Эки фактордук аутентификация
Сиз окугандын баары ошонун негизинде аныктоого тийиш сурануучу билет. Ал өзүнүн электрондук почта дарегин билет, ага кантип кирүүнү билет (б.а. электрондук почтанын сырсөзүн билет) жана коопсуздук суроолоруна жоопторду билет.
"Билим" аутентификация факторунун бири болуп эсептелет; эки башка жалпы факторлор болуп саналат сенде эмне бар, мисалы, физикалык түзүлүш жана сен кимсиң, мисалы, манжа издери же торчо.
Көпчүлүк учурларда, биологиялык идентификацияны жүргүзүү мүмкүн эмес, айрыкча веб-тиркемелердин коопсуздугу жөнүндө сөз болгондо, эки фактордук аутентификация (2FA) адатта экинчи атрибутун - "сенде эмнени" колдонот. Бул экинчи фактордун бир популярдуу вариациясы физикалык белги, мис. :
Физикалык токен көбүнчө корпоративдик VPN жана финансылык кызматтарда аутентификация үчүн колдонулат. Кызмат менен аныктыгын текшерүү үчүн сиз PIN код менен бирге паролду да, токендеги кодду да (ал тез-тез өзгөрүп турат) колдонушуңуз керек. Теориялык жактан алганда, идентификациялоо үчүн чабуулчу сырсөздү билиши, токенге ээ болушу, ошондой эле токендин PIN кодун билиши керек. Сырсөздү баштапкы абалга келтирүү сценарийинде, сырсөздүн өзү белгисиз, бирок токенге ээлик кылуу эсепке ээлик кылууну далилдөө үчүн колдонулушу мүмкүн. Албетте, бардык коопсуздукту ишке ашыруу сыяктуу эле, , бирок, албетте, кирүү үчүн тоскоолдуктарды жогорулатат.
Бул ыкма менен негизги көйгөйлөрдүн бири ишке ашыруу наркы жана материалдык-техникалык жактан камсыз кылуу болуп саналат; биз ар бир кардарга физикалык түзүлүштөрдү өткөрүп берүү жана аларга жаңы процессти үйрөтүү жөнүндө айтып жатабыз. Мындан тышкары, колдонуучулар физикалык белги менен дайыма эле боло бербейт, алар менен аппарат болушу керек. Дагы бир вариант – SMS аркылуу аутентификациянын экинчи факторун ишке ашыруу, ал 2FA шартында баштапкы абалга келтирүү процессин аткарып жаткан адамда эсеп ээсинин уюлдук телефону бар экендигин тастыктоо катары кызмат кыла алат. Google муну кантип жасайт:
Сиз да иштетишиңиз керек , бирок бул кийинки жолу сырсөзүңүздү кайра койгонуңузда уюлдук телефонуңуз экинчи аутентификация фактору болуп калышы мүмкүн дегенди билдирет. Муну жакында айкын боло турган себептерден улам iPhone аркылуу көрсөтүп берейин:
Каттоо эсебинин электрондук почта дарегин аныктагандан кийин, Google 2FA иштетилгенин аныктайт жана биз каттоо эсебинин ээсинин уюлдук телефонуна SMS аркылуу жөнөтүлгөн текшерүү аркылуу каттоо эсебин баштапкы абалга келтире алабыз:
Эми биз баштапкы абалга келтирүү процессин баштоону тандашыбыз керек:
Бул аракет катталган дарекке электрондук кат жөнөтүлөт:
Бул электрондук почта баштапкы абалга келтирилген URL'ди камтыйт:
Сиз баштапкы абалга келтирилген URL дарегине киргенде, SMS жөнөтүлөт жана веб-сайт аны киргизүүнү суранат:
Бул SMS:
Аны браузерге киргизгенден кийин, биз классикалык сырсөздү баштапкы абалга келтирүү аймагына кайтып келдик:
Бул, балким, бир аз узакка созулгандай сезилет жана ошондой, бирок форма баштапкы абалга келтирген адам каттоо эсебинин ээсинин электрондук почта дарегине жана уюлдук телефонуна кирүү мүмкүнчүлүгү бар экенин тастыктайт. Бирок бул сиздин паролуңузду электрондук почта аркылуу кайра коюудан тогуз эсе коопсуз болушу мүмкүн. Бирок, көйгөйлөр бар ...
Көйгөй смартфондорго байланыштуу. Төмөндө көрсөтүлгөн түзмөк аутентификациянын бир фактору менен гана аутентификациялай алат - ал SMS ала алат, бирок электрондук почта эмес:
Бирок, бул аппарат SMS кабыл алат и сырсөздү калыбына келтирүү электрондук каттарын алуу:
Көйгөй, биз электрондук почтаны аутентификациянын биринчи фактору, ал эми SMS (ал тургай, токендерди жаратуучу колдонмо) экинчиси катары карайбыз, бирок бүгүнкү күндө алар бир түзүлүшкө бириктирилген. Албетте, бул кимдир бирөө смартфонуңуздун колуна тийсе, бул ыңгайлуулуктун баары биз кайра бир каналга кайтып келгенибизге чейин кыскарат дегенди билдирет; бул экинчи фактор "бул, сизде бар" деген биринчи фактор сизде да бар экенин билдирет. Мунун баары төрт орундуу бир PIN код менен корголот... эгер телефондо да PIN болсо и ал бөгөттөлгөн.
Ооба, Google тарабынан ишке ашырылган 2FA өзгөчөлүгү, албетте, кошумча коргоону камсыз кылат, бирок ал эч кандай кынтыксыз эмес жана бул, албетте, эки толугу менен автономдуу каналдардан көз каранды эмес.
Колдонуучунун аты менен баштапкы абалга келтирүү жана электрондук почта дареги боюнча баштапкы абалга келтирүү
Мен электрондук почта дареги боюнча гана баштапкы абалга келтирүүгө уруксат беришим керекпи? Же колдонуучу аты менен да баштапкы абалга келтире алышы керекпи? Колдонуучунун аты боюнча баштапкы абалга келтирүү көйгөйү колдонуучуга колдонуучу аты туура эмес экендигин билдирүүнүн жолу жок. ачыкка чыгарбастан башка бирөөнүн бул ат менен аккаунту болушу мүмкүн. Мурунку бөлүмдө, электрондук почтаны баштапкы абалга келтирүү, ал электрондук почтанын мыйзамдуу ээси анын системада бар экенин ачык билдирбестен, ар дайым пикир алышуусун камсыздаган. Бул жөн гана колдонуучунун атын колдонуу мүмкүн эмес.
Ошентип, жооп кыска: электрондук почта гана. Эгер сиз колдонуучунун атын гана колдонуу менен баштапкы абалга келтирүүгө аракет кылсаңыз, анда колдонуучу эмне болгонун таң калтырган учурлар болот, же сиз эсептердин бар экендигин ачып бересиз. Ооба, бул жөн гана колдонуучунун аты, электрондук почтанын дареги эмес, ооба, ар ким каалаган (жеткиликтүү) колдонуучу атын тандай алат, бирок колдонуучулардын атын кайра колдонуу тенденциясына байланыштуу аккаунттун ээлерин кыйыр түрдө ачып берүү мүмкүнчүлүгүңүз дагы эле бар.
Демек, кимдир бирөө өзүнүн колдонуучу атын унутуп калганда эмне болот? Колдонуучунун аты дароо эле электрондук почта дареги эмес деп ойлосок (бул көбүнчө ушундай болот), процесс сырсөздү калыбына келтирүүнүн башталышына окшош - электрондук почта дарегин киргизүү жана андан кийин анын бар экенин көрсөтпөстөн ошол дарекке билдирүү жөнөтүү. Бир гана айырмасы, бул жолку билдирүүдө паролду калыбына келтирүү URL дареги эмес, колдонуучу аты гана камтылган. Же бул, же электрондук почта бул дарек үчүн эсеп жок деп айтылат.
Инсандыгын текшерүү жана электрондук почта дарегинин тактыгы
Сырсөздү баштапкы абалга келтирүүнүн негизги аспектиси, ал тургай эң көп негизги аспект баштапкы абалга келтирүүгө аракет кылган адамдын инсандыгын текшерүү болуп саналат. Бул чындыгында аккаунттун мыйзамдуу ээсиби же кимдир бирөө аны бузуп же ээсине ыңгайсыздык жаратууга аракет кылып жатабы?
Албетте, электрондук почта инсандыгын текшерүү үчүн эң ыңгайлуу жана эң кеңири таралган канал. Бул кынтыксыз эмес жана идентификацияга жогорку ишеним талап кылынса, каттоо эсебинин ээсинин дарегине электрондук каттарды алуу жетишсиз болгон учурлар көп болот (ошондуктан 2FA колдонулат), бирок бул дээрлик дайыма баштапкы абалга келтирүү процесси.
Эгер электрондук почта кепилдигинин ролун ойной турган болсо, биринчи кадам - бул электрондук почтанын дареги чындыгында туура экендигин камсыз кылуу. Эгер кимдир бирөө туура эмес символду жасаса, анда баштапкы абалга келтирүү башталбайт. Каттоо учурунда электрондук почтаны текшерүү процесси даректин тууралыгын текшерүүнүн ишенимдүү жолу болуп саналат. Биз муну баарыбыз иш жүзүндө көрдүк: сиз катталасыз, алар сизге сиз басканда уникалдуу URL менен электрондук кат жөнөтүшөт, бул сиз чындыгында ошол электрондук почта эсебинин ээси экениңизди тастыктайт. Бул процесс аяктаганга чейин кире албасаңыз, дарегиңизди текшерүүгө түрткү аласыз.
Коопсуздуктун башка көптөгөн аспектилери сыяктуу эле, бул модель колдонуучунун иденттүүлүгүнө болгон ишенимге салыштырмалуу коопсуздукту жогорулатуунун ордуна колдонууга ыңгайлуулукту буздурат. Бул колдонуучу каттоону жогору баалаган сайт үчүн алгылыктуу болушу мүмкүн жана процесске дагы бир кадамды кошо турган (акы төлөнүүчү кызматтар, банктык иш ж. ” жана , мисалы, жөн гана постко комментарий берүү каражаты катары колдонот.
Калыбына келтирүү процессин ким баштаганын аныктоо
Албетте, баштапкы абалга келтирүү функциясын зыяндуу колдонуунун себептери бар жана чабуулчулар аны ар кандай жолдор менен колдоно алышат. Сурамдын келип чыгышын текшерүүгө жардам берүү үчүн колдоно турган бир жөнөкөй ыкма (бул куулук адатта, иштейт) - бул суроочунун IP дарегин баштапкы абалга келтирүүнү сунуштаган катка кошулат. Ал алуучуну камсыз кылат кээ бир суроо-талаптын булагын аныктоо үчүн маалымат.
Бул жерде мен учурда ASafaWebге куруп жаткан баштапкы абалга келтирүү функциясынын мисалы:
"Көбүрөөк билүү" шилтемеси колдонуучуну сайтка алып барат , баштапкы абалга келтирүү өтүнүчүнүн жайгашкан жери жана уюму сыяктуу отчеттук маалымат:
Албетте, кимде ким өзүнүн инсандыгын жашыргысы келсе, анын чыныгы IP дарегин бүдөмүк кылуунун көптөгөн жолдору бар, бирок бул суроочунун жарым-жартылай идентификациясын кошуунун ыңгайлуу жолу жана көпчүлүк учурларда, бул сизге сырсөздү баштапкы абалга келтирүү өтүнүчүн ким аткарары жөнүндө жакшы түшүнүк берет.
Электрондук почта аркылуу өзгөртүүлөр жөнүндө билдирүү
Бул пост бир тема менен сугарылган - байланыш; Процесстин ар бир этабында эмне болуп жатканын мүмкүн болушунча каттоо эсебинин ээсине айтыңыз, зыяндуу колдонулушу мүмкүн болгон эч нерсени ачыкка чыгарбай. Ошол эле сырсөз чындыгында өзгөргөн кырдаалга да тиешелүү - муну ээсине билдир!
Сырсөздү өзгөртүүнүн эки себеби болушу мүмкүн:
- Киргенден кийин сырсөздү өзгөртүү, анткени колдонуучу жаңы сырсөздү каалайт
- Колдонуучу аны унутуп калгандыктан, кирбей туруп сырсөздү кайра коюу
Бул пост биринчи кезекте баштапкы абалга келтирүү жөнүндө болсо да, биринчисин билдирүү кимдир бирөөнүн сырсөздү мыйзамдуу ээси билбестен өзгөртүү коркунучун азайтат. Бул кантип болушу мүмкүн? Абдан кеңири таралган сценарий – бул мыйзамдуу ээсинин сырсөзүн алуу (башка булактан агып кеткен кайра колдонулган сырсөз, ачкычта жазылган сырсөз, оңой табыла турган сырсөз ж.б.) жана андан кийин чабуулчу аны өзгөртүүнү чечет, ошентип ээсин кулпулап салат. . Электрондук почта билдирүүсү болбосо, чыныгы ээси сырсөздү өзгөртүү жөнүндө билбей калат.
Албетте, сырсөздү баштапкы абалга келтирүү учурунда, ээси процессти өзү баштамак (же жогоруда сүрөттөлгөн идентификациялык текшерүүчүлөрдү айланып өтүү), ошондуктан өзгөртүү керек эмес, ал үчүн күтүүсүз болушу мүмкүн, бирок электрондук почта ырастоо оң пикир жана кошумча текшерүү болот. Ал ошондой эле жогорудагы сценарийге шайкеш келет.
Ох, эгер ал ачык-айкын эмес болсо - Жаңы сырсөздү почта аркылуу жөнөтпөңүз! Бул кээ бир адамдарды күлдүрүшү мүмкүн, бирок :
Журналдар, журналдар, журналдар жана башка журналдар
Сырсөздү калыбына келтирүү функциясы чабуулчулар үчүн жагымдуу: чабуулчу же башка адамдын аккаунтуна кирүүнү каалайт, же жөн гана эсептин/системанын ээсине ыңгайсыздык жаратат. Жогоруда сүрөттөлгөн практикалардын көбү кыянаттык кылуу ыктымалдыгын азайтат, бирок анын алдын албайт жана алар адамдардын өзгөчөлүктү күтүүсүз жолдор менен колдонууга аракет кылуусуна тоскоол боло албайт.
Зыяндуу жүрүм-турумду таануу үчүн, журналды жазуу - бул абдан баалуу практика жана мен айтайын абдан деталдуу каттоо. Ийгиликсиз кирүү аракеттерин, сырсөздү баштапкы абалга келтирүүнү, сырсөздү өзгөртүүнү (мисалы, колдонуучу мурунтан эле киргенде) жана эмне болуп жатканын түшүнүүгө жардам бере турган дээрлик бардык нерселерди жазыңыз; бул келечекте абдан пайдалуу болот. Жекече катталыңыз бөлүктөр процесси, мисалы, жакшы баштапкы абалга келтирүү функциясы веб-сайт аркылуу баштапкы абалга келтирүүнү баштоону камтышы керек (калыбына келтирүү өтүнүчүн жана туура эмес колдонуучунун аты же электрондук почта менен кирүү аракеттерин тартуу), баштапкы абалга келтирүү URL дарегине веб-сайтка кирүүнү тартуу (анын ичинде туура эмес белгини колдонуу аракеттери), анан коопсуздук суроосуна жооптун ийгилиги же ийгиликсиздигин журналга жазыңыз.
Мен журналга жазуу жөнүндө сөз кылганда, мен бир беттин жүктөлгөндүгүн жазууну гана эмес, ошондой эле мүмкүн болушунча көбүрөөк маалыматты чогултууну, эгерде ал жашыруун болбосо. Жигиттер, сураныч журналдарга сырсөздөрдү жазбаңыз! Журналдар ыйгарым укуктуу колдонуучунун инсандыгын жазышы керек (эгерде ал ыйгарым укуктуу болот өзгөрүүлөр учурдагы сырсөз же баштапкы абалга келтирүүгө аракет кылуу башка бирөөнүн сырсөзү киргенден кийин), ал аракет кылган бардык колдонуучу аттары же электрондук почта даректери, ошондой эле ал аракет кылган бардык баштапкы абалга келтирүү белгилери. Бирок IP даректери жана мүмкүн болсо, атүгүл баш аттарды суроо сыяктуу нерселерди каттоого да арзырлык. Бул гана эмес, кайра жаратууга мүмкүндүк берет ошол колдонуучу (же чабуулчу) аракет кылып жатат, бирок ошондой эле ким ал ушундай а.
Башка аткаруучуларга жоопкерчиликти өткөрүп берүү
Эгер мунун баары чоң жумуш деп ойлосоңуз, сиз жалгыз эмессиз. Чындыгында эсепти башкаруунун ишенимдүү системасын түзүү оңой иш эмес. Бул техникалык жактан кыйын эмес, жөн гана көптөгөн өзгөчөлүктөргө ээ. Бул жөн гана баштапкы абалга келтирүү жөнүндө эмес, бул жерде бүтүндөй каттоо процесси, сырсөздөрдү коопсуз сактоо, бир нече жолу ишке ашпай калган кирүү аракеттерин чечүү ж.б.у.с. Бирок , мындан тышкары дагы көп нерселерди жасоо керек.
Бүгүнкү күндө көптөгөн үчүнчү тараптын провайдерлери бардык ооруну өз мойнуна алып, алардын баарын бир башкарылган кызматка абстракциялоого кубанычта. Мындай кызматтарга OpenID, OAuth жана ал тургай Facebook кирет. Айрым адамдар (OpenID чындыгында Stack Overflow боюнча абдан ийгиликтүү болду), бирок башкалар .
OpenID сыяктуу кызмат иштеп чыгуучулар үчүн көптөгөн көйгөйлөрдү чечээри шексиз, бирок ал жаңыларды да кошот. Алардын кандайдыр бир ролу барбы? Ооба, бирок биз аутентификация кызматын көрсөтүүчүлөрдүн массалык түрдө кабыл алынышын көрүп жаткан жокпуз. Банктар, авиакомпаниялар, жада калса дүкөндөр өздөрүнүн аутентификация механизмдерин ишке ашырышат жана бул үчүн абдан жакшы себептер бар.
Зыяндуу баштапкы абалга келтирүү
Жогорудагы мисалдардын ар бир маанилүү аспектиси эски сырсөз гана пайдасыз деп эсептелет эсеп ээсинин инсандыгын ырастагандан кийин. Бул маанилүү, анткени каттоо эсебин баштапкы абалга келтирсе болот үчүн идентификацияны текшерүү, бул ар кандай зыяндуу аракеттерге мүмкүнчүлүк берет.
Бул жерде бир мисал: кимдир бирөө аукцион сайтында тоорук берип жатат жана тоорук процессинин аягына жакын калганда алар баштапкы абалга келтирүү процессин баштоо менен атаандаштарды бөгөттөп, аларды тооруктан четтетишет. Албетте, начар иштелип чыккан баштапкы абалга келтирүү функциясы туура эмес колдонулса, бул олуттуу терс натыйжаларга алып келиши мүмкүн. Белгилей кетчү нерсе, жараксыз кирүү аракеттеринен улам каттоо эсебинин кулпуланышы да ушундай эле жагдай, бирок бул башка пост үчүн тема.
Мен жогоруда айткандай, анонимдүү колдонуучуларга жөн гана алардын электрондук почта дарегин билүү менен кандайдыр бир аккаунттун сырсөзүн калыбына келтирүүгө мүмкүнчүлүк берсең, анда бул кызматка кол салуудан баш тартуу үчүн бышып жетилген жагдай. Бул бир эмес болушу мүмкүн , бул жөнүндө биз мурда айтып жүргөнбүз, бирок аккаунтка кирүү мүмкүнчүлүгүн бөгөттөөнүн начар иштелип чыккан сырсөздү баштапкы абалга келтирүү функциясын колдонуудан ылдамыраак жолу жок.
Эң алсыз звено
Жалгыз эсепти коргоо көз карашынан алганда, жогоруда жазылгандардын баары сонун, бирок сиз коргоп жаткан эсептин айланасындагы экосистеманы ар дайым билишиңиз керек. Мен сизге бир мисал келтирейин:
ASafaWeb AppHarbor тарабынан сунушталган укмуштуудай кызматта жайгаштырылган. Хостинг эсебин баштапкы абалга келтирүү процесси төмөнкүдөй болот:
1-этап:
2-этап:
3-этап:
4-этап:
Мурунку маалыматтардын баарын окугандан кийин, идеалдуу дүйнөдө кайсы аспектилерди бир аз башкачараак ишке ашырарыбызды түшүнүү оңой. Бирок, мен бул жерде айтып жаткан нерсе, мен AppHarbor сайтында ASafaWeb сыяктуу сайтты жарыялап, андан кийин чоң коопсуздук суроолору жана жооптору менен келсем, экинчи аутентификация факторун кошуп, калганын эрежелерге ылайык жасасам, анда бул өзгөрбөйт. бүтүндөй процесстин эң начар звеносу мунун баарын бузууга жөндөмдүү болот. Эгер кимдир бирөө менин маалыматымды колдонуу менен AppHarbor'да ийгиликтүү аутентификациядан өтсө, алар каалаган ASafaWeb аккаунтунун сырсөзүн керектүүгө алмаштыра алышат!
Кеп коопсуздукту ишке ашыруунун күчүн комплекстүү түрдө кароо керек экендигинде: системадагы ар бир кирүү чекитинин коркунучу, AppHarbor системасына кирүү сыяктуу үстүртөн процесс болсо да, моделдөө керек. Бул мага ASafaWeb сырсөзүн баштапкы абалга келтирүү процессине канчалык күч-аракет жумшашымды жакшы түшүнүшүм керек.
Баарын чогултуу
Бул постто көп маалымат камтылган, ошондуктан мен аны жөнөкөй визуалдык контурга кыскарткым келет:
Бул нерселердин ар бири үчүн мүмкүн болушунча майда-чүйдөсүнө чейин каттоону унутпаңыз. Болду, бул жөнөкөй!
натыйжалары
Менин постум ар тараптуу окшойт, бирок мен дагы көптөгөн кошумча материалдар бар алат камтыган, бирок кыска болуу үчүн чечкен жок: куткаруучу электрондук почта дарегинин ролу, аккаунтуңузга байланыштуу электрондук почтага кирүү мүмкүнчүлүгүн жоготкон жагдай (мисалы, сиз жумушуңуздан кеткенсиз) жана башкалар. Жогоруда айткандай, баштапкы абалга келтирүү функциясы анчалык деле татаал эмес, бирок аны карап чыгуунун көптөгөн жолдору бар.
Калыбына келтирүү анчалык деле татаал болбосо да, ал көп учурда туура эмес ишке ашырылат. Жогоруда биз ишке ашырууда бир нече мисалдарды көрдүк алат көйгөйлөргө алып келет жана туура эмес баштапкы абалга келтирилген дагы көптөгөн прецеденттер бар чындыгында көйгөйлөрдү жаратты. Жакында эле ушундай болуп чыкты . Бул олуттуу терс натыйжа болуп саналат!
Ошентип, баштапкы абалга келтирүү функцияларыңыздан этият болуңуз, ар кандай пункттарда жана функцияны иштеп жатканда, кара шляпаңызды чечпеңиз, анткени аны башка бирөө кийиши мүмкүн!
жарнама катары
VDSina арзан сунуш кылат күнүмдүк төлөм менен ар бир сервер 500 мегабиттик интернет каналына туташып, DDoS чабуулдарынан акысыз корголот!
Source: www.habr.com