Мен жакында эле коопсуз сырсөздү баштапкы абалга келтирүү функциясы кантип иштеши керектиги жөнүндө ойлонууга убакыт таптым, адегенде мен функцияны орноткондо , анан ал башка адамга ушуга окшош нерсени жасоого жардам бергенде. Экинчи учурда, мен ага баштапкы абалга келтирүү функциясын кантип коопсуз ишке ашыруунун бардык деталдары менен канондук булакка шилтеме бергим келди. Бирок, маселе мындай ресурстун жок экенинде, жок дегенде мен үчүн маанилүү көрүнгөн нерселердин баарын сүрөттөгөн ресурстун жоктугунда. Ошентип, мен өзүм жазууну чечтим.
Көрдүңүзбү, унутулган сырсөздөр дүйнөсү чындыгында абдан сырдуу. Көптөгөн ар кандай, толугу менен алгылыктуу көз караштар жана өтө коркунучтуу көз караштар бар. Балким, сиз алардын ар бири менен акыркы колдонуучу катары көп жолуккансыз; ошондуктан мен бул мисалдарды ким туура кылып жатканын, ким туура эмес экенин жана колдонмоңуздагы функцияны туура алуу үчүн эмнеге көңүл бурушуңуз керектигин көрсөтүү үчүн колдонууга аракет кылам.
Сырсөздү сактоо: хэширлөө, шифрлөө жана (дем!) жөнөкөй текст
Унутулган сырсөздөрдүн сакталышын талкуулоодон мурун аларды эмне кылуу керектигин талкуулай албайбыз. Сырсөздөр маалымат базасында үч негизги түрдүн биринде сакталат:
- Жөнөкөй текст. Жөнөкөй текстте сакталган сырсөзү бар тилке бар.
- Шифрленген. Адатта симметриялык шифрлөө (бир ачкыч шифрлөө жана чечмелөө үчүн колдонулат) жана шифрленген сырсөздөр да ошол эле тилкеде сакталат.
- хэштелген. Бир тараптуу процесс (сырсөздү хэштесе болот, бирок дехеши жок кылбайт); купуя сөз, Мен үмүт кылгым келет, андан кийин туз жана ар бири өз тилкесинде.
Эң жөнөкөй суроону дароо чечели: эч качан сырсөздөрдү жөнөкөй текстте сактаба! Эч качан. Бир гана аялуу , бир этиятсыз камдык көчүрмө, же ондогон башка жөнөкөй каталардын бири - мына ушуну менен бүттү, бардык сырсөздөрүңүз - башкача айтканда, кечиресиз, бардык кардарларыңыздын сырсөздөрү коомдук доменге айланат. Албетте, бул чоң ыктымалдыкты билдирет башка системалардагы бардык эсептеринен. Жана бул сенин күнөөң болот.
Шифрлөө жакшыраак, бирок анын кемчиликтери бар. Шифрлөө маселеси чечмелөөдө; биз бул жинди көрүнгөн шифрлерди алып, аларды кайра жөнөкөй текстке айландыра алабыз жана бул болгондо, биз окула турган сырсөздөрдүн абалына кайтып келебиз. Бул кантип болот? Кичинекей кемчилик сырсөздүн шифрин чечүүчү кодго кирип, аны жалпыга ачык кылат - бул бир жол. Шифрленген маалыматтар сакталган машинага кирүү хакерлер тарабынан алынат - бул экинчи жол. Дагы бир жолу, дагы бир жолу, маалымат базасынын камдык көчүрмөсүн уурдап, кимдир бирөө да шифрлөө ачкычын алат, ал көп учурда өтө кооптуу сакталат.
Жана бул бизди хэшингге алып келет. Хешингдин артында турган идея - бул бир тараптуу; колдонуучу киргизген сырсөздү анын хэштелген версиясы менен салыштыруунун бирден-бир жолу бул киргизилген сырсөздү хэш кылуу жана аларды салыштыруу. Радуга таблицалары сыяктуу куралдарды колдонуу менен чабуулдарды болтурбоо үчүн, процесске кокустук кошуу үчүн туз колдонобуз (толук сүрөт үчүн менин криптографиялык сактоо жөнүндө). Акыр-аягы, эгер туура ишке ашырылса, хэштелген сырсөздөр кайра эч качан жөнөкөй текст болуп калбайт деп ишенсек болот (башка постто ар кандай хэширлөө алгоритмдеринин артыкчылыктары жөнүндө айтып берем).
Хешинг жана шифрлөө жөнүндө тез аргумент: Сырсөздү хэш эмес, шифрлөө керек болгон бирден-бир себеп - бул сырсөздүн ордуна жөнөкөй текстте көрүшүңүз керек болгондо. сен муну эч качан каалабашың керек, жок дегенде стандарттуу веб-сайттын абалында. Эгер бул сизге керек болсо, анда сиз туура эмес кылып жатасыз!
Эскертүү!
Төмөндө билдирүүнүн текстинде AlotPorn порнографиялык веб-сайтынын скриншотунун бир бөлүгү бар. Ал тыкан кыркылган, ошондуктан жээкте көрүнбөй турган эч нерсе жок, бирок ал дагы эле кандайдыр бир көйгөй жаратышы мүмкүн болсо, ылдый сыдырбаңыз.
Сырсөзүңүздү ар дайым баштапкы абалга келтириңиз эч качан ага эскертпе
Сизден функция түзүүнү суранышты беле? эскертүүлөр купуя сөз? Артка кадам таштаңыз жана бул өтүнүч жөнүндө тескери ойлонуңуз: бул "эске салуу" эмне үчүн керек? Анткени колдонуучу паролду унутуп калган. Биз чындап эмне кылгыбыз келет? Ага кайра кирүүгө жардам бериңиз.
Мен "эске салуу" сөзү оозеки тилде (көбүнчө) колдонуларын түшүнөм, бирок биз чындап аракет кылып жатабыз колдонуучуга кайрадан онлайнда болууга жардам берет. Бизге коопсуздук керек болгондуктан, эстеткичтин (мисалы, колдонуучуга сырсөзүн жөнөтүү) туура эмес болушунун эки себеби бар:
- Электрондук почта кооптуу канал. HTTP аркылуу жашыруун эч нерсе жөнөтпөй тургандай эле (биз HTTPS колдонобуз), электрондук почта аркылуу эч нерсе жөнөтпөшүбүз керек, анткени анын транспорттук катмары кооптуу. Чынында, бул кооптуу транспорттук протокол аркылуу жөн гана маалымат жөнөтүүдөн алда канча жаман, анткени почта көбүнчө дискте сакталат, системалык администраторлор үчүн жеткиликтүү, жөнөтүлөт жана бөлүштүрүлөт, зыяндуу программаларга жеткиликтүү жана башкалар. Шифрленбеген электрондук почта өтө кооптуу канал.
- Баары бир сизде сырсөзгө кирүү мүмкүнчүлүгү болбошу керек. Сактоо боюнча мурунку бөлүмдү кайра окуп чыгыңыз - сизде сырсөздүн хэши (жакшы күчтүү туз менен) болушу керек, демек, сырсөздү чыгарып алып, аны почта аркылуу жөнөтө албайсыз.
Маселени бир мисал менен көрсөтүп берейин : Бул жерде типтүү кирүү барагы:
Албетте, биринчи көйгөй - кирүү баракчасы HTTPS аркылуу жүктөлбөйт, бирок сайт сизден сырсөздү жөнөтүүнү сунуштайт («Сырсөздү жөнөтүү»). Бул жогоруда айтылган терминдин оозеки колдонулушунун бир мисалы болушу мүмкүн, андыктан аны бир аз алдыга жылдырып, эмне болорун карап көрөлү:
Бул, тилекке каршы, анча жакшы көрүнбөйт; жана электрондук почта көйгөй бар экенин тастыктайт:
Бул usoutdoor.com эки маанилүү аспектилерин айтып берет:
- Сайт сырсөздөрдү сактабайт. Эң жакшы дегенде, алар шифрленген, бирок алар жөнөкөй текстте сакталган болушу мүмкүн; Биз мунун тескерисин көрсөткөн далилдерди көрбөйбүз.
- Сайт корголбогон канал аркылуу узак мөөнөттүү сырсөздү жөнөтөт (биз аны кайра-кайра колдоно алабыз).
Бул жол менен, биз баштапкы абалга келтирүү жараяны коопсуз түрдө иштеп жатканын текшерүү керек. Бул үчүн биринчи кадам суроочунун баштапкы абалга келтирүүгө укугу бар экенине ынануу болуп саналат. Башка сөз менен айтканда, ага чейин биз инсандыгын текшерүү керек; Сурамчы чындап эле эсептин ээси экенин текшербестен, инсандык ырасталганда эмне болорун карап көрөлү.
Колдонуучулардын аттары жана анын анонимдүүлүккө тийгизген таасири
Бул көйгөй эң жакшы визуалдык түрдө чагылдырылган. Көйгөй:
Көрдүңбү? "Бул электрондук почта дареги менен катталган колдонуучу жок" деген билдирүүгө көңүл буруңуз. маселе, албетте, мындай сайт тастыктайт, эгерде пайда болот болушу колдонуучунун ушундай электрондук почта дареги менен катталган. Бинго - сиз күйөөңүздүн/боссуңуздун/кошунаңыздын порно фетиштерин жаңы эле таптыңыз!
Албетте, порно жекеликтин маанилүүлүгүнүн бир кыйла көрүнүктүү мисалы болуп саналат, бирок аны белгилүү бир веб-сайт менен байланыштыруунун коркунучу жогоруда сүрөттөлгөн ыңгайсыз кырдаалдан алда канча кеңири. Бир коркунуч - бул социалдык инженерия; Эгер чабуулчу кызматка ээ болгон адамды дал келтире алса, анда ал колдоно башташы мүмкүн болгон маалыматка ээ болот. Мисалы, ал өзүн веб-сайттын өкүлү катары көрсөткөн адам менен байланышып, кошумча маалымат сурашы мүмкүн .
Мындай практикалар ошондой эле "колдонуучунун атын санап чыгуу" коркунучун жогорулатат, мында жөнөкөй жапырт суроо жана аларга берилген жоопторду текшерүү аркылуу веб-сайтта колдонуучу аттары же электрондук почта даректеринин бүтүндөй коллекциясы бар экендигин текшерүүгө болот. Сизде бардык кызматкерлердин электрондук даректеринин тизмеси жана сценарий жазууга бир нече мүнөтүңүз барбы? Ошондо көйгөй эмнеде экенин көрөсүз!
Альтернатива кайсы? Чынында, бул абдан жөнөкөй жана укмуштуудай ишке ашырылат :
Бул жерде Entropay өзүнүн тутумунда электрондук почта дареги бар экендиги жөнүндө эч нерсе ачпайт. бул дарекке ээ болбогон адамга... Эгер сиз менчик бул дарек жана ал системада жок болсо, анда сиз төмөнкүдөй электрондук кат аласыз:
Албетте, алгылыктуу жагдайлар бар, кимдир бирөө деп эсептейтсиз веб-сайтта катталгансыз. бирок бул андай эмес, же мен аны башка электрондук почта дарегинен жасадым. Жогоруда көрсөтүлгөн мисал эки жагдайды жакшы чечет. Албетте, эгер дарек дал келсе, сиз сырсөзүңүздү кайра коюуну жеңилдеткен электрондук кат аласыз.
Entropay тарабынан тандалып алынган чечимдин кылдаттыгы идентификациялык текшерүү ылайык жүзөгө ашырылат электрондук почта ар кандай онлайн текшерүү алдында. Кээ бир сайттар колдонуучулардан коопсуздук суроосуна жооп сурашат (төмөндө бул тууралуу кененирээк) үчүн баштапкы абалга келтирүү кантип баштаса болот; бирок, бул көйгөй сиз суроого жооп берүү менен бирге идентификациянын кандайдыр бир түрүн (электрондук почта же колдонуучунун аты), анонимдүү колдонуучунун каттоо эсебинин бар экендигин көрсөтпөстөн, интуитивдик жооп берүү мүмкүн эместей кылат.
Бул ыкма менен бар кичинекей колдонууга ыңгайлуулуктун төмөндөшү, анткени жок эсепти калыбына келтирүү аракети болгондо, дароо пикир болбойт. Албетте, бул электрондук катты жөнөтүүнүн бүтүндөй пункту, бирок чыныгы акыркы колдонуучунун көз карашы боюнча, эгерде ал туура эмес даректи киргизсе, ал катты алгандан кийин бул тууралуу биринчи жолу гана билет. Бул анын кандайдыр бир чыңалууга алып келиши мүмкүн, бирок бул сейрек кездешүүчү процесс үчүн төлөй турган кичинекей баа.
Дагы бир аз темадан алыс эскертүү: Колдонуучунун атын же электрондук почтанын дарегин туура көрсөткөн кирүү жардамында бир эле көйгөй бар. Колдонуучуга ар дайым идентификациялык маалыматтын бар экендигин ачык ырастоонун ордуна "Сиздин колдонуучу атыңыз жана паролуңуздун айкалышы жараксыз" деген билдирүү менен жооп бериңиз (мисалы, "колдонуучунун аты туура, бирок сырсөз туура эмес").
Калыбына келтирүү сырсөзүн жөнөтүү жана кайра коюу URL'ин жөнөтүү
Биз талкуулашыбыз керек болгон кийинки түшүнүк - сырсөзүңүздү кантип калыбына келтирүү. эки популярдуу чечим бар:
- Серверде жаңы сырсөздү түзүү жана аны электрондук почта аркылуу жөнөтүү
- Калыбына келтирүү процессин жөнөкөйлөтүү үчүн уникалдуу URL менен электрондук кат жөнөтүү
Ага карабай , биринчи чекит эч качан колдонулбашы керек. Анын көйгөйү бар дегенди билдирет сакталган сырсөз, сиз каалаган убакта кайрылып, кайра колдоно аласыз; ал кооптуу канал аркылуу жөнөтүлгөн жана каттар кутуңузда кала берет. Мүмкүнчүлүктөр, келген кутулар мобилдик түзмөктөрдө жана электрондук почта кардары аркылуу шайкештештирилет, ошондой эле алар веб-почта кызматында онлайн режиминде узак убакытка сакталышы мүмкүн. Кеп мына ушунда почта ящиги узак мөөнөттүү сактоо үчүн ишенимдүү каражат катары каралышы мүмкүн эмес.
Бирок мындан тышкары, биринчи пункт дагы бир олуттуу көйгөй бар - бул мүмкүн болушунча жөнөкөйлөштүрөт зыяндуу ниет менен эсеп бөгөттөө. Эгерде мен веб-сайтта аккаунтка ээ болгон адамдын электрондук почта дарегин билсем, анда мен аны каалаган убакта анын сырсөзүн баштапкы абалга келтирүү менен бөгөттөй алам; бул күмүш табакка кызматтан баш тартуу! Ошондуктан баштапкы абалга келтирүү өтүнүүчү менен ага болгон укуктарды ийгиликтүү текшергенден кийин гана аткарылышы керек.
Биз баштапкы абалга келтирилген URL жөнүндө сөз кылганда, биз веб-сайттын дарегин билдирет кайра орнотуу процессинин ушул өзгөчө учуруна гана тиешелүү. Албетте, ал кокустук болушу керек, аны болжолдоо оңой болбошу керек жана аны баштапкы абалга келтирүүнү жеңилдеткен эсепке эч кандай тышкы шилтемелер болбошу керек. Мисалы, баштапкы абалга келтирүү URL жөн эле "Reset/?username=JohnSmith" сыяктуу жол болбошу керек.
Биз баштапкы абалга келтирилген URL дареги катары жөнөтүлүп, андан кийин колдонуучунун каттоо эсебинин сервердик жазуусу менен дал келе турган уникалдуу белги түзгүбүз келет, ошентип аккаунттун ээси чындап эле сырсөздү кайра коюуга аракет кылып жаткан адам экенин текшеребиз. . Мисалы, токен "3ce7854015cd38c862cb9e14a1ae552b" сыяктуу көрүнүшү мүмкүн жана баштапкы абалга келтирилген колдонуучунун идентификатору жана токенди түзүү убактысы менен бирге таблицада сакталышы мүмкүн (бул жөнүндө бир аздан кийин). Электрондук кат жөнөтүлгөндө, анда "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b" сыяктуу URL камтылган жана колдонуучу аны жүктөгөндө, баракча токендин бар экенин сурап, андан кийин колдонуучунун маалыматын ырастап, сырсөздү өзгөртүүгө мүмкүндүк берет.
Албетте, жогорудагы процесс (үмттөнөм) колдонуучуга жаңы сырсөз түзүүгө мүмкүндүк бергендиктен, биз URL HTTPS аркылуу жүктөлгөндүгүн камсыз кылышыбыз керек. Жок, , Токен менен бул URL жаңы сырсөз киргизүү формасына кол салууга жол бербөө үчүн транспорт катмарынын коопсуздугун колдонушу керек жана колдонуучу тарабынан түзүлгөн сырсөз коопсуз туташуу аркылуу берилген.
Ошондой эле баштапкы абалга келтирилген URL үчүн, баштапкы абалга келтирүү процесси белгилүү бир интервалдын ичинде, айталы, бир сааттын ичинде бүтүшү үчүн белги убакыт чегин кошуу керек. Бул баштапкы абалга келтирүү убакытынын терезесинин минималдуу болушун камсыздайт, андыктан баштапкы абалга келтирилген URL дарегин алуучу ошол өтө кичинекей терезеде гана аракет кыла алат. Албетте, чабуулчу баштапкы абалга келтирүү процессин кайра башташы мүмкүн, бирок алар башка уникалдуу баштапкы абалга келтирүү URL'ин алышы керек болот.
Акыр-аягы, биз бул процесстин бир жолу колдонулушуна кепилдик беришибиз керек. Баштапкы абалга келтирүү процесси аяктагандан кийин, баштапкы абалга келтирүү URL дареги мындан ары жараксыз болуп калышы үчүн, токен алынып салынышы керек. Мурунку пунктка чабуулчу абдан кичинекей терезеге ээ болушу үчүн керек, анда ал URL'ди кайра орното алат. Мындан тышкары, албетте, баштапкы абалга келтирүү ийгиликтүү аяктагандан кийин, токендин кереги жок.
Бул кадамдардын айрымдары ашыкча сезилиши мүмкүн, бирок алар колдонууга жана колдонууга тоскоолдук кылбайт Чындыгында коопсуздукту жакшыртуу, бирок биз сейрек кездешүүчү жагдайларда. 99% учурларда колдонуучу өтө кыска убакыттын ичинде баштапкы абалга келтирүүнү иштетет жана жакынкы келечекте сырсөздү кайра орнотпойт.
CAPTCHA ролу
О, CAPTCHA, баарыбыз жек көргөн коопсуздук чарасы! Чынында, CAPTCHA идентификациялоо сыяктуу эле коргоо каражаты эмес – сиз адамсыз же роботсуз (же автоматташтырылган скрипт). Анын максаты - форманы автоматтык түрдө тапшыруудан качуу, бул, албетте, алат коопсуздукту бузуу аракети катары колдонулат. Сырсөздү баштапкы абалга келтирүү контекстинде, CAPTCHA баштапкы абалга келтирүү функциясын колдонуучуну спам кылууга же аккаунттардын бар экендигин аныктоого аракет кылууга болбойт дегенди билдирет (эгер сиз бөлүмдөгү кеңештерди аткарсаңыз, бул мүмкүн эмес. өздүгүн текшерүү).
Албетте, CAPTCHA өзү идеалдуу эмес; Анын программалык камсыздоосун "хакердик" кылуу жана жетиштүү ийгиликке жетишүү (60-70%) үчүн көптөгөн прецеденттер бар. Ошондой эле, менин билдирүүмдө көрсөтүлгөн чечим бар , анда ар бир CAPTCHA чечүү жана 94% ийгилик курсуна жетүү үчүн адамдарга центтен бөлчөк төлөй аласыз. Башкача айтканда, ал аялуу, бирок ал (бир аз) кирүү үчүн тоскоолдукту жогорулатат.
Келгиле, PayPal мисалын карап көрөлү:
Бул учурда, баштапкы абалга келтирүү жараяны жөн эле CAPTCHA чечилгенге чейин баштоо мүмкүн эмес, ошондуктан теориялык процессти автоматташтыруу мүмкүн эмес. Теорияда.
Бирок, көпчүлүк веб-тиркемелер үчүн бул ашыкча болот жана таптакыр туура колдонууга ыңгайлуулуктун төмөндөшүн билдирет - адамдар CAPTCHAларды жактырышпайт! Кошумчалай кетсек, CAPTCHA - бул зарыл болсо, оңой эле кайтып келе турган нерсе. Эгер кызматка кол салуу башталса (киргизүү бул жерде пайдалуу, бирок кийинчерээк), анда CAPTCHA кошуу оңой эмес.
Жашыруун суроолор жана жооптор
Биз карап чыккан бардык ыкмалар менен биз электрондук почта каттоо эсебине кирүү аркылуу сырсөздү калыбына келтире алдык. Мен “жөн эле” дейм, бирок, албетте, башка бирөөнүн электрондук почтасына кирүү мыйзамсыз. керек татаал процесс болот. Бирок .
Чындыгында, жогорудагы шилтеме Сара Пэйлиндин Yahoo! эки максатка кызмат кылат; биринчиден, бул (айрым) электрондук почта эсептерин бузуп алуу канчалык оңой экенин, экинчиден, бул жашыруун суроолордун канчалык жаман максатта колдонулушу мүмкүн экенин көрсөтөт. Бирок биз буга кийинчерээк кайрылабыз.
XNUMX% электрондук почтага көз каранды болгон сырсөздөрдү баштапкы абалга келтирүү көйгөйү, сиз баштапкы абалга келтирүүгө аракет кылып жаткан сайттын каттоо эсебинин бүтүндүгү электрондук почта эсебинин бүтүндүгүнөн XNUMX% көз каранды болуп калат. Электрондук почтаңызга кирүү мүмкүнчүлүгү бар адам жөн гана электрондук кат алуу менен баштапкы абалга келтирилүүчү каалаган каттоо эсебине кирүү мүмкүнчүлүгү бар. Мындай эсептер үчүн электрондук почта онлайн жашооңуздун "бардык эшиктеринин ачкычы" болуп саналат.
Бул тобокелдикти азайтуунун бир жолу коопсуздук суроо-жооп үлгүсүн ишке ашыруу болуп саналат. Албетте, сиз аларды көргөнсүз: сизге гана тиешелүү суроону тандаңыз керек Жоопту билиңиз, анан сырсөзүңүздү кайра орнотконуңузда сизден ал суралат. Бул баштапкы абалга келтирүүгө аракет кылган адам чындап эле эсептин ээси экенине ишенимди кошот.
Сара Пэйлинге кайтуу: ката анын коопсуздук суроосуна/суроолоруна жоопторду оңой эле табууда болгон. Айрыкча, сиз абдан маанилүү коомдук ишмер болсоңуз, апаңыздын кыздык фамилиясы, билим таржымалы же кимдир бирөө мурда жашаган жери тууралуу маалымат жашыруун эмес. Чынында, анын көбү дээрлик ар бир адам таба алат. Бул Сара менен болгон окуя:
Хакер Дэвид Кернелл Пэйлиндин аккаунтуна анын орто мектеби жана туулган күнү сыяктуу маалыматын таап, андан кийин Yahoo!нун жоголгон аккаунтунун сырсөзүн калыбына келтирүү функциясын колдонуу менен кире алган.
Бул биринчи кезекте Yahoo тарабынан жасалган дизайн катасы! - Мындай жөнөкөй суроолорду көрсөтүү менен, компания жашыруун суроонун маанисин, демек, анын тутумунун корголушун бузуп салды. Албетте, электрондук почта каттоо эсебинде сырсөздөрдү калыбына келтирүү ар дайым татаалыраак, анткени ээсине электрондук кат жөнөтүү менен (экинчи дареги жок) анын ээлигин ырастай албайсыз, бирок бактыга жараша, бүгүнкү күндө мындай системаны колдонуу көп эмес.
Жашыруун суроолорго кайтуу - колдонуучуга өз суроолорун түзүүгө мүмкүнчүлүк берүү мүмкүнчүлүгү бар. Көйгөй, натыйжада абдан ачык суроолор пайда болот:
Асман кандай түстө?
Идентификациялоо үчүн коопсуздук суроосу колдонулганда адамдарды ыңгайсыз кылган суроолор эл (мисалы, чалуу борборунда):
Рождестводо ким менен жаттым?
Же ачыгын айтканда акылсыз суроолор:
"Сырсөз" кантип жазылат?
Коопсуздук суроолоруна келгенде, колдонуучулар өздөрүнөн куткарылышы керек! Башка сөз менен айтканда, жашыруун суроо сайттын өзү аныктоо керек, же андан да жакшысы, суроо серия колдонуучу тандай турган коопсуздук суроолору. Жана жөн эле тандабаңыз один; идеалында колдонуучу эки же андан көп коопсуздук суроолорун тандоо керек эсепти каттоо учурунда, андан кийин экинчи идентификация каналы катары колдонулат. Бир нече суроолордун болушу текшерүү процессине болгон ишенимди жогорулатат, ошондой эле кокустуктарды кошуу мүмкүнчүлүгүн берет (ар дайым эле бир эле суроону көрсөтпөйт), плюс чыныгы колдонуучу сырсөздү унутуп калган учурда бир аз ашыкчалыкты камсыз кылат.
Жакшы коопсуздук суроосу кандай болушу керек? Буга бир нече факторлор таасир этет:
- Ал болсо керек кыскача Суроо так жана ачык болушу керек.
- Жооп болушу керек конкреттүү — Бизге бир адам башкача жооп бере турган суроонун кереги жок
- Мүмкүн болгон жооптор болушу керек ар түрдүү Кимдир бирөөнүн сүйүктүү түсүн суроо мүмкүн болгон жооптордун өтө кичинекей бөлүгүн берет.
- Поиск жооп татаал болушу керек - жооп оңой табылса кандайдыр (жогорку кызматтарда отургандарды эстегиле), анда ал жаман
- Жооп болушу керек DC убакыттын өтүшү менен - кимдир бирөөнүн сүйүктүү тасмасын сурасаңыз, бир жылдан кийин жооп башкача болушу мүмкүн
Андайда, жакшы суроолорду берүүгө арналган веб-сайт бар . Кээ бир суроолор абдан жакшы көрүнөт, башкалары жогоруда сүрөттөлгөн кээ бир тесттерден өтпөй калышты, атап айтканда, "табууга оңой".
PayPal коопсуздук суроолорун кантип ишке ашырарын жана, атап айтканда, сайттын аутентификацияга жасаган аракетин көрсөтүп берейин. Жогоруда биз процессти баштоо үчүн баракты көрдүк (CAPTCHA менен), жана бул жерде сиз электрондук почта дарегиңизди киргизип, CAPTCHA чечкенден кийин эмне болорун көрсөтөбүз:
Натыйжада, колдонуучу төмөнкү катты алат:
Азырынча нормалдуу, бирок бул баштапкы абалга келтирилген URL'дин артында эмне турат:
Ошентип, жашыруун суроолор пайда болот. Чынында, PayPal да насыя картаңыздын номерин текшерүү аркылуу сырсөзүңүздү кайра коюуга мүмкүндүк берет, андыктан көптөгөн сайттар кире албаган кошумча канал бар. Жооп бербестен сырсөзүмдү өзгөртө албайм экөө тең жашыруун суроо (же картанын номерин билбегендиктен). Кимдир бирөө менин электрондук почтамды басып алса да, алар мен жөнүндө бир аз көбүрөөк жеке маалыматты билмейинче, PayPal аккаунтунун сырсөзүн баштапкы абалга келтире алышпайт. Кандай маалымат? Бул жерде PayPal сунуш кылган коопсуздук суроолорунун варианттары:
Мектептин жана оорукананын суроосу издөөнүн оңойлугу жагынан бир аз катаал болушу мүмкүн, бирок башкалары анчалык деле жаман эмес. Бирок, коопсуздукту жакшыртуу үчүн PayPal кошумча идентификацияны талап кылат өзгөрүүлөр коопсуздук суроолоруна жооптор:
PayPal - коопсуз сырсөздү баштапкы абалга келтирүүнүн эң сонун утопиялык мисалы: катаал чабуулдардын коркунучун азайтуу үчүн CAPTCHA колдонот, эки коопсуздук суроосун талап кылат, андан кийин жоопторду өзгөртүү үчүн такыр башка идентификациянын башка түрүн талап кылат — жана бул колдонуучудан кийин. мурунтан эле кирген. Албетте, бул бизде дал ушундай күтүлгөн PayPalдан болот; ири суммадагы акча менен иш алып барган каржы мекемеси. Бул ар бир сырсөздү баштапкы абалга келтирүү бул кадамдарды аткарышы керек дегенди билдирбейт - көпчүлүк учурда бул ашыкча болот - бирок бул коопсуздук олуттуу бизнес болгон учурлар үчүн жакшы үлгү.
Коопсуздук суроолорунун тутумунун ыңгайлуулугу, эгерде сиз аны дароо киргизбесеңиз, анда ресурстун коргоо деңгээли талап кылса, аны кийинчерээк кошсоңуз болот. Буга жакшы мисал - бул механизмди жакында эле ишке ашырган Apple. [2012-жылы жазылган макала]. Мен iPad'де тиркемени жаңылай баштагандан кийин, мен төмөнкү сурамды көрдүм:
Андан кийин мен бир нече жуп коопсуздук суроолорун жана жоопторун, ошондой эле куткаруучу электрондук почта дарегин тандап ала турган экранды көрдүм:
PayPalга келсек, суроолор алдын ала тандалган жана алардын айрымдары чындыгында абдан жакшы:
Үч жуп суроолордун жана жооптордун ар бири мүмкүн болгон суроолордун ар кандай топтомун билдирет, андыктан эсепти конфигурациялоонун көптөгөн жолдору бар.
Коопсуздук суроосуна жооп берүүдө эске алынуучу дагы бир аспект - сактоо. МБдагы жөнөкөй текст сырсөздөгүдөй эле коркунучтарды туудурат, тактап айтканда, маалымат базасын ачуу дароо маанини ачып, тиркемени гана эмес, ошол эле коопсуздук суроолорун колдонуу менен таптакыр башка тиркемелерди да тобокелге салат (бул дагы бир жолу ). Варианттардын бири - коопсуз хэшинг (күчтүү алгоритм жана криптографиялык кокус туз), бирок көпчүлүк сырсөздөрдү сактоо учурларынан айырмаланып, жооптун жөнөкөй текст катары пайда болушу үчүн жакшы себеп болушу мүмкүн. Типтүү сценарий түз телефон операторунун инсандыгын текшерүү. Албетте, бул учурда хэширлөө да колдонулат (оператор жөн гана кардар айткан жоопту киргизе алат), бирок эң начар учурда, жашыруун жооп симметриялуу шифрлөө болсо да, криптографиялык сактоонун кандайдыр бир деңгээлинде болушу керек. Жыйынтык чыгаруу: сырларга сырдай мамиле кыл!
Коопсуздук суроолорунун жана жоопторунун акыркы аспектиси - бул алар социалдык инженерияга көбүрөөк аялуу. Башка бирөөнүн аккаунтуна сырсөздү түздөн-түз чыгарууга аракет кылуу бир нерсе, бирок аны түзүү жөнүндө сүйлөшүүнү баштоо (популярдуу коопсуздук суроосу) такыр башка. Чындыгында, сиз кимдир бирөө менен анын жашоосунун көптөгөн аспектилери жөнүндө жакшы сүйлөшө аласыз, бул шектүү суроону жаратышы мүмкүн. Албетте, коопсуздук суроосунун түпкү мааниси – бул кимдир бирөөнүн турмуштук тажрыйбасына байланыштуу, андыктан ал эсте каларлык, маселе мына ушунда – адамдар өздөрүнүн турмуштук тажрыйбасы жөнүндө сүйлөшкөндү жакшы көрүшөт! Коопсуздук суроосунун параметрлерин тандамайынча, бул тууралуу көп нерсе кыла албайсыз азыраак коомдук инженерия тарабынан алынып салынышы мүмкүн.
[Уландысы бар.]жарнама катары
VDSina ишенимдүү сунуш кылат , ар бир сервер 500 мегабиттик интернет каналына туташтырылган жана DDoS чабуулдарынан акысыз корголгон!
Source: www.habr.com