Мен жақында құпия сөзді қауіпсіз қалпына келтіру мүмкіндігінің қалай жұмыс істеуі керектігі туралы ойлануға уақыт алдым, алдымен осы функцияны құрастырған кезде. , содан кейін ол басқа адамға ұқсас нәрсені жасауға көмектескен кезде. Екінші жағдайда, мен оған қалпына келтіру функциясын қауіпсіз енгізудің барлық мәліметтері бар канондық ресурсқа сілтеме бергім келді. Дегенмен, мәселе мынада, мұндай ресурс жоқ, кем дегенде маған маңызды болып көрінетін нәрсені сипаттайтын ресурс жоқ. Сондықтан мен оны өзім жазуды шештім.
Көрдіңіз бе, ұмытылған парольдер әлемі шын мәнінде өте жұмбақ. Көптеген әртүрлі, толығымен қолайлы және өте қауіпті көзқарастар бар. Сіз олардың әрқайсысымен соңғы пайдаланушы ретінде бірнеше рет кездескен боларсыз; сондықтан мен осы мысалдарды кімнің дұрыс істеп жатқанын, кімнің дұрыс емес екенін және қолданбаңыздағы мүмкіндікті дұрыс алу үшін не нәрсеге назар аудару керектігін көрсету үшін қолдануға тырысамын.
Құпия сөзді сақтау: хэштеу, шифрлау және қарапайым мәтін
Ұмытылған құпия сөздерді сақтау жолын талқыламас бұрын, олармен не істеу керектігін талқылай алмаймыз. Құпия сөздер дерекқорда үш негізгі түрдің бірінде сақталады:
- Қарапайым мәтін. Кәдімгі мәтін түрінде сақталатын құпия сөз бағаны бар.
- Шифрланған. Әдетте симметриялық шифрлау қолданылады (бір кілт шифрлау үшін де, шифрды шешу үшін де пайдаланылады) және шифрланған құпия сөздер де бір бағанда сақталады.
- Хэштелген. Бір жақты процесс (құпия сөзді хэштеуге болады, бірақ оны жою мүмкін емес); құпия сөз, Мен үміттенгім келеді, содан кейін тұз және әрқайсысы өз бағанасында.
Ең қарапайым сұраққа тікелей көшейік: Құпия сөздерді ешқашан кәдімгі мәтінде сақтамаңыз! Ешқашан. Бір ғана осалдық , бір ұқыпсыз сақтық көшірме немесе ондаған басқа қарапайым қателердің бірі - міне, осымен аяқталды, барлық құпия сөздеріңіз - яғни кешіріңіз, барлық клиенттеріңіздің құпия сөздері қоғамдық меншікке айналады. Әрине, бұл үлкен ықтималдықты білдіреді олардың басқа жүйелердегі барлық шоттарынан. Және бұл сіздің кінәңіз болады.
Шифрлау жақсырақ, бірақ оның әлсіз жақтары бар. Шифрлау мәселесі шифрды шешу болып табылады; біз бұл ессіз көрінетін шифрларды алып, оларды кәдімгі мәтінге түрлендіруге болады, ал бұл орын алған кезде біз адам оқи алатын құпия сөз жағдайына қайта ораламыз. Бұл қалай болады? Құпия сөздің шифрын ашатын кодқа кішкене ақау түсіп, оны жалпыға қолжетімді етеді - бұл бір жол. Хакерлер шифрланған деректер сақталатын құрылғыға қол жеткізе алады - бұл екінші әдіс. Тағы бір жолы, дерекқордың сақтық көшірмесін ұрлау және біреу шифрлау кілтін алады, ол жиі өте қауіпсіз сақталады.
Және бұл бізді хэшингке әкеледі. Хэшингтің идеясы - бұл бір жақты; пайдаланушы енгізген құпия сөзді оның хэштелген нұсқасымен салыстырудың жалғыз жолы - кірісті хэштеу және оларды салыстыру. Кемпірқосақ кестелері сияқты құралдардың шабуылын болдырмау үшін біз процесті кездейсоқтықпен тұздаймыз (менің криптографиялық сақтау туралы). Сайып келгенде, егер дұрыс орындалса, хэштелген парольдер енді ешқашан кәдімгі мәтінге айналмайтынына сенімді бола аламыз (басқа постта әртүрлі хэштеу алгоритмдерінің артықшылықтары туралы айтатын боламын).
Хэштеу және шифрлау туралы жылдам дәлел: құпия сөзді хэштен гөрі шифрлау қажет болатын жалғыз себеп - құпия сөзді кәдімгі мәтінде көру қажет болғанда және мұны ешқашан қаламау керек, кем дегенде стандартты веб-сайт жағдайында. Егер сізге бұл қажет болса, сіз бірдеңе дұрыс емес істеп жатырсыз!
Ескерту!
Пост мәтінінде AlotPorn порнографиялық веб-сайтының скриншотының бір бөлігі бар. Ол ұқыпты кесілген, сондықтан жағажайда көрінбейтін ештеңе жоқ, бірақ ол әлі де қандай да бір қиындық тудыруы мүмкін болса, төмен айналдырмаңыз.
Әрқашан құпия сөзіңізді қалпына келтіріңіз ешқашан оның есіне түсірме
Сізден функция жасауды сұрады ма? еске салғыштар құпия сөз? Бір қадам артқа шегініңіз және бұл сұрау туралы керісінше ойланыңыз: бұл «ескерту» не үшін қажет? Өйткені пайдаланушы парольді ұмытып кеткен. Біз шынымен не істегіміз келеді? Оған қайта кіруге көмектесіңіз.
Мен «еске салу» сөзі ауызекі мағынада (жиі) қолданылатынын түсінемін, бірақ біз шын мәнінде істеуге тырысамыз пайдаланушыға қайтадан желіде болуға қауіпсіз түрде көмектесіңіз. Бізге қауіпсіздік қажет болғандықтан, еске салғыштың (яғни, пайдаланушыға құпия сөзін жіберу) сәйкес келмейтінінің екі себебі бар:
- Электрондық пошта – қауіпті арна. HTTP арқылы құпия ештеңе жібермейтін сияқты (біз HTTPS пайдаланамыз), электрондық пошта арқылы құпия ештеңе жібермеуіміз керек, себебі оның тасымалдау қабаты қауіпті. Шын мәнінде, бұл қауіпсіз емес тасымалдау протоколы арқылы жай ғана ақпаратты жіберуден әлдеқайда нашар, өйткені пошта жиі сақтау құрылғысында сақталады, жүйелік әкімшілерге қолжетімді, қайта жіберіледі және таратылады, зиянды бағдарламаларға қолжетімді және т.б. Шифрланбаған электрондық пошта – өте қауіпті арна.
- Сізде бәрібір құпия сөзге қол жеткізе алмауыңыз керек. Сақтау туралы алдыңғы бөлімді қайта оқып шығыңыз - сізде құпия сөздің хэші болуы керек (жақсы күшті тұзы бар), яғни сіз ешқандай жолмен құпия сөзді шығарып, оны пошта арқылы жібере алмауыңыз керек.
Мәселені мысалмен көрсетуге рұқсат етіңіз : Міне әдеттегі кіру беті:
Әлбетте, бірінші мәселе кіру парағы HTTPS арқылы жүктелмейді, бірақ сайт сонымен қатар құпия сөзді жіберуді ұсынады («Құпия сөзді жіберу»). Бұл жоғарыда аталған терминнің ауызекі тілде қолданылуының мысалы болуы мүмкін, сондықтан оны әрі қарай қадам басып, не болатынын көрейік:
Бұл, өкінішке орай, әлдеқайда жақсы көрінбейді; және электрондық пошта мәселенің бар екенін растайды:
Бұл usoutdoor.com сайтының екі маңызды аспектісін айтады:
- Сайт парольдерді хэштендірмейді. Ең жақсы жағдайда олар шифрланған, бірақ олар кәдімгі мәтінде сақталған болуы мүмкін; Біз керісінше ешқандай дәлел көрмейміз.
- Сайт қорғалмаған арна арқылы ұзақ мерзімді құпия сөзді жібереді (біз оны қайта-қайта пайдалана аламыз).
Бұл жағдайдан кейін біз қалпына келтіру процесінің қауіпсіз түрде орындалғанын тексеруіміз керек. Мұны істеудің бірінші қадамы - сұраушының қалпына келтіруді орындауға құқығы бар екеніне көз жеткізу. Басқаша айтқанда, бұған дейін жеке басын тексеру керек; сұрау салушының шын мәнінде тіркелгі иесі екенін тексермей, жеке куәлік расталғанда не болатынын қарастырайық.
Пайдаланушы аттары және оның анонимділікке әсері
Бұл мәселе ең жақсы көрнекі түрде көрсетілген. Мәселе:
Көрдіңіз бе? «Бұл электрондық пошта мекенжайында тіркелген пайдаланушы жоқ» хабарына назар аударыңыз. Егер мұндай сайт растаса, мәселе туындауы анық қолжетімділігі осындай электрондық пошта мекенжайымен тіркелген пайдаланушы. Бинго - сіз күйеуіңіздің/бастықтың/көршіңіздің порно фетишін жаңа ғана таптыңыз!
Әрине, порно - бұл құпиялылықтың маңыздылығының керемет үлгісі, бірақ жеке адамды белгілі бір веб-сайтпен байланыстырудың қаупі жоғарыда сипатталған ықтимал ыңғайсыз жағдайдан әлдеқайда кең. Бір қауіп – әлеуметтік инженерия; Егер шабуылдаушы қызметпен адамды сәйкестендіре алса, онда ол пайдалана бастауы мүмкін ақпаратқа ие болады. Мысалы, ол өзін веб-сайттың өкілі ретінде көрсететін адаммен байланысып, әрекет жасау үшін қосымша ақпарат сұрай алады .
Мұндай тәжірибелер сондай-ақ «пайдаланушы атын санау» қаупін арттырады, соның арқасында веб-сайтта жай ғана топтық сұраулар жүргізу және оларға жауаптарды тексеру арқылы пайдаланушы аттары немесе электрондық пошта мекенжайларының барлық топтамасы бар екенін тексеруге болады. Сізде барлық қызметкерлердің электрондық пошта мекенжайларының тізімі және сценарий жазуға бірнеше минут бар ма? Сонда сіз мәселенің не екенін көресіз!
Балама қандай? Шын мәнінде, бұл өте қарапайым және керемет түрде жүзеге асырылады :
Мұнда Entropay өз жүйесінде электрондық пошта мекенжайының болуы туралы мүлдем ештеңе ашпайды осы мекенжайға ие емес адамға... Егер сіз меншік бұл мекенжай және ол жүйеде жоқ болса, сізге келесідей электрондық хат келеді:
Әрине, біреуде қолайлы жағдайлар болуы мүмкін ойлайдывеб-сайтта тіркелгеніңіз туралы. бірақ бұл олай емес немесе мен оны басқа электрондық пошта мекенжайынан жасадым. Жоғарыда көрсетілген мысал екі жағдайды да жақсы өңдейді. Мекенжай сәйкес келсе, құпия сөзді қалпына келтіруді жеңілдететін электрондық хат аласыз.
Entropay таңдаған шешімнің нәзіктігі мынада, сәйкестендіру верификациясы сәйкес жүзеге асырылады электрондық пошта кез келген онлайн тексеруден бұрын. Кейбір сайттар пайдаланушылардан қауіпсіздік сұрағына жауап сұрайды (төменде бұл туралы толығырақ) қарай қалпына келтіру қалай басталуы мүмкін; дегенмен, мәселе мынада: сәйкестендірудің қандай да бір түрін (электрондық пошта немесе пайдаланушы аты) бере отырып, сұраққа жауап беру керек, бұл кейін анонимді пайдаланушы тіркелгісінің бар-жоғын ашпай-ақ интуитивті жауап беруді мүмкін емес етеді.
Бұл тәсілмен бар кішкентай пайдалану мүмкіндігі төмендеді, себебі егер сіз жоқ тіркелгіні қалпына келтіруге әрекет жасасаңыз, дереу кері байланыс болмайды. Әрине, бұл электрондық поштаны жіберудің барлық мәні, бірақ нақты түпкі пайдаланушының көзқарасы бойынша, егер олар қате мекенжайды енгізсе, олар электрондық поштаны алғаш рет алған кезде ғана біледі. Бұл оның тарапынан біраз шиеленіс тудыруы мүмкін, бірақ бұл сирек кездесетін процесс үшін өте аз баға.
Тақырыптан сәл ауытқыған тағы бір ескертпе: пайдаланушы аты немесе электрондық пошта мекенжайының дұрыс екенін анықтайтын кіруге көмектесу функцияларында бірдей мәселе бар. Пайдаланушыға тіркелгі деректерінің бар екенін анық растаудың орнына әрқашан «Сіздің пайдаланушы аты мен құпия сөз тіркесімі жарамсыз» хабарымен жауап беріңіз (мысалы, «пайдаланушы аты дұрыс, бірақ құпия сөз дұрыс емес»).
Қалпына келтіру құпия сөзін жіберу және қалпына келтіру URL мекенжайын жіберу
Біз талқылауымыз керек келесі тұжырымдама - құпия сөзді қалай қалпына келтіру керек. Екі танымал шешім бар:
- Серверде жаңа құпия сөзді жасау және оны электрондық пошта арқылы жіберу
- Қалпына келтіру процесін жеңілдету үшін бірегей URL мекенжайы бар электрондық поштаны жіберіңіз
Қарамастан , бірінші нүктені ешқашан пайдаланбау керек. Бұл мәселе бар дегенді білдіреді сақталған құпия сөз, кез келген уақытта қайтып оралуға және қайта пайдалануға болады; ол қауіпті арна арқылы жіберілді және кіріс жәшігінде қалады. Кіріс жәшіктері мобильді құрылғылар мен электрондық пошта клиенті арқылы синхрондалады, сонымен қатар олар өте ұзақ уақыт бойы веб-электрондық пошта қызметінде онлайн сақталуы мүмкін. Мәселе мынада пошта жәшігін ұзақ мерзімді сақтаудың сенімді құралы ретінде қарастыруға болмайды.
Бірақ бұдан басқа, бірінші тармақта тағы бір маңызды мәселе бар - ол мүмкіндігінше жеңілдетеді зиянды ниетпен есептік жазбаны бұғаттау. Егер мен веб-сайтта тіркелгісі бар адамның электрондық пошта мекенжайын білсем, мен оларды кез келген уақытта жай ғана құпия сөзін қалпына келтіру арқылы блоктай аламын; Бұл күміс табаққа ұсынылатын қызмет көрсетуден бас тарту шабуылы! Сондықтан қалпына келтіру сұраушының оған құқықтарын сәтті тексергеннен кейін ғана орындалуы керек.
URL мекенжайын қалпына келтіру туралы айтқанда, біз веб-сайттың мекенжайын айтамыз қайта орнату процесінің осы нақты жағдайына ғана тән. Әрине, бұл кездейсоқ болуы керек, оны болжау оңай болмауы керек және оны қалпына келтіруді жеңілдететін есептік жазбаға сыртқы сілтемелер болмауы керек. Мысалы, қалпына келтіру URL мекенжайы "Reset/?username=JohnSmith" сияқты жол болмауы керек.
Біз URL мекенжайын қалпына келтіру ретінде жіберілетін, содан кейін пайдаланушы тіркелгісінің сервер жазбасына сәйкес келетін бірегей таңбалауышты жасағымыз келеді, осылайша тіркелгі иесінің шын мәнінде құпия сөзді қалпына келтіруге әрекеттеніп жатқан адам екенін растаймыз. Мысалы, таңбалауыш "3ce7854015cd38c862cb9e14a1ae552b" болуы мүмкін және қалпына келтіруді орындайтын пайдаланушының идентификаторымен және таңбалауыштың жасалған уақытымен бірге кестеде сақталуы мүмкін (төменде бұл туралы толығырақ). Электрондық пошта жіберілген кезде оның құрамында «Reset/?id=3ce7854015cd38c862cb9e14a1ae552b» сияқты URL мекенжайы бар және пайдаланушы оны жүктеп алған кезде бет таңбалауыштың бар-жоғын сұрайды, содан кейін ол пайдаланушы ақпаратын растайды және оларға өзгертуге мүмкіндік береді. құпия сөз.
Әрине, жоғарыдағы процесс (үміттенемін) пайдаланушыға жаңа құпия сөз жасауға мүмкіндік беретіндіктен, URL мекенжайының HTTPS арқылы жүктелуін қамтамасыз етуіміз керек. Жоқ, , бұл таңбалауыш URL мекенжайы жаңа құпия сөз пішініне шабуыл жасамауы үшін тасымалдау қабатының қауіпсіздігін пайдалануы керек және пайдаланушы жасаған құпия сөз қауіпсіз қосылым арқылы жіберілді.
Сондай-ақ, қалпына келтіру процесі белгілі бір аралықта, айталық, бір сағат ішінде аяқталуы үшін URL мекенжайын қалпына келтіру үшін таңбалауыш уақыт шегін қосу керек. Бұл қалпына келтіру уақыты терезесінің минималды деңгейде сақталуын қамтамасыз етеді, осылайша қалпына келтіру URL мекенжайын алушы осы өте кішкентай терезеде ғана әрекет ете алады. Әрине, шабуылдаушы қалпына келтіру процесін қайта бастай алады, бірақ олар басқа бірегей қалпына келтіру URL мекенжайын алуы керек.
Ақырында, бұл процестің бір реттік екеніне көз жеткізуіміз керек. Қалпына келтіру процесі аяқталғаннан кейін, қалпына келтіру URL мекенжайы енді жұмыс істемеуі үшін таңбалауыш жойылуы керек. Алдыңғы тармақ шабуылдаушының URL мекенжайын қалпына келтіре алатын өте кішкентай терезесі болуын қамтамасыз ету үшін қажет. Оған қоса, әрине, қалпына келтіру сәтті болғаннан кейін, таңбалауыш енді қажет болмайды.
Бұл қадамдардың кейбіреулері тым артық болып көрінуі мүмкін, бірақ олар пайдалану мүмкіндігіне кедергі келтірмейді және іс жүзінде сирек болады деп үміттенетін жағдайларда да қауіпсіздікті жақсартыңыз. 99% жағдайда пайдаланушы өте қысқа уақыт ішінде қалпына келтіруді қосады және жақын арада құпия сөзді қайта орнатпайды.
CAPTCHA рөлі
О, CAPTCHA, бәріміз жек көретін қауіпсіздік мүмкіндігі! Шын мәнінде, CAPTCHA қорғау құралы емес, ол сәйкестендіру құралы болып табылады - сіз адам немесе робот (немесе автоматтандырылған сценарий) болсаңыз да. Оның мақсаты пішінді автоматты түрде жіберуді болдырмау болып табылады, бұл, әрине, болады қауіпсіздікті бұзу әрекеті ретінде пайдаланылуы мүмкін. Құпия сөзді қалпына келтіру контекстінде CAPTCHA қалпына келтіру функциясын пайдаланушыға спам жіберуге немесе тіркелгілердің бар-жоғын анықтауға тырысуға болмайтынын білдіреді (бұл, әрине, бөлімдегі кеңестерді орындаған жағдайда мүмкін болмайды) жеке басын тексеру).
Әрине, CAPTCHA өзі мінсіз емес; Оның бағдарламалық жасақтамасын «бұзу» және жеткілікті табысқа жету (60-70%) үшін көптеген прецеденттер бар. Бұған қоса, менің постымда көрсетілген шешім бар , мұнда әрбір CAPTCHA-ны шешу және 94% табысқа жету үшін адамдарға центтің бөліктерін төлеуге болады. Яғни, ол осал, бірақ ол (аздап) кіруге кедергіні арттырады.
PayPal мысалын қарастырайық:
Бұл жағдайда қалпына келтіру процесі CAPTCHA шешілмейінше басталуы мүмкін емес, сондықтан теориялық тұрғыдан процесті автоматтандыру мүмкін емес. Теорияда.
Дегенмен, көптеген веб-қосымшалар үшін бұл шамадан тыс болады және дәл ыңғайлылықтың төмендеуін білдіреді - адамдарға CAPTCHA ұнамайды! Сонымен қатар, CAPTCHA қажет болған жағдайда оңай оралуға болатын нәрсе. Егер қызмет шабуылға ұшырай бастаса (бұл жерде жүйеге кіру ыңғайлы болады, бірақ бұл туралы кейінірек), CAPTCHA қосу оңай болмайды.
Құпия сұрақтар мен жауаптар
Біз қарастырған барлық әдістермен біз электрондық пошта тіркелгісіне кіру арқылы құпия сөзді қалпына келтіре алдық. Мен «жай» деймін, бірақ, әрине, басқа біреудің электрондық пошта тіркелгісіне қол жеткізу заңсыз. керек күрделі процесс болады. Дегенмен .
Шын мәнінде, жоғарыда Сара Пэйлиннің Yahoo! екі мақсатқа қызмет етеді; біріншіден, ол (кейбір) электрондық пошта тіркелгілерін бұзудың қаншалықты оңай екенін көрсетеді, екіншіден, зиянды қауіпсіздік сұрақтарын зиянды ниетпен қалай пайдалануға болатынын көрсетеді. Бірақ біз бұған кейінірек ораламыз.
Электрондық пошта негізіндегі құпия сөзді XNUMX% қалпына келтіру мәселесі мынада: қалпына келтіруге тырысып жатқан сайт үшін тіркелгінің тұтастығы электрондық пошта тіркелгісінің тұтастығына XNUMX% тәуелді болады. Электрондық поштаңызға рұқсаты бар кез келген адам электрондық поштаны алу арқылы қалпына келтіруге болатын кез келген есептік жазбаға кіру мүмкіндігі бар. Мұндай тіркелгілер үшін электрондық пошта сіздің онлайн өміріңіздің «барлық есіктерінің кілті» болып табылады.
Бұл тәуекелді азайтудың бір жолы қауіпсіздік сұрағы мен жауап үлгісін енгізу болып табылады. Сіз оларды көргеніңізге күмән жоқ: сіз ғана жауап бере алатын сұрақты таңдаңыз керек жауапты біліңіз, содан кейін құпия сөзді қалпына келтірген кезде сізден ол сұралады. Бұл қалпына келтіру әрекетін жасаған адамның шынымен де тіркелгі иесі екеніне сенімділік береді.
Сара Пэйлинге оралу: қате оның қауіпсіздік сұрағы/сұрақтарына жауаптарды оңай табуға болатын. Әсіресе, сіз маңызды қоғам қайраткері болсаңыз, анаңыздың тегі, білім алу тарихы немесе бұрын қай жерде өмір сүргені туралы ақпарат құпия емес. Шындығында, оның көпшілігін дерлік кез келген адам таба алады. Сарамен болған оқиға:
Хакер Дэвид Кернелл Пэйлиннің тіркелгісіне оның университеті мен туған күні сияқты мәліметтерді тауып, содан кейін Yahoo!-ның ұмытылған құпия сөзді қалпына келтіру мүмкіндігін пайдалану арқылы қол жеткізді.
Ең алдымен, бұл Yahoo! тарапынан дизайн қатесі! — осындай қарапайым сұрақтарды көрсету арқылы компания қауіпсіздік мәселесінің мәнін, демек оның жүйесін қорғауды бұзды. Әрине, электрондық пошта тіркелгісі үшін құпия сөздерді қалпына келтіру әрқашан қиынырақ, өйткені иесіне электрондық поштаны жіберу арқылы меншік құқығын дәлелдей алмайсыз (екінші мекенжайсыз), бірақ бақытымызға орай, бүгінгі күні мұндай жүйені жасаудың көптеген мүмкіндіктері жоқ.
Қауіпсіздік сұрақтарына оралайық - пайдаланушыға өз сұрақтарын жасауға мүмкіндік беретін опция бар. Мәселе мынада, бұл өте айқын сұрақтарға әкеледі:
Аспанның түсі қандай?
Анықтау үшін қауіпсіздік сұрағы пайдаланылған кезде адамдарды ыңғайсыз ететін сұрақтар адам (мысалы, байланыс орталығында):
Мен Рождествода кіммен ұйықтадым?
Немесе шынын айтқанда ақымақ сұрақтар:
«Пароль» қалай жазылады?
Қауіпсіздік сұрақтарына келетін болсақ, пайдаланушыларды өздерінен құтқару керек! Басқаша айтқанда, қауіпсіздік сұрағын сайттың өзі анықтауы керек, немесе жақсырақ, сұралады серия пайдаланушы таңдай алатын қауіпсіздік сұрақтары. Ал таңдау оңай емес один; Ең дұрысы, пайдаланушы екі немесе одан да көп қауіпсіздік сұрақтарын таңдауы керек тіркелгіні тіркеу кезінде, ол кейін екінші сәйкестендіру арнасы ретінде пайдаланылады. Бірнеше сұрақтардың болуы тексеру процесіне сенімді арттырады, сонымен қатар кездейсоқтықты қосу мүмкіндігін береді (әрдайым бірдей сұрақты көрсетпейді), сонымен қатар нақты пайдаланушы құпия сөзді ұмытып кеткен жағдайда біраз артықшылықты қамтамасыз етеді.
Жақсы қауіпсіздік сұрағы қандай? Бұған бірнеше факторлар әсер етеді:
- Болуы керек қысқаша — сұрақ анық және анық болуы керек.
- Жауап болуы керек нақты — бізге бір адам басқаша жауап беретін сұрақ қажет емес
- Мүмкін жауаптар болуы керек алуан түрлі - біреудің сүйікті түсін сұрау ықтимал жауаптардың өте шағын жиынын береді
- Поиск жауап күрделі болуы керек - егер жауап оңай табылса кез келген (жоғары лауазымдағы адамдарды еске түсіріңіз), онда ол нашар
- Жауап болуы керек тұрақты уақытында - егер сіз біреудің сүйікті фильмін сұрасаңыз, бір жылдан кейін жауап басқаша болуы мүмкін
Бұл жағдайда жақсы сұрақтар қоюға арналған веб-сайт бар . Кейбір сұрақтар өте жақсы болып көрінеді, басқалары жоғарыда сипатталған кейбір сынақтардан, әсіресе «іздеу оңайлығы» тестінен өтпейді.
PayPal қауіпсіздік сұрақтарын қалай жүзеге асыратынын және, атап айтқанда, сайттың аутентификацияға жұмсайтын күш-жігерін көрсетуге рұқсат етіңіз. Жоғарыда біз процесті бастауға арналған бетті көрдік (CAPTCHA көмегімен) және мұнда сіз электрондық пошта мекенжайыңызды енгізіп, CAPTCHA шешкеннен кейін не болатынын көрсетеміз:
Нәтижесінде пайдаланушы келесі хатты алады:
Әзірге бәрі қалыпты, бірақ бұл қалпына келтіру URL мекенжайының артында не жасырылған:
Осылайша, қауіпсіздік сұрақтары ойнайды. Шын мәнінде, PayPal несие картасының нөмірін растау арқылы құпия сөзді қалпына келтіруге де мүмкіндік береді, сондықтан көптеген сайттар кіре алмайтын қосымша арна бар. Мен парольді жауапсыз өзгерте алмаймын екеуі де қауіпсіздік сұрағы (немесе карта нөмірін білмеу). Егер біреу менің электрондық поштамды ұрлап алса да, олар мен туралы көбірек жеке ақпаратты білмейінше, PayPal тіркелгісінің құпия сөзін қалпына келтіре алмайды. Қандай ақпарат? PayPal ұсынатын қауіпсіздік сұрақтарының опциялары:
Мектеп пен аурухана сұрағы іздеудің қарапайымдылығы тұрғысынан аздап түсініксіз болуы мүмкін, бірақ басқалары өте жаман емес. Дегенмен, қауіпсіздікті арттыру үшін PayPal қосымша сәйкестендіруді талап етеді өзгерту қауіпсіздік сұрақтарына жауаптар:
PayPal - құпия сөзді қауіпсіз қалпына келтірудің әдемі утопиялық мысалы: ол қатыгездік шабуылдарының қаупін азайту үшін CAPTCHA қолданады, екі қауіпсіздік сұрағын талап етеді, содан кейін жауаптарды өзгерту үшін мүлде басқа сәйкестендірудің басқа түрін талап етеді - бұл пайдаланушыдан кейін кіріп қойған. Әрине, бұл бізде дәл солай күтілген PayPal сайтынан; үлкен ақшамен айналысатын қаржы институты болып табылады. Бұл әрбір құпия сөзді қалпына келтіру осы қадамдарды орындау керек дегенді білдірмейді — көбіне ол шамадан тыс болады — бірақ бұл қауіпсіздік маңызды бизнес болып табылатын жағдайларға жақсы үлгі.
Қауіпсіздік сұрақтары жүйесінің ыңғайлылығы, егер сіз оны бірден енгізбесеңіз, ресурстарды қорғау деңгейі талап етсе, оны кейінірек қосуға болады. Мұның жақсы мысалы ретінде осы механизмді жақында ғана енгізген Apple болып табылады [2012 жылы жазылған мақала]. Мен iPad құрылғысында қолданбаны жаңартуды бастағаннан кейін келесі сұрауды көрдім:
Содан кейін мен бірнеше жұп қауіпсіздік сұрақтары мен жауаптарын, сондай-ақ құтқару электрондық пошта мекенжайын таңдай алатын экранды көрдім:
PayPal-ға келетін болсақ, сұрақтар алдын ала таңдалған және олардың кейбіреулері өте жақсы:
Үш сұрақ/жауап жұбының әрқайсысы ықтимал сұрақтардың әртүрлі жинағын білдіреді, сондықтан есептік жазбаны конфигурациялаудың көптеген жолдары бар.
Қауіпсіздік сұрағыңызға жауап беретін тағы бір аспект - сақтау. Дерекқорда кәдімгі мәтіндік дерекқордың болуы пароль сияқты дерлік қауіптерді тудырады, атап айтқанда, дерекқорды ашу құндылықты бірден ашады және қолданбаны ғана емес, сонымен бірге бірдей қауіпсіздік сұрақтарын қолданатын мүлдем басқа қолданбаларды тәуекелге ұшыратады (тағы да бар). ). Бір опция - қауіпсіз хэштеу (күшті алгоритм және криптографиялық кездейсоқ тұз), бірақ құпия сөздерді сақтау жағдайларының көпшілігінен айырмашылығы, жауаптың кәдімгі мәтін ретінде көрінуінің жақсы себебі болуы мүмкін. Типтік сценарий - тікелей телефон операторының жеке басын тексеру. Әрине, бұл жағдайда хэштеу де қолданылады (оператор клиент атаған жауапты жай ғана енгізе алады), бірақ ең нашар жағдайда, құпия жауап симметриялы шифрлау болса да, криптографиялық сақтаудың кейбір деңгейінде орналасуы керек. . Қорытындылау: құпияларды құпия сияқты қабылдаңыз!
Қауіпсіздік сұрақтары мен жауаптарының соңғы аспектісі олардың әлеуметтік инженерияға осал болуы болып табылады. Құпия сөзді басқа біреудің есептік жазбасына тікелей шығаруға тырысу - бұл бір нәрсе, бірақ оның қалыптасуы туралы әңгімені бастау (танымал қауіпсіздік мәселесі) мүлдем басқа. Шын мәнінде, сіз біреумен өмірінің көптеген аспектілері туралы өте жақсы сөйлесе аласыз, бұл күдік тудырмай, жасырын сұрақ тудыруы мүмкін. Әрине, қауіпсіздік мәселесінің мәні мынада: ол біреудің өмірлік тәжірибесіне қатысты, сондықтан ол есте қалады, мәселе де осында - адамдар өздерінің өмірлік тәжірибелері туралы айтуды жақсы көреді! Қауіпсіздік сұрағы опцияларын таңдасаңыз ғана, бұл туралы ештеңе істей алмайсыз Аздау әлеуметтік инженерия арқылы шығарылуы мүмкін.
[Жалғасы бар.]Жарнама құқықтары туралы
VDSina сенімді ұсынады , әрбір сервер 500 мегабиттік интернет арнасына қосылған және DDoS шабуылдарынан тегін қорғалған!
Ақпарат көзі: www.habr.com