Bag-ohay lang ako adunay panahon sa paghunahuna pag-usab kung giunsa ang usa ka luwas nga bahin sa pag-reset sa password kinahanglan molihok, una sa dihang akong gitukod kini nga gamit , ug unya sa dihang mitabang siya sa laing tawo sa pagbuhat ug susamang butang. Sa ikaduha nga kaso, gusto nako nga hatagan siya usa ka link sa usa ka kanonikal nga kapanguhaan nga adunay tanan nga mga detalye kung giunsa ang luwas nga pagpatuman sa function sa pag-reset. Bisan pa, ang problema mao nga ang ingon nga kapanguhaan wala maglungtad, labing menos usa nga naghulagway sa tanan nga ingon hinungdanon alang kanako. Busa nakahukom ko nga isulat kini sa akong kaugalingon.
Nakita nimo, ang kalibutan sa nakalimtan nga mga password sa tinuud usa ka misteryoso. Adunay daghang lainlain, hingpit nga madawat nga mga punto sa panan-aw ug daghan nga peligroso. Lagmit imong nasugatan ang matag usa kanila sa makadaghang higayon isip usa ka end user; busa sulayan nako nga gamiton kini nga mga pananglitan aron ipakita kung kinsa ang nagbuhat niini nga husto, kinsa ang wala, ug kung unsa ang kinahanglan nimo nga ipunting aron makuha ang bahin nga husto sa imong app.
Pagtipig sa password: hashing, encryption ug (gasp!) plain text
Dili nato hisgutan kung unsa ang buhaton sa mga nakalimtan nga mga password sa dili pa nato hisgutan kung unsaon kini pagtipig. Ang mga password gitipigan sa database sa usa sa tulo ka nag-unang matang:
- Simple nga teksto. Adunay usa ka kolum sa password, nga gitipigan sa yano nga porma sa teksto.
- Gi-encrypt. Kasagaran nga gigamit ang simetriko nga pag-encrypt (usa ka yawe ang gigamit alang sa pag-encrypt ug pag-decryption), ug ang gi-encrypt nga mga password gitipigan usab sa parehas nga kolum.
- Hashed. Usa ka paagi nga proseso (ang password mahimong ma-hash, apan dili ma-dehash); password, Maglaum unta ko, gisundan ug asin, ug ang matag usa anaa sa kaugalingong kolum niini.
Diretso ta sa pinakasimple nga pangutana: Ayaw pagtago sa mga password sa yano nga teksto! Dili gayud. Usa ka kahuyang sa , usa ka walay pagtagad nga pag-backup, o usa sa dosena sa uban pang yano nga mga sayop - ug mao kana, gameover, ang tanan nimong mga password - kana mao, sorry, password sa tanan nimong mga kliyente mahimong public domain. Siyempre, kini nagpasabut nga usa ka dako nga posibilidad nga gikan sa tanan nilang mga account sa ubang mga sistema. Ug kini mahimong imong sala.
Ang pag-encrypt mas maayo, apan adunay mga kahuyang niini. Ang problema sa encryption mao ang decryption; mahimo natong kuhaon kining buang nga tan-awon nga mga cipher ug ibalik kini ngadto sa yano nga teksto, ug kung mahitabo kana mobalik kita sa kahimtang sa password nga mabasa sa tawo. Sa unsang paagi kini mahitabo? Ang usa ka gamay nga sayup moabut sa code nga nag-decrypt sa password, nga gihimo kini sa publiko - kini usa ka paagi. Ang mga hacker makaangkon og access sa makina diin gitipigan ang naka-encrypt nga datos - kini ang ikaduhang pamaagi. Ang laing paagi, pag-usab, mao ang pagkawat sa backup sa database ug adunay usa nga makakuha usab sa yawe sa pag-encrypt, nga kanunay nga gitipigan nga dili sigurado.
Ug kini nagdala kanato sa pag-hash. Ang ideya luyo sa hashing mao nga kini usa ka paagi; ang bugtong paagi aron itandi ang password nga gisulod sa user sa gi-hash nga bersyon niini mao ang pag-hash sa input ug itandi kini. Aron mapugngan ang mga pag-atake gikan sa mga himan sama sa mga lamesa sa balangaw, among asinan ang proseso nga adunay random (basaha ang akong mahitungod sa cryptographic storage). Sa katapusan, kung gipatuman sa husto, makasalig kita nga ang mga gi-hash nga password dili na mahimong yano nga teksto pag-usab (Ako maghisgot bahin sa mga benepisyo sa lainlaing mga algorithm sa hashing sa lain nga post).
Usa ka dali nga argumento bahin sa pag-hash kumpara sa pag-encrypt: ang bugtong hinungdan nga kinahanglan nimo nga mag-encrypt kaysa mag-hash sa usa ka password kung kinahanglan nimo nga makita ang password sa yano nga teksto, ug dili gyud nimo gusto kini, labing menos sa usa ka standard nga sitwasyon sa website. Kung kinahanglan nimo kini, nan lagmit nga sayup ang imong gibuhat!
Pasidaan
Sa ubos sa teksto sa post adunay bahin sa usa ka screenshot sa pornographic nga website nga AlotPorn. Kini hapsay nga giputol aron walay bisan unsa nga dili nimo makita sa baybayon, apan kung kini lagmit nga hinungdan sa bisan unsang mga problema, ayaw pag-scroll sa ubos.
Kanunay i-reset ang imong password dili gayud ayaw siyag pahinumdom
Gihangyo ka na ba nga maghimo usa ka function mga pahinumdom password? Pag-atras ug hunahunaa kini nga hangyo nga baliskad: nganong kini nga "pahinumdom" gikinahanglan? Tungod kay ang user nakalimot sa password. Unsa man gyud ang gusto natong buhaton? Tabangi siya pag-login pag-usab.
Nakaamgo ko nga ang pulong nga "pahinumdom" gigamit (kasagaran) sa usa ka kolokyal nga diwa, apan ang among gipaningkamutan nga buhaton mao ang luwas nga tabangan ang tiggamit nga maka-online pag-usab. Tungod kay kinahanglan namon ang seguridad, adunay duha ka hinungdan ngano nga ang usa ka pahinumdom (sama sa pagpadala sa user sa ilang password) dili angay:
- Ang email usa ka walay kasegurohan nga channel. Sama nga dili kami magpadala sa bisan unsang sensitibo sa HTTP (gamiton namon ang HTTPS), dili kami kinahanglan magpadala bisan unsang sensitibo sa email tungod kay ang layer sa transportasyon dili sigurado. Sa pagkatinuod, kini mas grabe pa kay sa pagpadala lamang og impormasyon sa usa ka dili luwas nga transport protocol, tungod kay ang mail kanunay nga gitipigan sa usa ka storage device, ma-access sa mga administrador sa sistema, ipasa ug ipang-apod-apod, ma-access sa malware, ug uban pa. Ang wala ma-encrypt nga email usa ka dili sigurado nga channel.
- Kinahanglan nga wala ka'y access sa password bisan pa niana. Basaha pag-usab ang miaging seksyon sa pagtipig - kinahanglan nga adunay usa ka hash sa password (nga adunay maayo nga kusog nga asin), nagpasabut nga dili nimo mahimo sa bisan unsang paagi nga makuha ang password ug ipadala kini pinaagi sa koreo.
Tugoti ako nga ipakita ang problema sa usa ka pananglitan : Ania ang kasagarang panid sa pag-login:
Dayag nga, ang una nga problema mao nga ang panid sa pag-login wala mag-load sa HTTPS, apan ang site nag-aghat usab kanimo nga magpadala usa ka password ("Ipadala ang Password"). Kini mahimo nga usa ka pananglitan sa kolokyal nga paggamit sa termino nga gihisgutan sa ibabaw, mao nga atong pauswagon kini ug tan-awon kung unsa ang mahitabo:
Dili kini mas maayo tan-awon, sa walay palad; ug ang usa ka email nagpamatuod nga adunay problema:
Kini nagsulti kanato sa duha ka importante nga aspeto sa usoutdoor.com:
- Ang site dili hash password. Labing maayo, kini gi-encrypt, apan lagmit nga kini gitipigan sa yano nga teksto; Wala kamiy nakita nga ebidensya nga sukwahi.
- Nagpadala ang site og long-term nga password (mahimo natong balikan ug gamiton kini pag-usab) sa usa ka unsecured channel.
Uban niini gikan sa dalan, kinahanglan natong susihon kung ang proseso sa pag-reset nahimo sa luwas nga paagi. Ang unang lakang sa pagbuhat niini mao ang pagsiguro nga ang nangayo adunay katungod sa paghimo sa pag-reset. Sa ato pa, sa wala pa kini kinahanglan naton ang pagsusi sa identidad; atong tan-awon kon unsa ang mahitabo sa diha nga ang usa ka identidad mapamatud-an nga walay una pag-verify nga ang nangayo mao ang tinuod nga ang tag-iya sa account.
Paglista sa mga username ug ang epekto niini sa dili mailhan
Kini nga problema labing maayo nga gihulagway sa biswal. Problema:
Nakita ba nimo? Hatagi'g pagtagad ang mensahe nga "Walay user nga narehistro sa kini nga email address." Ang problema klaro nga mitungha kung ang ingon nga site nagpamatuod pagkabaton user nga narehistro sa maong email address. Bingo - bag-o lang nimo nadiskubrehan ang porn fetish sa imong bana/bos/ silingan!
Siyempre, ang pornograpiya usa ka medyo iconic nga panig-ingnan sa kamahinungdanon sa pagkapribado, apan ang mga kapeligrohan sa pagpakig-uban sa usa ka indibidwal sa usa ka piho nga website mas lapad kay sa posibleng dili maayo nga sitwasyon nga gihulagway sa ibabaw. Ang usa ka kapeligrohan mao ang social engineering; Kung ang tig-atake makapares sa usa ka tawo sa serbisyo, nan siya adunay kasayuran nga mahimo niyang sugdan sa paggamit. Pananglitan, mahimo niyang kontakon ang usa ka tawo nga nagpakaaron-ingnon nga representante sa usa ka website ug mangayo og dugang nga kasayuran sa pagsulay nga mopasalig .
Ang ingon nga mga praktis nagpataas usab sa kapeligrohan sa "pag-ihap sa username," diin ang usa mapamatud-an ang paglungtad sa usa ka tibuuk nga koleksyon sa mga username o mga adres sa email sa usa ka website pinaagi lamang sa pagpahigayon sa mga pangutana sa grupo ug pagsusi sa mga tubag niini. Aduna ka bay listahan sa mga email address sa tanang empleyado ug pipila ka minuto aron magsulat og script? Unya makita nimo kung unsa ang problema!
Unsa ang alternatibo? Sa tinuud, kini yano ra, ug katingad-an nga gipatuman sa :
Dinhi wala gibutyag sa Entropay ang bahin sa paglungtad sa usa ka email address sa sistema niini sa usa nga dili tag-iya niini nga adres... Kung ikaw kaugalingon kini nga adres ug wala kini sa sistema, unya makadawat ka usa ka email nga sama niini:
Siyempre, mahimong adunay madawat nga mga sitwasyon diin ang usa ka tawo naghunahunanga imong narehistro sa website. apan dili kini ang kaso, o gibuhat nako kini gikan sa lain nga email address. Ang panig-ingnan nga gipakita sa ibabaw nagdumala sa duha nga mga sitwasyon nga maayo. Dayag nga, kung ang adres magkatugma, makadawat ka usa ka email nga nagpadali sa pag-reset sa imong password.
Ang katakus sa solusyon nga gipili sa Entropay mao nga ang pag-verify sa pag-ila gihimo sumala sa email sa wala pa ang bisan unsang online nga pag-verify. Ang ubang mga site nangutana sa mga tiggamit alang sa tubag sa usa ka pangutana sa seguridad (dugang niini sa ubos) sa unsaon pagsugod sa pag-reset; bisan pa, ang problema niini mao nga kinahanglan nimo nga tubagon ang pangutana samtang naghatag usa ka porma sa pag-ila (email o username), nga hapit imposible nga matubag nga intuitive nga wala gipadayag ang paglungtad sa account sa wala mailhi nga tiggamit.
Uban niini nga pamaagi adunay gamay mikunhod ang usability tungod kay kung imong sulayan ang pag-reset sa usa ka wala nga account, wala’y dayon nga feedback. Siyempre, kana ang tibuuk nga punto sa pagpadala sa usa ka email, apan gikan sa usa ka tinuud nga panan-aw sa end-user, kung sila mosulod sa sayup nga adres, mahibal-an ra nila sa unang higayon kung nadawat nila ang email. Mahimo kini nga hinungdan sa pipila nga tensiyon sa iyang bahin, apan kini usa ka gamay nga kantidad nga ibayad alang sa usa ka talagsaon nga proseso.
Laing mubo nga sulat, gamay nga wala sa hilisgutan: ang mga function sa tabang sa pag-login nga nagpadayag kung ang usa ka username o email adres sa husto adunay parehas nga problema. Kanunay tubaga ang user gamit ang mensahe nga "Dili balido ang imong kombinasyon sa username ug password" kaysa klaro nga kumpirmahon ang paglungtad sa mga kredensyal (pananglitan, "husto ang username, apan sayup ang password").
Pagpadala sa reset password kumpara sa pagpadala sa reset URL
Ang sunod nga konsepto nga kinahanglan natong hisgutan mao ang unsaon pag-reset sa imong password. Adunay duha ka popular nga solusyon:
- Paghimo og bag-ong password sa server ug ipadala kini pinaagi sa email
- Magpadala ug email nga adunay talagsaong URL aron mas sayon ang proseso sa pag-reset
Bisan pa , ang unang punto kinahanglang dili gayod gamiton. Ang problema niini kay nagpasabot nga naa gitipigan nga password, nga mahimo nimong balikan ug gamiton pag-usab bisan unsang orasa; gipadala kini sa usa ka walay kasegurohan nga channel ug nagpabilin sa imong inbox. Ang mga posibilidad mao nga ang mga inbox gi-sync sa mga mobile device ug email client, dugang pa nga kini mahimong tipigan online sa web email nga serbisyo sa dugay nga panahon. Ang punto mao kana ang usa ka mailbox dili makonsiderar nga usa ka kasaligan nga paagi sa dugay nga pagtipig.
Apan gawas pa niini, ang unang punto adunay laing seryoso nga problema - kini gipasimple kutob sa mahimo pag-block sa usa ka account nga adunay malisyosong katuyoan. Kung nahibal-an nako ang email address sa usa ka tawo nga adunay usa ka account sa usa ka website, mahimo nako silang babagan bisan unsang oras pinaagi sa pag-reset sa ilang password; Kini usa ka pag-atake sa pagdumili sa serbisyo nga gisilbi sa usa ka pinggan nga pilak! Mao kini ang hinungdan nga ang pag-reset kinahanglan lamang nga himuon pagkahuman sa malampuson nga pag-verify sa mga katungod sa nangayo niini.
Kung maghisgot kami bahin sa usa ka pag-reset sa URL, gipasabut namon ang adres sa usa ka website nga talagsaon niining partikular nga kaso sa proseso sa pag-reset. Siyempre, kini kinahanglan nga random, dili kini sayon sa pagtag-an, ug kini kinahanglan nga dili maglangkob sa bisan unsa nga eksternal nga mga link sa account nga makapasayon sa pag-reset. Pananglitan, ang reset URL kinahanglan dili lang usa ka dalan sama sa "Reset/?username=JohnSmith".
Gusto namon nga maghimo usa ka talagsaon nga timaan nga mahimong ipadala ingon usa ka pag-reset sa URL, ug dayon ipares sa rekord sa server sa account sa gumagamit, sa ingon nagpamatuod nga ang tag-iya sa account, sa tinuud, parehas nga tawo nga naningkamot sa pag-reset sa password. Pananglitan, ang usa ka token mahimong "3ce7854015cd38c862cb9e14a1ae552b" ug gitipigan sa usa ka lamesa kauban ang ID sa tiggamit nga nagpahigayon sa pag-reset ug ang oras nga nahimo ang token (dugang pa niini sa ubos). Sa diha nga ang email gipadala, kini naglangkob sa usa ka URL sama sa "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b", ug sa diha nga ang user download niini, ang panid nag-aghat alang sa pagkaanaa sa token, human niini nagpamatuod sa impormasyon sa user ug nagtugot kanila sa pag-usab sa password.
Siyempre, tungod kay ang proseso sa ibabaw (hinaot) nagtugot sa tiggamit sa paghimo og bag-ong password, kinahanglan natong sigurohon nga ang URL gikarga sa HTTPS. Dili, , kini nga token URL kinahanglang mogamit sa transport layer security aron ang bag-ong porma sa password dili maatake ug ang password nga gihimo sa user gipasa sa luwas nga koneksyon.
Usab alang sa pag-reset sa URL kinahanglan nimo nga idugang ang usa ka limitasyon sa oras sa token aron ang proseso sa pag-reset makompleto sulod sa usa ka piho nga agwat, ingnon sulod sa usa ka oras. Kini nagsiguro nga ang reset time window gitipigan sa labing gamay aron ang nakadawat sa reset URL mahimo ra molihok sulod sa gamay kaayo nga bintana. Siyempre, ang tig-atake mahimong magsugod pag-usab sa proseso sa pag-reset, apan kinahanglan nila nga makakuha og lain nga talagsaon nga pag-reset sa URL.
Sa katapusan, kinahanglan naton sigurohon nga kini nga proseso dili magamit. Kung kompleto na ang proseso sa pag-reset, ang token kinahanglang tangtangon aron ang reset URL dili na magamit. Ang nauna nga punto gikinahanglan aron masiguro nga ang tig-atake adunay gamay kaayo nga bintana diin mahimo niya mamanipula ang pag-reset sa URL. Dugang pa, siyempre, kung malampuson ang pag-reset, dili na kinahanglan ang token.
Ang pipila niini nga mga lakang ingon og sobra ka sobra, apan dili kini makabalda sa pagkagamit ug sa pagkatinuod pagpalambo sa kaluwasan, bisan pa sa mga sitwasyon nga atong gilauman nga panagsa ra. Sa 99% sa mga kaso, ang user makahimo sa pag-reset sulod sa mubo nga panahon ug dili na i-reset ang password pag-usab sa umaabot nga panahon.
Papel sa CAPTCHA
Oh, CAPTCHA, ang bahin sa seguridad nga gusto natong tanan nga dumtan! Sa tinuud, ang CAPTCHA dili kaayo usa ka himan sa pagpanalipod kay kini usa ka himan sa pag-ila - kung ikaw usa ka tawo o usa ka robot (o usa ka awtomatiko nga script). Ang katuyoan niini mao ang paglikay sa awtomatikong pagsumite sa porma, nga, siyempre, mahimo gamiton isip pagsulay sa pagbungkag sa seguridad. Sa konteksto sa pag-reset sa password, ang CAPTCHA nagpasabot nga ang reset function dili mapugos sa pag-spam sa user o pagsulay sa pagtino sa paglungtad sa mga account (nga, siyempre, dili mahimo kung imong sundon ang tambag sa seksyon sa pag-verify sa mga identidad).
Siyempre, ang CAPTCHA mismo dili hingpit; Adunay daghang mga pasiuna alang sa software nga "hacking" ug pagkab-ot sa igo nga mga rate sa kalampusan (60-70%). Dugang pa, adunay usa ka solusyon nga gipakita sa akong post bahin sa , diin makabayad ka sa mga tawo og mga tipik sa usa ka sentimo aron masulbad ang matag CAPTCHA ug makab-ot ang rate sa kalampusan nga 94%. Sa ato pa, huyang kini, apan kini (gamay) nagpataas sa babag sa pagsulod.
Atong tan-awon ang pananglitan sa PayPal:
Sa kini nga kaso, ang proseso sa pag-reset dili gyud magsugod hangtod masulbad ang CAPTCHA, busa theoretically imposible nga ma-automate ang proseso. Sa teoriya.
Bisan pa, alang sa kadaghanan sa mga aplikasyon sa web kini sobra ra ug hingpit nga husto nagrepresentar sa pagkunhod sa usability - ang mga tawo dili ganahan sa CAPTCHA! Dugang pa, ang CAPTCHA usa ka butang nga dali nimo mabalik kung kinahanglan. Kung ang serbisyo magsugod sa pag-atake (kini diin ang pag-log magamit, apan labi pa sa ulahi), unya ang pagdugang usa ka CAPTCHA dili mahimong labi kadali.
Sekreto nga mga pangutana ug tubag
Sa tanan nga mga pamaagi nga among gikonsiderar, nakahimo kami pag-reset sa password pinaagi lang sa pag-access sa email account. Moingon ko nga “lang”, apan, siyempre, ilegal ang pag-access sa email account sa laing tawo. kinahanglan mahimong usa ka komplikado nga proseso. Hinuon .
Sa tinuud, ang link sa ibabaw bahin sa pag-hack sa Yahoo ni Sarah Palin! nagsilbi sa duha ka katuyoan; una, kini nag-ilustrar kung unsa kadali ang pag-hack (pipila) nga mga email account, ug ikaduha, kini nagpakita kung unsa ang dili maayo nga mga pangutana sa seguridad mahimong magamit nga adunay daotan nga katuyoan. Apan mobalik kita niini sa ulahi.
Ang problema sa XNUMX% email-based nga pag-reset sa password mao nga ang integridad sa account alang sa site nga imong gisulayan pag-reset mahimong XNUMX% nga nagsalig sa integridad sa email account. Bisan kinsa nga adunay access sa imong email adunay access sa bisan unsang account nga mahimong i-reset pinaagi lang sa pagdawat og email. Alang sa ingon nga mga account, ang email mao ang "yabe sa tanan nga mga pultahan" sa imong online nga kinabuhi.
Usa ka paagi sa pagpakunhod niini nga risgo mao ang pagpatuman sa usa ka pangutana sa seguridad ug tubag sumbanan. Sa walay duhaduha nakita na nimo sila: pagpili og pangutana nga ikaw lang ang makatubag kinahanglan nahibal-an ang tubag, ug unya kung imong i-reset ang imong password pangutan-on ka niini. Nagdugang kini og pagsalig nga ang tawo nga misulay sa pag-reset mao gyud ang tag-iya sa account.
Balik sa Sarah Palin: ang sayup mao nga ang mga tubag sa iyang pangutana sa seguridad / pangutana dali nga makit-an. Ilabi na kung ikaw usa ka hinungdanon nga tawo sa publiko, ang kasayuran bahin sa ngalan sa pagkadalaga sa imong inahan, kasaysayan sa edukasyon, o kung diin mahimo’g nagpuyo ang usa ka tawo sa nangagi dili kana sekreto. Sa pagkatinuod, kadaghanan niini makaplagan sa halos bisan kinsa. Mao kini ang nahitabo kang Sarah:
Ang hacker nga si David Kernell nakakuha og access sa account ni Palin pinaagi sa pagpangita sa mga detalye bahin sa iyang background, sama sa iyang unibersidad ug petsa sa pagkatawo, ug dayon gamit ang Yahoo!'s forgotten password recovery feature.
Una sa tanan, kini usa ka sayup sa disenyo sa bahin sa Yahoo! — pinaagi sa pagpiho sa ingon nga yano nga mga pangutana, gisabotahe sa kompanya ang kantidad sa pangutana sa seguridad, ug busa ang pagpanalipod sa sistema niini. Siyempre, ang pag-reset sa mga password alang sa usa ka email account kanunay nga mas lisud tungod kay dili nimo mapamatud-an ang pagpanag-iya pinaagi sa pagpadala sa usa ka email ngadto sa tag-iya (nga walay ikaduha nga adres), apan maayo na lang nga wala'y daghang gamit sa paghimo sa ingon nga sistema karon.
Balikan nato ang mga pangutana sa seguridad - adunay kapilian nga tugotan ang tiggamit sa paghimo sa ilang kaugalingon nga mga pangutana. Ang problema mao nga kini moresulta sa klaro kaayo nga mga pangutana:
Unsa ang kolor sa langit?
Mga pangutana nga dili komportable sa mga tawo kung gigamit ang usa ka pangutana sa seguridad aron mailhan tawo (pananglitan, sa usa ka call center):
Kinsay akong gikatulgan sa Pasko?
O prangka nga hungog nga mga pangutana:
Giunsa nimo pag-spelling ang "password"?
Kung bahin sa mga pangutana sa seguridad, ang mga tiggamit kinahanglan nga maluwas gikan sa ilang kaugalingon! Sa laing pagkasulti, ang pangutana sa seguridad kinahanglan nga matino sa site mismo, o mas maayo pa, gipangutana sunod-sunod nga mga pangutana sa seguridad nga mapilian sa user. Ug dili sayon ang pagpili один; labing maayo nga ang tiggamit kinahanglan nga mopili og duha o daghan pa nga mga pangutana sa seguridad sa panahon sa pagrehistro sa account, nga gamiton isip ikaduhang identification channel. Ang pagbaton og daghang mga pangutana makadugang sa pagsalig sa proseso sa pag-verify, ug naghatag usab og abilidad sa pagdugang sa randomness (dili kanunay nga nagpakita sa sama nga pangutana), plus naghatag og gamay nga redundancy sa kaso nga ang aktwal nga user nakalimot sa password.
Unsa ang maayong pangutana sa seguridad? Naimpluwensyahan kini sa daghang mga hinungdan:
- Siya gyud mubo — ang pangutana kinahanglang klaro ug dili klaro.
- Ang tubag kinahanglan piho — wala mi magkinahanglan ug pangutana nga lahi ang tubag sa usa ka tawo
- Posibleng mga tubag lainlain - ang pagpangutana sa paborito nga kolor sa usa ka tawo makahatag ug gamay kaayo nga subset sa posibleng mga tubag
- Поиск ang tubag kinahanglan nga komplikado - kung ang tubag dali nga makit-an bisan unsa (hinumdomi ang mga tawo sa taas nga posisyon), unya siya daotan
- Ang tubag kinahanglan permanente sa panahon - kung mangutana ka sa paborito nga salida sa usa ka tawo, unya usa ka tuig ang milabay ang tubag mahimong lahi
Ingon nga kini mahitabo, adunay usa ka website nga gipahinungod sa pagpangutana sa maayong mga pangutana nga gitawag . Ang pipila sa mga pangutana daw maayo kaayo, ang uban wala makapasar sa pipila sa mga pagsulay nga gihulagway sa ibabaw, ilabi na ang "kasayon sa pagpangita" nga pagsulay.
Tugoti ako nga ipakita kung giunsa pagpatuman sa PayPal ang mga pangutana sa seguridad ug, labi na, ang paningkamot nga gihimo sa site sa pag-authenticate. Sa ibabaw nakita namo ang panid aron masugdan ang proseso (nga adunay CAPTCHA), ug dinhi among ipakita kung unsa ang mahitabo human nimo masulod ang imong email address ug masulbad ang CAPTCHA:
Ingon nga resulta, ang user makadawat sa mosunod nga sulat:
Sa pagkakaron normal ra ang tanan, apan ania ang gitago sa luyo niining pag-reset sa URL:
Busa, ang mga pangutana sa seguridad moabut sa pagdula. Sa tinuud, gitugotan ka usab sa PayPal nga i-reset ang imong password pinaagi sa pag-verify sa numero sa imong credit card, mao nga adunay dugang nga channel nga daghang mga site ang wala’y access. Dili nako mabag-o ang akong password kung wala’y tubag Parehas pangutana sa seguridad (o wala nahibal-an ang numero sa kard). Bisan kung adunay nag-hijack sa akong email, dili nila ma-reset ang password sa akong PayPal account gawas kung nahibal-an nila ang gamay nga personal nga impormasyon bahin kanako. Unsa nga impormasyon? Ania ang mga kapilian sa pangutana sa seguridad nga gitanyag sa PayPal:
Ang pangutana sa eskuylahan ug ospital mahimong gamay ra sa mga termino sa kadali sa pagpangita, apan ang uban dili kaayo daotan. Bisan pa, aron mapalambo ang seguridad, ang PayPal nanginahanglan dugang nga pag-ila alang sa mga pagbag-o tubag sa mga pangutana sa seguridad:
Ang PayPal usa ka nindot nga panig-ingnan sa luwas nga pag-reset sa password: nagpatuman kini og CAPTCHA aron makunhuran ang kapeligrohan sa mga pag-atake sa brute-force, nagkinahanglan og duha ka pangutana sa seguridad, ug dayon nagkinahanglan og laing matang sa hingpit nga lain-laing identipikasyon aron lang mausab ang mga tubag-ug kini human sa user naka sign in na. Siyempre, mao gyud kini ang atong gibuhat gipaabot gikan sa PayPal; mao ang usa ka pinansyal nga institusyon nga naghisgot sa dako nga kantidad sa salapi. Wala kini magpasabot nga ang matag pag-reset sa password kinahanglang mosunod niini nga mga lakang—kadaghanan sa panahon nga sobra ra kaayo—apan kini usa ka maayong panig-ingnan alang sa mga kaso diin ang seguridad seryoso nga negosyo.
Ang kasayon sa sistema sa pangutana sa seguridad mao nga kung wala nimo kini gipatuman dayon, mahimo nimo kini idugang sa ulahi kung gikinahanglan kini sa lebel sa pagpanalipod sa kapanguhaan. Ang usa ka maayong pananglitan niini mao ang Apple, nga bag-o lang nagpatuman niini nga mekanismo [artikulo nga gisulat sa 2012]. Sa diha nga ako nagsugod sa pag-update sa aplikasyon sa akong iPad, akong nakita ang mosunod nga hangyo:
Unya nakakita ko og screen diin makapili ko og daghang pares sa mga pangutana ug tubag sa seguridad, ingon man usa ka email address sa pagluwas:
Sama sa alang sa PayPal, ang mga pangutana gipili nang daan ug ang uban niini sa tinuud maayo kaayo:
Ang matag usa sa tulo ka mga pares sa pangutana/tubag nagrepresentar sa lain-laing set sa posible nga mga pangutana, mao nga adunay daghang mga paagi sa pag-configure sa usa ka account.
Ang laing aspeto nga ikonsiderar bahin sa pagtubag sa imong pangutana sa seguridad mao ang pagtipig. Ang pagbaton ug usa ka yano nga text database sa database naghatag ug halos parehas nga mga hulga sama sa usa ka password, nga mao nga ang pagbutyag sa database diha-diha dayon nagpadayag sa bili ug nagbutang dili lamang sa aplikasyon sa peligro, apan posible nga hingpit nga lainlain nga mga aplikasyon gamit ang parehas nga mga pangutana sa seguridad (anaa usab ). Usa ka kapilian mao ang luwas nga pag-hash (usa ka lig-on nga algorithm ug usa ka cryptographically random nga asin), apan dili sama sa kadaghanan sa mga kaso sa pagtipig sa password, mahimo’g adunay usa ka maayong hinungdan nga ang tubag makita ingon yano nga teksto. Ang kasagarang senaryo mao ang pag-verify sa identidad sa usa ka live telephone operator. Siyempre, ang hashing magamit usab sa niini nga kaso (ang operator mahimo lamang nga mosulod sa tubag nga ginganlan sa kliyente), apan sa pinakagrabe nga kaso, ang sekreto nga tubag kinahanglan nga nahimutang sa pipila ka lebel sa cryptographic storage, bisan kung kini simetriko nga encryption. . I-summarize: tagda ang mga sekreto sama sa mga sekreto!
Usa ka katapusang aspeto sa mga pangutana ug tubag sa seguridad mao nga sila mas huyang sa social engineering. Ang pagsulay nga direktang makuha ang password sa account sa laing tawo usa ka butang, apan ang pagsugod sa usa ka panag-istoryahanay bahin sa pagporma niini (usa ka sikat nga pangutana sa seguridad) lahi kaayo. Sa tinuud, maayo ka nga makigsulti sa usa ka tawo bahin sa daghang mga aspeto sa ilang kinabuhi nga mahimo’g magbutang usa ka sekreto nga pangutana nga wala makapukaw sa pagduda. Siyempre, ang punto sa usa ka pangutana sa seguridad mao nga kini may kalabutan sa kasinatian sa kinabuhi sa usa ka tawo, mao nga kini halandumon, ug didto ang problema - ang mga tawo ganahan nga maghisgot bahin sa ilang mga kasinatian sa kinabuhi! Adunay gamay nga mahimo nimo bahin niini, kung imong pilion ang ingon nga mga kapilian sa pangutana sa seguridad aron sila gamay ra basin ma-pull out sa social engineering.
[Ipadayon.]Diha sa Mga Katungod sa Pagdukiduki
VDSina nagtanyag kasaligan , ang matag server konektado sa usa ka channel sa Internet nga 500 Megabits ug giprotektahan gikan sa mga pag-atake sa DDoS nga libre!
Source: www.habr.com