用戶注冊或修改密碼時(shí)，通過哈希算法將明文密碼轉(zhuǎn)化為不可逆的密文，存入數(shù)據(jù)庫。這樣即使數(shù)據(jù)泄露，攻擊者無法直接獲得密碼。

當(dāng)用戶忘記密碼找回時(shí)，通過預(yù)留的安全問題或者手機(jī)短信驗(yàn)證等方式確認(rèn)身份。這個(gè)過程中，所有的通信都通過HTTPS等安全協(xié)議進(jìn)行，且在服務(wù)器端要對用戶的輸入進(jìn)行嚴(yán)格的校驗(yàn)和過濾，防止SQL注入等攻擊。

在確認(rèn)用戶身份后，生成個(gè)臨時(shí)的密碼重置鏈接，通過郵件或短信發(fā)送給用戶。這個(gè)鏈接包含個(gè)次性使用的隨機(jī)密鑰，過期或者使用次后就會(huì)失效。用戶點(diǎn)擊鏈接后設(shè)置新的密碼。

對于重要賬戶，增加次驗(yàn)證機(jī)制，谷歌 Authenticator 或者短信驗(yàn)證碼，進(jìn)步提高安全性。

由于目標(biāo)用戶主要是兒童，所以在設(shè)計(jì)找回密碼的過程時(shí)要盡量簡單易懂，又要保證安全性。通過家長的手機(jī)號或者郵箱進(jìn)行驗(yàn)證。

這個(gè)行業(yè)涉及到大量的版權(quán)問題，所以對于員工的賬戶管理要特別嚴(yán)格。除了基本的身份驗(yàn)證外，考慮引入生物特征識別等技術(shù)，提高賬戶的安全性。