电脑上网各种软件中“记住密码”功能的安全隐患

一种更安全的方案建议如下：

1. 在cookie中存储三类信息：用户名（明文形式）、登录序列号及登录令牌。

   • 明文用户名便于识别用户身份；
   • 登录序列号是一个经过MD5散列处理的随机数，仅在用户更改密码时更新，用于标记账户安全状态；
   • 登录令牌也是一个经过MD5加密的随机数，每个登录会话具有唯一性，新登录会替换旧令牌。

2. 服务器端对这三项内容进行校验，确保用户身份合法性。

3. 这种设计带来的安全优势：

   • 单一登录实例：通过登录令牌机制，实现了单用户单登录实例，即同一账号不允许在不同地方同时登录；
   • 盗用检测：若cookie被盗用，由于登录令牌的有效期只限于当前会话，当真实用户再次登录时，系统会发现登录令牌不匹配，从而触发潜在风险预警，继而清除和更新登录序列号和令牌，使所有非授权cookie失效，并提示用户输入密码以确认安全。

4. 考虑到多设备和多浏览器场景下可能出现的问题，服务器还需结合IP地址策略：

   • 用户输入密码直接登录的情况下，无需更新服务器端的登录序列号和令牌，因为假设用户掌握着密码，即代表他们是可信主体；
   • 当IP地址相同，尤其是处于同一局域网环境时，可认为是同一用户操作，同样不需要更新服务器端的登录序列号和令牌；
   • 若IP地址不同且未经密码直接登录，则登录令牌在不同IP之间频繁切换时，系统会监控此情况。当短时间内出现多次IP变动时，系统判定被盗用风险加大，进而清除相关序列号和令牌，迫使所有设备重新登录，并可能要求用户输入密码或更改密码以同步各处的cookie状态。

总结来说，这种改进型设计方案通过强化登录令牌管理，增强了“记住密码”功能的安全性，同时还能兼顾多设备场景下的用户体验，虽仍然可能存在特定条件下的误判，但它能够较好地模拟类似QQ那样的“挤掉”先前登录的功能，进一步保障用户账号安全。