Aku bubar wis wektu kanggo mikir maneh carane fitur reset sandi aman kudu bisa, pisanan nalika aku mbangun fungsi iki menyang , banjur nalika dheweke nulungi wong liya nindakake perkara sing padha. Ing kasus kaping pindho, aku pengin menehi link menyang sumber kanonik kanthi kabeh rincian babagan cara ngleksanakake fungsi reset kanthi aman. Nanging, masalahe yaiku sumber daya kasebut ora ana, paling ora ana sing nggambarake kabeh sing penting kanggo aku. Dadi aku mutusake kanggo nulis dhewe.
Sampeyan ndeleng, jagad sandhi sing lali pancen pancen misterius. Ana macem-macem, sudut pandang sing bisa ditampa lan akeh sing mbebayani. Kemungkinan sampeyan wis nemoni saben wong kaping pirang-pirang minangka pangguna pungkasan; mula aku bakal nyoba nggunakake conto iki kanggo nuduhake sapa sing nindakake kanthi bener, sapa sing ora, lan apa sing kudu sampeyan fokusake supaya fitur kasebut bener ing aplikasi sampeyan.
Panyimpenan sandhi: hashing, enkripsi lan (gasp!) teks kosong
Kita ora bisa ngrembug apa sing kudu ditindakake karo sandhi sing lali sadurunge ngrembug babagan cara nyimpen. Tembung sandhi disimpen ing basis data ing salah siji saka telung jinis utama:
- Teks prasaja. Ana kolom sandi, sing disimpen ing wangun teks biasa.
- ndhelik. Biasane nggunakake enkripsi simetris (siji kunci digunakake kanggo enkripsi lan dekripsi), lan sandhi sing dienkripsi uga disimpen ing kolom sing padha.
- Hashed. Proses siji-arah (sandi bisa hash, nanging ora bisa dehashed); sandi, Aku pengin ngarep-arep, ngiring dening uyah, lan saben siji ing kolom dhewe.
Ayo langsung menyang pitakonan sing paling gampang: Aja nyimpen sandhi ing teks biasa! ora tau. Siji kerentanan kanggo , siji serep sembrono, utawa salah siji saka puluhan kesalahan prasaja liyane - lan iku, game over, kabeh sandhi - sing, nuwun, sandhi kabeh klien sampeyan bakal dadi domain umum. Mesthi, iki tegese kemungkinan gedhe saka kabeh akun ing sistem liyane. Lan bakal salah sampeyan.
Enkripsi luwih apik, nanging nduweni kelemahane. Masalah karo enkripsi yaiku dekripsi; kita bisa njupuk ciphers looking edan iki lan ngowahi mau bali menyang teks biasa, lan yen mengkono kita bali menyang kahanan sandi bisa diwaca manungsa. Kepiye kedadeyan iki? Cacat cilik ana ing kode sing ngenkripsi sandhi, dadi kasedhiya kanggo umum - iki minangka salah sawijining cara. Peretas entuk akses menyang mesin ing ngendi data sing dienkripsi disimpen - iki minangka cara liya. Cara liya, maneh, yaiku nyolong serep database lan wong uga entuk kunci enkripsi, sing asring disimpen kanthi ora aman.
Lan iki nggawa kita menyang hashing. Ing idea konco hashing iku siji-cara; siji-sijine cara kanggo mbandhingake tembung sandhi sing dilebokake pangguna karo versi hash yaiku nyetak input lan mbandhingake. Kanggo nyegah serangan saka alat kaya tabel pelangi, kita uyah proses kanthi acak (waca sandi babagan panyimpenan kriptografi). Pungkasane, yen dileksanakake kanthi bener, kita bisa yakin manawa tembung sandhi sing di-hash ora bakal dadi teks biasa maneh (Aku bakal ngomong babagan keuntungan saka macem-macem algoritma hashing ing kiriman liyane).
Argumentasi cepet babagan hashing vs. enkripsi: siji-sijine alesan sampeyan kudu ngenkripsi tinimbang nggawe tembung sandhi yaiku nalika sampeyan kudu ndeleng tembung sandhi ing teks biasa, lan sampeyan kudu tau pengin iki, paling ora ing kahanan situs web standar. Yen sampeyan butuh iki, mesthine sampeyan nindakake salah!
Ati-ati
Ing ngisor iki ing teks kiriman ana bagean saka gambar situs web porno AlotPorn. Iku apik banget supaya ora ana apa-apa sing sampeyan ora bisa ndeleng ing pantai, nanging yen isih ana masalah, aja gulung mudhun.
Tansah ngreset sandhi ora tau ora ngelingake dheweke
Apa sampeyan wis dijaluk nggawe fungsi pangeling-eling sandi? Mundur maneh lan pikirake panjaluk iki kanthi mbalikke: kenapa "pangeling" iki perlu? Amarga pangguna lali sandi. Apa sing arep kita lakoni? Tulung dheweke mlebu maneh.
Aku ngerti tembung "pengeling" digunakake (asring) ing pangertèn colloquial, nanging apa kita pancene nyoba kanggo nindakake iku. kanthi aman mbantu pangguna bisa online maneh. Amarga kita butuh keamanan, ana rong sebab kenapa pangeling (umpamane ngirim tembung sandhi marang pangguna) ora cocog:
- Email minangka saluran sing ora aman. Kaya kita ora ngirim apa-apa sing sensitif liwat HTTP (kita bakal nggunakake HTTPS), kita ngirim ora ngirim apa-apa sing sensitif liwat email amarga lapisan transportasi ora aman. Nyatane, iki luwih elek tinimbang mung ngirim informasi liwat protokol transportasi sing ora aman, amarga mail asring disimpen ing piranti panyimpenan, bisa diakses dening administrator sistem, diterusake lan disebarake, bisa diakses malware, lan liya-liyane. Email sing ora dienkripsi minangka saluran sing ora aman.
- Sampeyan mesthine ora duwe akses menyang sandhi. Waca maneh bagean sadurunge ing panyimpenan - sampeyan kudu duwe hash sandhi (kanthi uyah kuwat sing apik), tegese sampeyan ora bisa ngekstrak sandhi lan ngirim kanthi mail.
Ayo kula nduduhake masalah kanthi conto : Iki minangka kaca mlebu sing khas:
Temenan, masalah pisanan yaiku kaca login ora mbukak liwat HTTPS, nanging situs kasebut uga njaluk sampeyan ngirim sandhi ("Kirim Sandi"). Iki bisa uga minangka conto panggunaan basa lisan saka istilah kasebut ing ndhuwur, mula ayo maju lan ndeleng apa sing kedadeyan:
Ora katon luwih apik, sayangé; lan email konfirmasi ana masalah:
Iki ngandhani rong aspek penting saka usoutdoor.com:
- Situs kasebut ora duwe tembung sandhi. Ing paling apik, lagi ndhelik, nanging kamungkinan sing disimpen ing teks kosong; Kita ora weruh bukti sing nalisir.
- Situs kasebut ngirim tembung sandhi jangka panjang (kita bisa bali lan nggunakake maneh lan maneh) liwat saluran sing ora aman.
Kanthi cara iki, kita kudu mriksa manawa proses reset wis rampung kanthi aman. Langkah pisanan kanggo nindakake iki yaiku kanggo mesthekake yen panjaluk nduweni hak kanggo ngreset. Ing tembung liyane, sadurunge iki kita kudu mriksa identitas; ayo dideleng apa sing kedadeyan nalika identitas diverifikasi tanpa diverifikasi dhisik yen panjaluk kasebut sejatine pemilik akun.
Ndhaptar jeneng panganggo lan pengaruhe ing anonimitas
Masalah iki paling apik digambarake kanthi visual. Masalah:
Kowe weruh? Elinga pesen "Ora ana pangguna sing kadhaptar nganggo alamat email iki." Masalah kasebut jelas muncul yen situs kasebut dikonfirmasi kasedhiya pangguna kedhaftar karo alamat email kuwi. Bingo - sampeyan mung nemokake jimat saru bojomu / boss / pepadhamu!
Mesthine, porno minangka conto sing cukup apik babagan pentinge privasi, nanging bebaya nggandhengake individu karo situs web tartamtu luwih jembar tinimbang kahanan sing bisa dideleng ing ndhuwur. Siji bebaya yaiku rekayasa sosial; Yen panyerang bisa cocog karo wong sing nganggo layanan kasebut, mula dheweke bakal duwe informasi sing bisa digunakake. Contone, dheweke bisa ngubungi wong sing nyamar dadi wakil saka situs web lan njaluk informasi tambahan kanggo nyoba nindakake .
Praktek kasebut uga nambah bebaya "enumerasi jeneng pangguna," sing bisa verifikasi anane kabeh koleksi jeneng pangguna utawa alamat email ing situs web kanthi mung nindakake pitakon klompok lan mriksa tanggapan kasebut. Apa sampeyan duwe dhaptar alamat email kabeh karyawan lan sawetara menit kanggo nulis skrip? Banjur sampeyan ndeleng apa masalahe!
Apa alternatif? Ing kasunyatan, iku cukup prasaja, lan apik dipun ginakaken ing :
Ing kene Entropay ora ngandhani apa-apa babagan orane alamat email ing sisteme kanggo wong sing ora duwe alamat iki... Yen sampeyan duweke alamat iki lan ora ana ing sistem, sampeyan bakal nampa email kaya iki:
Mesthi, bisa uga ana kahanan sing bisa ditampa dening wong liya mikirakensing wis ndhaptar ing situs web. nanging iki ora cilik, utawa aku iku saka alamat email beda. Conto sing ditampilake ing ndhuwur nangani loro kahanan kasebut kanthi apik. Temenan, yen alamat cocog, sampeyan bakal nampa email supaya luwih gampang kanggo ngreset sandhi.
Subtlety saka solusi sing dipilih dening Entropay yaiku verifikasi identifikasi ditindakake miturut email sadurunge verifikasi online. Sawetara situs takon pangguna kanggo jawaban kanggo pitakonan keamanan (liyane ing ngisor iki) kanggo carane reset bisa miwiti; Nanging, masalah karo iki sampeyan kudu njawab pitakonan nalika menehi sawetara wangun identifikasi (email utawa jeneng panganggo), kang banjur meh mokal kanggo njawab intuisi tanpa mbukak orane akun pangguna anonim.
Kanthi pendekatan iki ana cilik suda migunani amarga yen sampeyan nyoba ngreset akun sing ora ana, ora ana umpan balik langsung. Mesthi wae, iki minangka tujuan ngirim email, nanging saka sudut pandang pangguna pungkasan, yen salah ngetik alamat, dheweke mung bakal ngerti nalika nampa email kasebut. Iki bisa nimbulaké sawetara tension ing sisih, nanging iki rega cilik kanggo mbayar proses langka kuwi.
Cathetan liyane, rada ora topik: fungsi pitulung mlebu sing nuduhake manawa jeneng pangguna utawa alamat email sing bener duwe masalah sing padha. Tansah nanggapi pangguna kanthi pesen "Kombinasi jeneng pangguna lan tembung sandhi sampeyan ora sah" tinimbang kanthi jelas ngonfirmasi anane kredensial kasebut (contone, "jeneng pangguna bener, nanging tembung sandhi salah").
Ngirim reset sandi vs ngirim reset URL
Konsep sabanjure sing kudu kita rembugan yaiku carane ngreset sandhi. Ana rong solusi populer:
- Ngasilake sandhi anyar ing server lan ngirim liwat email
- Kirim email kanthi URL unik kanggo nggawe proses reset luwih gampang
Sanajan , titik pisanan kudu ora digunakake. Masalah karo iki tegese ana sandi disimpen, sing bisa bali lan digunakake maneh ing sembarang wektu; dikirim liwat saluran sing ora aman lan tetep ana ing kothak mlebu. Kemungkinan kothak mlebu diselarasake ing piranti seluler lan klien email, uga bisa disimpen online ing layanan email web kanggo wektu sing suwe. Intine yaiku kothak layang ora bisa dianggep minangka liya dipercaya kanggo panyimpenan long-term.
Nanging saliyane iki, titik pisanan duwe masalah serius liyane - iku simplifies okehe mblokir akun kanthi niat jahat. Yen aku ngerti alamat email wong sing duwe akun ing situs web, mula aku bisa mblokir kapan wae kanthi ngreset tembung sandhi; Iki minangka serangan penolakan layanan sing dilayani ing piring perak! Mulane reset mung kudu ditindakake sawise verifikasi sukses hak panjaluk kasebut.
Nalika kita ngomong babagan URL reset, kita tegese alamat situs web sing unik kanggo kasus tartamtu saka proses reset. Mesthi, iku kudu acak, iku kudu ora gampang kanggo guess, lan ngirim ora ngemot sembarang pranala njaba kanggo akun sing nggampangake kanggo ngreset. Contone, URL reset ngirim ora mung dadi path kaya "Reset/?username=JohnSmith".
Kita pengin nggawe token unik sing bisa dikirim minangka URL reset, banjur dicocogake karo rekaman server akun pangguna, saéngga konfirmasi sing pemilik akun, nyatane, wong sing padha nyoba ngreset sandhi . Contone, token bisa dadi "3ce7854015cd38c862cb9e14a1ae552b" lan disimpen ing tabel bebarengan karo ID pangguna sing nindakake reset lan wektu token digawe (liyane ing ngisor iki). Nalika email dikirim, ngemot URL kaya "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b", lan nalika pangguna ngundhuh, kaca kasebut njaluk anane token, sawise iku konfirmasi informasi pangguna lan ngidini ngganti sandi.
Mesthi, amarga proses ing ndhuwur (muga-muga) ngidini pangguna nggawe tembung sandhi anyar, kita kudu mesthekake yen URL dimuat liwat HTTPS. ora, , URL token iki kudu nggunakake keamanan lapisan transportasi supaya formulir sandi anyar ora bisa diserang lan tembung sandhi sing digawe pangguna dikirim liwat sambungan sing aman.
Uga kanggo URL reset sampeyan kudu nambah watesan wektu token supaya proses reset bisa rampung ing interval tartamtu, ngandika ing jam. Iki mesthekake yen jendhela wektu reset katahan minimal supaya panampa URL reset mung bisa tumindak ing jendhela cilik banget. Mesthine, panyerang bisa miwiti proses reset maneh, nanging kudu entuk URL ulang unik liyane.
Pungkasan, kita kudu mesthekake yen proses iki bisa digunakake. Sawise proses reset rampung, token kudu dibusak supaya URL reset ora bisa digunakake maneh. Titik sadurunge perlu kanggo mesthekake yen panyerang duwe jendhela cilik sing bisa ngapusi URL reset. Plus, mesthi, yen reset sukses, token ora perlu maneh.
Sawetara langkah iki bisa koyone kebacut keluwih, nanging padha ora ngganggu migunani lan nyatane nambah safety, sanajan ing kahanan sing kita ngarep-arep bakal langka. Ing 99% kasus, pangguna bakal ngaktifake reset ing wektu sing cendhak lan ora bakal ngreset sandhi maneh ing mangsa ngarep.
Peran CAPTCHA
Oh, CAPTCHA, fitur keamanan sing kita senengi disengiti! Nyatane, CAPTCHA dudu alat proteksi nanging minangka alat identifikasi - apa sampeyan wong utawa robot (utawa skrip otomatis). Tujuane yaiku supaya ora ngirim formulir otomatis, sing, mesthi, bisa digunakake minangka upaya kanggo break keamanan. Ing konteks ngreset tembung sandhi, CAPTCHA tegese fungsi reset ora bisa dipeksa kanthi kasar kanggo spam pangguna utawa nyoba nemtokake anane akun (sing mesthi ora bisa ditindakake yen sampeyan ngetutake saran ing bagean kasebut. verifikasi identitas).
Mesthi, CAPTCHA dhewe ora sampurna; Ana akeh precedents kanggo "hacking" piranti lunak lan entuk tingkat sukses sing cukup (60-70%). Kajaba iku, ana solusi sing ditampilake ing kirimanku babagan , ngendi sampeyan bisa mbayar wong pecahan sen kanggo ngatasi saben CAPTCHA lan entuk tingkat sukses 94%. Sing, iku rawan, nanging (rada) mundhakaken alangan kanggo mlebu.
Ayo goleki conto PayPal:
Ing kasus iki, proses reset mung ora bisa diwiwiti nganti CAPTCHA wis ditanggulangi, supaya miturut teori ora bisa ngotomatisasi proses kasebut. Ing teori.
Nanging, kanggo paling aplikasi web iki bakal overkill lan pancen bener nuduhake nyuda panggunaan - wong ora seneng karo CAPTCHA! Kajaba iku, CAPTCHA minangka perkara sing bisa gampang bali yen perlu. Yen layanan wiwit diserang (ing kene logging migunani, nanging luwih akeh babagan mengko), banjur nambah CAPTCHA ora bisa luwih gampang.
Pitakonan lan jawaban rahasia
Kanthi kabeh cara sing dianggep, kita bisa ngreset sandhi mung kanthi ngakses akun email. Aku ngomong "mung", nanging, mesthi, iku ilegal kanggo entuk akses menyang akun email wong liya. kudune dadi proses sing kompleks. Nanging .
Nyatane, pranala ing ndhuwur babagan hacking Yahoo Sarah Palin! serves rong tujuan; sepisanan, iku nggambarake carane gampang iku hack (sawetara) akun email, lan sareh, iku nuduhake carane pitakonan keamanan ala bisa digunakake karo maksud angkoro. Nanging kita bakal bali menyang iki mengko.
Masalah karo XNUMX% reset sandi adhedhasar email iku integritas akun kanggo situs sing nyoba kanggo ngreset dadi XNUMX% gumantung ing integritas akun email. Sapa wae sing nduweni akses menyang email sampeyan nduweni akses menyang akun apa wae sing bisa direset kanthi mung nampa email. Kanggo akun kasebut, email minangka "kunci kabeh lawang" ing urip online sampeyan.
Salah sawijining cara kanggo nyuda resiko iki yaiku ngetrapake pola pitakonan lan jawaban keamanan. Ora mangu sampeyan wis ndeleng wong-wong mau: pilih pitakonan sing mung sampeyan bisa mangsuli kudune ngerti jawaban, banjur nalika sampeyan ngreset sandhi sampeyan bakal dijaluk. Iki nambah kapercayan yen wong sing nyoba ngreset pancen pemilik akun.
Bali menyang Sarah Palin: kesalahane yen jawaban kanggo pitakonan keamanan / pitakonan bisa gampang ditemokake. Utamane yen sampeyan dadi tokoh masyarakat sing penting, informasi babagan jeneng sepisanan ibumu, sejarah pendhidhikan, utawa ing ngendi wong urip ing jaman biyen ora dadi rahasia. Nyatane, akeh sing bisa ditemokake meh kabeh wong. Iki kedadeyane Sarah:
Peretas David Kernell entuk akses menyang akun Palin kanthi nemokake rincian babagan latar mburi dheweke, kayata universitas lan tanggal lair, banjur nggunakake fitur pemulihan tembung sandhi Yahoo!.
Kaping pisanan, iki minangka kesalahan desain ing sisih Yahoo! - kanthi nemtokake pitakonan sing prasaja, perusahaan kasebut pancen sabotase regane pitakonan keamanan, lan mulane nglindhungi sistem kasebut. Mesthine, ngreset sandhi kanggo akun email mesthi luwih angel amarga sampeyan ora bisa mbuktekake kepemilikan kanthi ngirim email menyang pemilik (tanpa duwe alamat liya), nanging untunge ora akeh gunane kanggo nggawe sistem kasebut saiki.
Ayo bali menyang pitakonan keamanan - ana pilihan kanggo ngidini pangguna nggawe pitakonan dhewe. Masalahe yaiku iki bakal nyebabake pitakonan sing jelas banget:
Apa warna langit?
Pitakonan sing nggawe wong ora nyaman nalika pitakonan keamanan digunakake kanggo ngenali wong (contone, ing call center):
Sapa sing aku turu nalika Natal?
Utawa terus terang pitakonan bodho:
Kepiye carane nulis "sandi"?
Nalika nerangake pitakonan keamanan, pangguna kudu disimpen saka awake dhewe! Ing tembung liyane, pitakonan keamanan kudu ditemtokake dening situs dhewe, utawa luwih apik, takon seri pitakonan keamanan saka kang pangguna bisa milih. Lan ora gampang kanggo milih один; saenipun pangguna kudu milih loro utawa luwih pitakonan keamanan nalika ndhaptar akun, sing banjur bakal digunakake minangka saluran identifikasi kapindho. Duwe sawetara pitakonan nambah kapercayan ing proses verifikasi, lan uga menehi kemampuan kanggo nambah randomness (ora tansah nuduhake pitakonan padha), plus menehi dicokot saka redundansi ing kasus pangguna nyata wis lali sandi.
Apa pitakonan keamanan sing apik? Iki dipengaruhi dening sawetara faktor:
- Dheweke mesthi ringkes - pitakonan kudu cetha lan ora ambigu.
- Jawabane kudu khusus - kita ora perlu pitakonan sing siji wong bisa njawab beda
- Jawaban sing bisa ditindakake mesthine maneka warna - takon warna favorit wong ngasilake subset cilik saka jawaban sing bisa ditindakake
- Поиск jawaban kudu rumit - yen jawaban bisa gampang ditemokake apa wae (elinga marang wong kang dhuwur pangkate), banjur ala
- Jawabane kudu permanen ing wektu - yen sampeyan takon film favorit wong, banjur taun mengko jawaban bisa beda
Kaya sing kedadeyan, ana situs web sing darmabakti kanggo takon pitakonan sing apik sing diarani . Sawetara pitakonan katon cukup apik, liyane ora ngliwati sawetara tes sing diterangake ing ndhuwur, utamane tes "gampang nggoleki".
Ayo kula nduduhake carane PayPal ngleksanakake pitakonan keamanan lan, utamane, upaya sing ditindakake situs kasebut ing otentikasi. Ing ndhuwur kita ndeleng kaca kanggo miwiti proses (kanthi CAPTCHA), lan ing kene kita bakal nuduhake apa sing kedadeyan sawise sampeyan ngetik alamat email lan ngrampungake CAPTCHA:
Akibaté, pangguna nampa layang ing ngisor iki:
Nganti saiki, kabeh cukup normal, nanging iki sing didhelikake ing mburi URL reset iki:
Dadi, pitakonan keamanan teka. Nyatane, PayPal uga ngidini sampeyan ngreset sandhi kanthi verifikasi nomer kertu kredit, saengga ana saluran tambahan sing ora bisa diakses dening akeh situs. Aku mung ora bisa ngganti sandi tanpa njawab kalorone pitakonan keamanan (utawa ora ngerti nomer kertu). Sanajan ana sing mbajak emailku, dheweke ora bakal bisa ngreset sandi akun PayPal kajaba dheweke ngerti informasi pribadhi liyane babagan aku. Informasi apa? Mangkene pilihan pitakonan keamanan sing ditawakake PayPal:
Pitakonan sekolah lan rumah sakit bisa uga rada angel babagan gampang nggoleki, nanging liyane ora ala. Nanging, kanggo nambah keamanan, PayPal mbutuhake identifikasi tambahan kanggo ganti jawaban kanggo pitakonan keamanan:
PayPal minangka conto utopia babagan reset sandi sing aman: ngetrapake CAPTCHA kanggo nyuda bebaya serangan brute-force, mbutuhake rong pitakonan keamanan, banjur mbutuhake identifikasi liyane sing beda-beda mung kanggo ngganti jawaban-lan iki sawise pangguna. wis mlebu. Mesthi, iki persis apa kita samesthine saka PayPal; minangka lembaga keuangan sing ngurusi dhuwit akeh. Iki ora ateges saben reset tembung sandhi kudu ngetutake langkah-langkah iki - paling asring overkill - nanging iki minangka conto sing apik kanggo kasus keamanan sing serius.
Penak saka sistem pitakonan keamanan yaiku yen sampeyan durung ngetrapake langsung, sampeyan bisa nambah mengko yen tingkat proteksi sumber daya mbutuhake. Conto sing apik yaiku Apple, sing mung mentas ditindakake mekanisme iki [artikel ditulis taun 2012]. Sawise aku miwiti nganyari aplikasi ing iPad, aku weruh panjalukan ing ngisor iki:
Banjur aku ndeleng layar sing bisa milih sawetara pasangan pitakonan lan jawaban keamanan, uga alamat email penyelamat:
Kanggo PayPal, pitakonan wis dipilih lan sawetara sing bener-bener apik:
Saben telu pasangan pitakonan/jawaban nggambarake macem-macem pitakonan sing bisa ditindakake, mula ana akeh cara kanggo ngatur akun.
Aspek liyane sing kudu dipikirake babagan njawab pitakonan keamanan sampeyan yaiku panyimpenan. Duwe database teks kosong ing basis data nyebabake ancaman sing meh padha karo tembung sandhi, yaiku yen mbukak basis data kanthi cepet nuduhake nilai kasebut lan ora mung mbebayani aplikasi kasebut, nanging aplikasi sing duweni potensi beda nggunakake pitakonan keamanan sing padha (ana maneh. ). Salah siji opsi yaiku hashing sing aman (algoritma sing kuat lan uyah kriptografis acak), nanging ora kaya umume kasus panyimpenan tembung sandhi, bisa uga ana alesan sing apik kanggo tanggapan kasebut katon minangka teks biasa. Skenario khas yaiku verifikasi identitas dening operator telpon langsung. Mesthine, hashing uga bisa ditrapake ing kasus iki (operator mung bisa ngetik respon sing dijenengi klien), nanging ing kasus sing paling elek, respon rahasia kudu ana ing sawetara tingkat panyimpenan kriptografi, sanajan mung enkripsi simetris. . ngringkes: nambani rahasia kaya rahasia!
Siji aspek pungkasan saka pitakonan lan jawaban keamanan yaiku luwih rentan marang teknik sosial. Nyoba langsung ngekstrak sandhi menyang akun wong liya yaiku salah sawijining perkara, nanging miwiti obrolan babagan pembentukan kasebut (pitakonan keamanan populer) pancen beda. Nyatane, sampeyan bisa komunikasi kanthi apik karo wong liya babagan akeh aspek urip sing bisa dadi pitakonan rahasia tanpa nggawe curiga. Mesthi wae, pitakonan keamanan sing ana gandhengane karo pengalaman urip wong liya, mula ora bisa dilalekake, lan ing kana masalahe - wong seneng ngomong babagan pengalaman urip! Ana sethitik sampeyan bisa nindakake babagan iki, mung yen sampeyan milih opsi pitakonan keamanan kuwi supaya padha luwih cilik mbokmenawa bisa ditarik metu dening rekayasa sosial.
[Lajengipun.]Ing Hak Iklan
VDSina nawakake dipercaya , saben server disambungake menyang saluran Internet 500 Megabits lan dilindhungi saka serangan DDoS gratis!
Source: www.habr.com