）发消息给特定的服务账号，然后网站程序这边接入一下，就知道发来消息的 telegram 的 user id，就可以实现用户登录了

你的根本诉求是“不泄露密码”，所以其实验证环节拿掉密码就行了，233 …所以，输入手机号+短信验证码也可以的

@ETiV 谢谢，是可以这样，就相当于登录页仅保留 2FA 直接去掉密码。。。

但有没可能仍是密码登录，但输入的密码不会被泄露呢，
比如在登录页随机显示一个字串，然后我 md5(字串+密码) ，然后用该 md5 值来登录，这是我能想到的，但有点麻烦

两个 0 成本方案：

1，动态方案：输入账号校验成功，通过 server 酱发送一个校验码，输入正确则登陆成功。
2，静态方案：参考将军令。如密码 salt 是时间戳的 36 位，1553397760->poupds。

最简单的是写一段代码，大致的逻辑如下：
手机访问 a 网址，获取一段数字，同时服务器端保存数字。
然后 pc 端用该数字登录，同时服务端销毁该数字。

不考虑界面美观的话，10 分钟就能搞定吧

各种防范密码泄露
最后病毒偷走了 cookie