Man nesen bija laiks vÄlreiz padomÄt par to, kÄ vajadzÄtu darboties droÅ”ai paroles atiestatÄ«Å”anas funkcijai, vispirms, kad es veidoju Å”o funkcionalitÄti
Redziet, aizmirsto paroļu pasaule patiesÄ«bÄ ir diezgan noslÄpumaina. Ir daudz dažÄdu, pilnÄ«gi pieÅemamu viedokļu un daudzi diezgan bÄ«stami. IespÄjams, ar katru no tiem esat saskÄries daudzas reizes kÄ galalietotÄjs; tÄpÄc es mÄÄ£inÄÅ”u izmantot Å”os piemÄrus, lai parÄdÄ«tu, kurÅ” to dara pareizi, kurÅ” ne, un uz ko jums ir jÄkoncentrÄjas, lai Ŕī funkcija bÅ«tu piemÄrota jÅ«su lietotnÄ.
Paroles glabÄÅ”ana: jaukÅ”ana, Å”ifrÄÅ”ana un vienkÄrÅ”ais teksts
MÄs nevaram apspriest, ko darÄ«t ar aizmirstÄm parolÄm, pirms nav apspriests, kÄ tÄs saglabÄt. Paroles datu bÄzÄ tiek glabÄtas vienÄ no trim galvenajiem veidiem:
- VienkÄrÅ”s teksts. Ir paroles kolonna, kas tiek saglabÄta vienkÄrÅ”a teksta formÄ.
- Å ifrÄts. Parasti tiek izmantota simetriskÄ Å”ifrÄÅ”ana (viena atslÄga tiek izmantota gan Å”ifrÄÅ”anai, gan atÅ”ifrÄÅ”anai), un Å”ifrÄtÄs paroles arÄ« tiek glabÄtas tajÄ paÅ”Ä kolonnÄ.
- Jaukts. Vienvirziena process (paroli var jaukt, bet nevar atjaukt); parole, GribÄtos cerÄt, kam seko sÄls, un katrs atrodas savÄ kolonnÄ.
TÅ«lÄ«t pÄriesim pie vienkÄrÅ”ÄkÄ jautÄjuma: Nekad neuzglabÄjiet paroles vienkÄrÅ”Ä tekstÄ! Nekad. Viena ievainojamÄ«ba pret
Å ifrÄÅ”ana ir labÄka, taÄu tai ir trÅ«kumi. Å ifrÄÅ”anas problÄma ir atÅ”ifrÄÅ”ana; mÄs varam paÅemt Å”os trakÄ izskata Å”ifrus un pÄrvÄrst tos atpakaļ par vienkÄrÅ”u tekstu, un, kad tas notiek, mÄs atgriezÄ«simies pie cilvÄkiem lasÄmas paroles situÄcijas. KÄ tas notiek? KodÄ, kas atÅ”ifrÄ paroli, padarot to publiski pieejamu, ir neliela nepilnÄ«ba - tas ir viens no veidiem. Hakeri iegÅ«st piekļuvi maŔīnai, kurÄ tiek glabÄti Å”ifrÄti dati - Ŕī ir otrÄ metode. VÄl viens veids ir nozagt datu bÄzes dublÄjumu, un kÄds arÄ« iegÅ«st Å”ifrÄÅ”anas atslÄgu, kas bieži vien tiek glabÄta ļoti nedroÅ”i.
Un tas mÅ«s noved pie jaukÅ”anas. JaukÅ”anas ideja ir tÄda, ka tÄ ir vienvirziena; vienÄ«gais veids, kÄ salÄ«dzinÄt lietotÄja ievadÄ«to paroli ar tÄs jaukto versiju, ir jaukt ievadi un salÄ«dzinÄt tÄs. Lai novÄrstu uzbrukumus no tÄdiem rÄ«kiem kÄ varavÄ«ksnes tabulas, procesu veicam nejauÅ”i (lasiet manu
ÄŖss arguments par jaukÅ”anu un Å”ifrÄÅ”anu: vienÄ«gais iemesls, kÄpÄc parole ir jÄÅ”ifrÄ, nevis jÄjauc, ir tad, kad parole ir jÄredz vienkÄrÅ”Ä tekstÄ un jums nekad nevajadzÄtu to vÄlÄties, vismaz standarta vietnes situÄcijÄ. Ja jums tas ir nepiecieÅ”ams, visticamÄk, jÅ«s darÄt kaut ko nepareizi!
Uzmanību!
ZemÄk ziÅas tekstÄ ir daļa no pornogrÄfiskÄs vietnes AlotPorn ekrÄnuzÅÄmuma. Tas ir glÄ«ti apgriezts, tÄpÄc pludmalÄ nav nekÄ tÄda, ko nevarÄtu redzÄt, taÄu, ja tas joprojÄm varÄtu radÄ«t problÄmas, neritiniet uz leju.
VienmÄr atiestatiet savu paroli nekad neatgÄdini viÅam
Vai jums kÄdreiz ir lÅ«gts izveidot funkciju atgÄdinÄjumus parole? AtkÄpieties un padomÄjiet par Å”o pieprasÄ«jumu otrÄdi: kÄpÄc Å”is āatgÄdinÄjumsā ir vajadzÄ«gs? TÄ kÄ lietotÄjs aizmirsa paroli. Ko mÄs Ä«sti vÄlamies darÄ«t? PalÄ«dziet viÅam vÄlreiz pieteikties.
Es saprotu, ka vÄrds "atgÄdinÄjums" tiek lietots (bieži) sarunvalodÄ, bet tas, ko mÄs patieÅ”Äm cenÅ”amies darÄ«t, ir droÅ”i palÄ«dziet lietotÄjam atkal bÅ«t tieÅ”saistÄ. TÄ kÄ mums ir nepiecieÅ”ama droŔība, ir divi iemesli, kÄpÄc atgÄdinÄjums (t.i., paroles nosÅ«tÄ«Å”ana lietotÄjam) nav piemÄrots:
- E-pasts ir nedroÅ”s kanÄls. TÄpat kÄ mÄs nesÅ«tÄ«tu neko sensitÄ«vu, izmantojot HTTP (mÄs izmantotu HTTPS), mums nevajadzÄtu sÅ«tÄ«t neko sensitÄ«vu pa e-pastu, jo tÄ transporta slÄnis ir nedroÅ”s. Faktiski tas ir daudz sliktÄk nekÄ vienkÄrÅ”i informÄcijas sÅ«tÄ«Å”ana, izmantojot nedroÅ”u transporta protokolu, jo pasts bieži tiek glabÄts atmiÅas ierÄ«cÄ, kas ir pieejams sistÄmas administratoriem, tiek pÄrsÅ«tÄ«ts un izplatÄ«ts, pieejams ļaunprÄtÄ«gai programmatÅ«rai utt. NeÅ”ifrÄts e-pasts ir ÄrkÄrtÄ«gi nedroÅ”s kanÄls.
- Jums jebkurÄ gadÄ«jumÄ nevajadzÄtu piekļūt parolei. AtkÄrtoti izlasiet iepriekÅ”Äjo sadaļu par glabÄÅ”anu ā jums ir jÄbÅ«t paroles jauktam (ar labu stipru sÄli), kas nozÄ«mÄ, ka jums nevajadzÄtu nekÄdÄ veidÄ iegÅ«t paroli un nosÅ«tÄ«t to pa pastu.
Ä»aujiet man parÄdÄ«t problÄmu ar piemÄru
AcÄ«mredzot pirmÄ problÄma ir tÄ, ka pieteikÅ”anÄs lapa netiek ielÄdÄta, izmantojot HTTPS, bet vietne arÄ« aicina nosÅ«tÄ«t paroli (āSÅ«tÄ«t paroliā). Å is var bÅ«t piemÄrs iepriekÅ” minÄtÄ termina lietojumam sarunvalodÄ, tÄpÄc spersim soli tÄlÄk un redzÄsim, kas notiek:
DiemžÄl tas neizskatÄs daudz labÄk; un e-pasts apstiprina, ka pastÄv problÄma:
Tas mums parÄda divus svarÄ«gus usoutdoor.com aspektus:
- Vietne nejauc paroles. LabÄkajÄ gadÄ«jumÄ tie ir Å”ifrÄti, taÄu, visticamÄk, tie tiek glabÄti vienkÄrÅ”Ä tekstÄ; MÄs neredzam pierÄdÄ«jumus par pretÄjo.
- Vietne nosÅ«ta ilgtermiÅa paroli (mÄs varam atgriezties un izmantot to atkal un atkal) pa neaizsargÄtu kanÄlu.
Ja tas nav izdarÄ«ts, mums ir jÄpÄrbauda, āāāāvai atiestatÄ«Å”anas process tiek veikts droÅ”Ä veidÄ. Pirmais solis, lai to izdarÄ«tu, ir pÄrliecinÄties, vai pieprasÄ«tÄjam ir tiesÄ«bas veikt atiestatÄ«Å”anu. Citiem vÄrdiem sakot, pirms tam mums ir jÄveic identitÄtes pÄrbaude; apskatÄ«sim, kas notiek, ja identitÄte tiek pÄrbaudÄ«ta, vispirms nepÄrbaudot, vai pieprasÄ«tÄjs patieÅ”Äm ir konta Ä«paÅ”nieks.
LietotÄjvÄrdu saraksts un tÄ ietekme uz anonimitÄti
Å o problÄmu vislabÄk ilustrÄ vizuÄli. ProblÄma:
Vai tu redzi? PievÄrsiet uzmanÄ«bu ziÅojumam "Ar Å”o e-pasta adresi nav reÄ£istrÄts neviens lietotÄjs." ProblÄma acÄ«mredzami rodas, ja Å”Äda vietne apstiprina pieejamÄ«ba lietotÄjs ir reÄ£istrÄts ar Å”Ädu e-pasta adresi. Bingo - jÅ«s tikko atklÄjÄt sava vÄ«ra/priekÅ”nieka/kaimiÅa porno fetiÅ”u!
Protams, pornogrÄfija ir diezgan ikonisks piemÄrs privÄtuma nozÄ«mei, taÄu briesmas, kas saistÄ«tas ar personas saistÄ«Å”anu ar noteiktu vietni, ir daudz plaÅ”Äkas nekÄ iepriekÅ” aprakstÄ«tÄ potenciÄli neveiklÄ situÄcija. Viena no briesmÄm ir sociÄlÄ inženierija; Ja uzbrucÄjs var saskaÅot personu ar pakalpojumu, tad viÅam bÅ«s informÄcija, kuru viÅÅ” var sÄkt izmantot. PiemÄram, viÅÅ” var sazinÄties ar personu, kas uzdodas par vietnes pÄrstÄvi, un pieprasÄ«t papildu informÄciju, mÄÄ£inot izdarÄ«t
Å Äda prakse rada arÄ« ālietotÄjvÄrdu uzskaitÄ«Å”anasā risku, ar kuru var pÄrbaudÄ«t visas lietotÄjvÄrdu vai e-pasta adreÅ”u kolekcijas esamÄ«bu vietnÄ, vienkÄrÅ”i veicot grupu vaicÄjumus un pÄrbaudot atbildes uz tiem. Vai jums ir visu darbinieku e-pasta adreÅ”u saraksts un dažas minÅ«tes laika, lai uzrakstÄ«tu skriptu? Tad redzÄsi, kas par problÄmu!
KÄda ir alternatÄ«va? Faktiski tas ir diezgan vienkÄrÅ”i un ir lieliski ieviests
Å eit Entropay neatklÄj pilnÄ«gi neko par e-pasta adreses esamÄ«bu savÄ sistÄmÄ kÄdam, kam Ŕī adrese nepieder... Ja jÅ«s paÅ”u Ŕī adrese un tÄ neeksistÄ sistÄmÄ, tad jÅ«s saÅemsit Å”Ädu e-pastu:
Protams, var bÅ«t pieÅemamas situÄcijas, kurÄs kÄds domÄka esat reÄ£istrÄjies vietnÄ. bet tas tÄ nav, vai arÄ« es to izdarÄ«ju no citas e-pasta adreses. IepriekÅ” redzamais piemÄrs labi risina abas situÄcijas. AcÄ«mredzot, ja adrese sakrÄ«t, jÅ«s saÅemsit e-pasta ziÅojumu, kas atvieglos paroles atiestatÄ«Å”anu.
Entropay izvÄlÄtÄ risinÄjuma smalkums ir tÄds, ka identifikÄcijas pÄrbaude tiek veikta saskaÅÄ ar e-pasts pirms jebkÄdas tieÅ”saistes verifikÄcijas. Dažas vietnes pieprasa lietotÄjiem atbildi uz droŔības jautÄjumu (vairÄk par to tÄlÄk). lÄ«dz kÄ var sÄkties atiestatÄ«Å”ana; tomÄr problÄma ir tÄda, ka jums ir jÄatbild uz jautÄjumu, vienlaikus sniedzot zinÄmu identifikÄcijas veidu (e-pastu vai lietotÄjvÄrdu), kas pÄc tam padara gandrÄ«z neiespÄjamu intuitÄ«vu atbildi, neatklÄjot anonÄ«ma lietotÄja konta esamÄ«bu.
Ar Å”o pieeju ir mazs samazinÄta lietojamÄ«ba, jo, mÄÄ£inot atiestatÄ«t neesoÅ”u kontu, nav tÅ«lÄ«tÄjas atsauksmes. Protams, tÄ ir visa e-pasta sÅ«tÄ«Å”anas bÅ«tÄ«ba, taÄu no reÄla galalietotÄja viedokļa, ja viÅi ievadÄ«s nepareizu adresi, viÅi pirmo reizi to uzzinÄs tikai tad, kad saÅems e-pastu. Tas var radÄ«t zinÄmu spriedzi no viÅa puses, taÄu tÄ ir maza cena, kas jÄmaksÄ par tik retu procesu.
VÄl viena piezÄ«me, nedaudz ne par tÄmu: pieteikÅ”anÄs palÄ«dzÄ«bas funkcijÄm, kas atklÄj, vai lietotÄjvÄrds vai e-pasta adrese ir pareiza, ir tÄda pati problÄma. VienmÄr atbildiet lietotÄjam ar ziÅojumu āJÅ«su lietotÄjvÄrda un paroles kombinÄcija nav derÄ«gaā, nevis skaidri apstipriniet akreditÄcijas datu esamÄ«bu (piemÄram, ālietotÄjvÄrds ir pareizs, bet parole nav pareizaā).
AtiestatÄ«Å”anas paroles sÅ«tÄ«Å”ana salÄ«dzinÄjumÄ ar atiestatÄ«Å”anas URL sÅ«tÄ«Å”anu
NÄkamÄ koncepcija, kas mums jÄapspriež, ir paroles atiestatÄ«Å”ana. Ir divi populÄri risinÄjumi:
- Jaunas paroles Ä£enerÄÅ”ana serverÄ« un nosÅ«tÄ«Å”ana pa e-pastu
- NosÅ«tiet e-pasta ziÅojumu ar unikÄlu URL, lai atvieglotu atiestatÄ«Å”anas procesu
Neskatoties
Bet bez tam pirmajam punktam ir vÄl viena nopietna problÄma - tÄ cik vien iespÄjams vienkÄrÅ”o konta bloÄ·ÄÅ”ana ar ļaunprÄtÄ«gu nolÅ«ku. Ja man ir zinÄma kÄda tÄ«mekļa vietnes konta e-pasta adrese, varu jebkurÄ laikÄ bloÄ·Ät viÅu, vienkÄrÅ”i atiestatot paroli. Å is ir pakalpojuma atteikuma uzbrukums, kas tiek pasniegts uz sudraba Ŕķīvja! TÄpÄc atiestatÄ«Å”ana jÄveic tikai pÄc veiksmÄ«gas pieprasÄ«tÄja tiesÄ«bu pÄrbaudes uz to.
Kad mÄs runÄjam par atiestatÄ«tu URL, mÄs domÄjam vietnes adresi, kas ir unikÄls Å”im konkrÄtajam atiestatÄ«Å”anas procesa gadÄ«jumam. Protams, tam jÄbÅ«t nejauÅ”am, to nedrÄ«kst bÅ«t viegli uzminÄt, un tajÄ nedrÄ«kst bÅ«t nekÄdas ÄrÄjÄs saites uz kontu, kas atvieglo atiestatÄ«Å”anu. PiemÄram, atiestatÄ«Å”anas URL nedrÄ«kst bÅ«t vienkÄrÅ”i ceļŔ, piemÄram, "AtiestatÄ«t/?lietotÄjvÄrds=DžonsSmits".
MÄs vÄlamies izveidot unikÄlu pilnvaru, ko var nosÅ«tÄ«t kÄ atiestatÄ«Å”anas URL un pÄc tam saskaÅot ar lietotÄja konta servera ierakstu, tÄdÄjÄdi apstiprinot, ka konta Ä«paÅ”nieks patiesÄ«bÄ ir tÄ pati persona, kas mÄÄ£ina atiestatÄ«t paroli . PiemÄram, marÄ·ieris varÄtu bÅ«t "3ce7854015cd38c862cb9e14a1ae552b" un saglabÄts tabulÄ kopÄ ar tÄ lietotÄja ID, kurÅ” veic atiestatÄ«Å”anu, un marÄ·iera Ä£enerÄÅ”anas laiku (vairÄk par to tÄlÄk). Kad e-pasts tiek nosÅ«tÄ«ts, tajÄ ir ietverts URL, piemÄram, āReset/?id=3ce7854015cd38c862cb9e14a1ae552bā, un, kad lietotÄjs to lejupielÄdÄ, lapa pieprasa marÄ·iera esamÄ«bu, pÄc tam tÄ apstiprina lietotÄja informÄciju un ļauj mainÄ«t parole.
Protams, tÄ kÄ iepriekÅ” minÄtais process (cerams) ļauj lietotÄjam izveidot jaunu paroli, mums ir jÄnodroÅ”ina, lai URL tiktu ielÄdÄts, izmantojot HTTPS. NÄ,
ArÄ« atiestatÄ«Å”anas URL ir jÄpievieno pilnvaras laika ierobežojums, lai atiestatÄ«Å”anas procesu varÄtu pabeigt noteiktÄ intervÄlÄ, piemÄram, stundas laikÄ. Tas nodroÅ”ina, ka atiestatÄ«Å”anas laika logs tiek samazinÄts lÄ«dz minimumam, lai atiestatÄ«tÄ URL saÅÄmÄjs varÄtu darboties tikai Å”ajÄ Ä¼oti mazajÄ logÄ. Protams, uzbrucÄjs var sÄkt atiestatÄ«Å”anas procesu vÄlreiz, taÄu viÅam bÅ«s jÄiegÅ«st cits unikÄls atiestatÄ«Å”anas URL.
Visbeidzot, mums ir jÄnodroÅ”ina, lai Å”is process bÅ«tu vienreiz lietojams. Kad atiestatÄ«Å”anas process ir pabeigts, marÄ·ieris ir jÄnoÅem, lai atiestatÄ«Å”anas URL vairs nedarbotos. IepriekÅ”Äjais punkts ir nepiecieÅ”ams, lai nodroÅ”inÄtu, ka uzbrucÄjam ir ļoti mazs logs, kurÄ viÅÅ” var manipulÄt ar atiestatÄ«Å”anas URL. TurklÄt, protams, kad atiestatÄ«Å”ana ir veiksmÄ«ga, marÄ·ieris vairs nav vajadzÄ«gs.
Dažas no Ŕīm darbÄ«bÄm var Ŕķist pÄrÄk liekas, taÄu tÄs netraucÄ lietojamÄ«bu un patiesÄ«bÄ uzlabot droŔību, lai gan situÄcijÄs, kas, cerams, bÅ«s reti sastopamas. 99% gadÄ«jumu lietotÄjs iespÄjos atiestatÄ«Å”anu ļoti Ä«sÄ laika periodÄ un tuvÄkajÄ nÄkotnÄ vairs neatiestatÄ«s paroli.
CAPTCHA loma
Ak, CAPTCHA, droŔības lÄ«dzeklis, ko mÄs visi mÄ«lam ienÄ«st! Faktiski CAPTCHA ir ne tik daudz aizsardzÄ«bas rÄ«ks, cik identifikÄcijas rÄ«ks ā neatkarÄ«gi no tÄ, vai esat cilvÄks vai robots (vai automatizÄts skripts). TÄs mÄrÄ·is ir izvairÄ«ties no automÄtiskas veidlapu iesniegÅ”anas, kas, protams, var izmantot kÄ mÄÄ£inÄjumu uzlauzt droŔību. Paroles atiestatÄ«Å”anas kontekstÄ CAPTCHA nozÄ«mÄ, ka atiestatÄ«Å”anas funkciju nevar brutÄli piespiest ne nosÅ«tÄ«t lietotÄjam surogÄtpastu vai mÄÄ£inÄt noteikt kontu esamÄ«bu (kas, protams, nebÅ«s iespÄjams, ja ievÄrosit sadaÄ¼Ä par identitÄtes pÄrbaude).
Protams, pati CAPTCHA nav ideÄla; Ir daudz precedentu tÄs programmatÅ«ras "uzlauÅ”anai" un pietiekamu panÄkumu lÄ«meÅa sasniegÅ”anai (60-70%). TurklÄt ir risinÄjums, kas parÄdÄ«ts manÄ ziÅojumÄ par
ApskatÄ«sim PayPal piemÄru:
Å ajÄ gadÄ«jumÄ atiestatÄ«Å”anas process vienkÄrÅ”i nevar sÄkties, kamÄr CAPTCHA nav atrisinÄts teorÄtiski procesu nav iespÄjams automatizÄt. TeorÄtiski.
TomÄr lielÄkajai daļai tÄ«mekļa lietojumprogrammu tas bÅ«s pÄrspÄ«lÄts un pilnÄ«ga taisnÄ«ba nozÄ«mÄ lietojamÄ«bas samazinÄÅ”anos - cilvÄkiem vienkÄrÅ”i nepatÄ«k CAPTCHA! TurklÄt, ja nepiecieÅ”ams, varat viegli atgriezties pie CAPTCHA. Ja pakalpojums sÄk tikt uzbrukts (Å”eit noder reÄ£istrÄÅ”ana, bet par to vÄlÄk), CAPTCHA pievienoÅ”ana nevarÄtu bÅ«t vienkÄrÅ”Äka.
Slepenie jautÄjumi un atbildes
Izmantojot visas mÅ«su apsvÄrtÄs metodes, mÄs varÄjÄm atiestatÄ«t paroli, vienkÄrÅ”i piekļūstot e-pasta kontam. Es saku ātikaiā, bet, protams, ir nelikumÄ«gi piekļūt kÄda cita e-pasta kontam. vajadzÄtu bÅ«t sarežģīts process. TomÄr
Faktiski iepriekÅ” minÄtÄ saite par SÄras Peilinas Yahoo! kalpo diviem mÄrÄ·iem; pirmkÄrt, tas parÄda, cik viegli ir uzlauzt (dažus) e-pasta kontus, un, otrkÄrt, tas parÄda, cik slikti droŔības jautÄjumi var tikt izmantoti ļaunprÄtÄ«gos nolÅ«kos. Bet pie Ŕī mÄs atgriezÄ«simies vÄlÄk.
ProblÄma ar XNUMX% e-pasta paroles atiestatÄ«Å”anu ir tÄda, ka tÄs vietnes konta integritÄte, kuru mÄÄ£inÄt atiestatÄ«t, kļūst par XNUMX% atkarÄ«ga no e-pasta konta integritÄtes. Ikviens, kam ir piekļuve jÅ«su e-pastam ir piekļuve jebkuram kontam, kuru var atiestatÄ«t, vienkÄrÅ”i saÅemot e-pasta ziÅojumu. Å Ädiem kontiem e-pasts ir jÅ«su tieÅ”saistes dzÄ«ves āatslÄga uz visÄm durvÄ«mā.
Viens veids, kÄ samazinÄt Å”o risku, ir ieviest droŔības jautÄjumu un atbilžu modeli. Bez Å”aubÄm, jÅ«s jau esat tos redzÄjis: izvÄlieties jautÄjumu, uz kuru varat atbildÄt tikai jÅ«s bÅ«t zinÄt atbildi, un tad, atiestatot paroli, jums tÄ tiks lÅ«gta. Tas palielina pÄrliecÄ«bu, ka persona, kas mÄÄ£ina atiestatÄ«t, patieÅ”Äm ir konta Ä«paÅ”nieks.
Atpakaļ pie SÄras Peilinas: kļūda bija tÄ, ka atbildes uz viÅas droŔības jautÄjumu/jautÄjumiem varÄja viegli atrast. ÄŖpaÅ”i tad, ja esat tik nozÄ«mÄ«ga publiska persona, informÄcija par jÅ«su mÄtes pirmslaulÄ«bas uzvÄrdu, izglÄ«tÄ«bas vÄsturi vai to, kur kÄds varÄtu bÅ«t agrÄk dzÄ«vojis, nav tik noslÄpumaina. PatiesÄ«bÄ lielÄko daļu no tÄ var atrast gandrÄ«z ikviens. LÅ«k, kas notika ar SÄru:
Hakeris Deivids Kernels ieguva piekļuvi Peilinas kontam, atrodot informÄciju par viÅas izcelsmi, piemÄram, universitÄti un dzimÅ”anas datumu, un pÄc tam izmantojot Yahoo! aizmirstÄs paroles atkopÅ”anas funkciju.
PirmkÄrt, tÄ ir Yahoo! ā precizÄjot tik vienkÄrÅ”us jautÄjumus, uzÅÄmums bÅ«tÄ«bÄ sabotÄja droŔības jautÄjuma vÄrtÄ«bu un lÄ«dz ar to arÄ« savas sistÄmas aizsardzÄ«bu. Protams, e-pasta konta paroļu atiestatÄ«Å”ana vienmÄr ir grÅ«tÄka, jo jÅ«s nevarat pierÄdÄ«t Ä«paÅ”umtiesÄ«bas, nosÅ«tot Ä«paÅ”niekam e-pastu (bez otrÄs adreses), taÄu, par laimi, mÅ«sdienÄs Å”Ädas sistÄmas izveidei nav daudz pielietojumu.
AtgriezÄ«simies pie droŔības jautÄjumiem ā ir iespÄja ļaut lietotÄjam izveidot savus jautÄjumus. ProblÄma ir tÄda, ka tas radÄ«s Å”ausmÄ«gi acÄ«mredzamus jautÄjumus:
KÄdÄ krÄsÄ ir debesis?
JautÄjumi, kas liek cilvÄkiem justies neÄrti, kad identificÄÅ”anai tiek izmantots droŔības jautÄjums cilvÄki (piemÄram, zvanu centrÄ):
Ar ko es gulÄju ZiemassvÄtkos?
Vai atklÄti sakot stulbi jautÄjumi:
KÄ rakstÄ«t vÄrdu "parole"?
RunÄjot par droŔības jautÄjumiem, lietotÄji ir jÄglÄbj no sevis! Citiem vÄrdiem sakot, droŔības jautÄjums ir jÄnosaka paÅ”ai vietnei vai, vÄl labÄk, jÄuzdod sÄrija droŔības jautÄjumi, no kuriem lietotÄjs var izvÄlÄties. Un izvÄlÄties nav viegli viens; ideÄlÄ gadÄ«jumÄ lietotÄjam ir jÄizvÄlas divi vai vairÄki droŔības jautÄjumi konta reÄ£istrÄcijas brÄ«dÄ«, kas pÄc tam tiks izmantots kÄ otrais identifikÄcijas kanÄls. VairÄku jautÄjumu uzdoÅ”ana palielina pÄrliecÄ«bu par verifikÄcijas procesu, kÄ arÄ« nodroÅ”ina iespÄju pievienot nejauŔību (ne vienmÄr rÄda vienu un to paÅ”u jautÄjumu), kÄ arÄ« nodroÅ”ina nelielu dublÄÅ”anu gadÄ«jumÄ, ja faktiskais lietotÄjs ir aizmirsis paroli.
KÄds ir labs droŔības jautÄjums? To ietekmÄ vairÄki faktori:
- Tam vajadzÄtu bÅ«t Ä«ss ā jautÄjumam jÄbÅ«t skaidram un nepÄrprotamam.
- Atbildei jÄbÅ«t specifiski ā mums nav vajadzÄ«gs jautÄjums, uz kuru viens cilvÄks var atbildÄt savÄdÄk
- IespÄjamÄm atbildÄm jÄbÅ«t daudzveidÄ«gs - jautÄjot kÄda mīļÄko krÄsu, tiek iegÅ«ta ļoti neliela iespÄjamo atbilžu apakÅ”kopa
- MeklÄt atbildei jÄbÅ«t sarežģītai ā ja atbildi var viegli atrast jebkurÅ” (atcerieties cilvÄkus augstos amatos), tad viÅÅ” ir slikts
- Atbildei jÄbÅ«t pastÄvÄ«gs laikÄ - ja jautÄ kÄda mīļÄkÄ filma, tad pÄc gada atbilde var bÅ«t cita
KÄ tas notiek, ir tÄ«mekļa vietne, kas paredzÄta labu jautÄjumu uzdoÅ”anai, ko sauc
Ä»aujiet man parÄdÄ«t, kÄ PayPal ievieÅ” droŔības jautÄjumus un jo Ä«paÅ”i centienus, ko vietne pieliek autentifikÄcijai. IepriekÅ” mÄs redzÄjÄm lapu, lai sÄktu procesu (ar CAPTCHA), un Å”eit mÄs parÄdÄ«sim, kas notiek pÄc e-pasta adreses ievadÄ«Å”anas un CAPTCHA atrisinÄÅ”anas:
RezultÄtÄ lietotÄjs saÅem Å”Ädu vÄstuli:
PagaidÄm viss ir diezgan normÄli, taÄu tÄlÄk ir norÄdÄ«ts, kas slÄpjas aiz Ŕī atiestatÄ«Å”anas URL:
TÄtad, tiek Åemti vÄrÄ droŔības jautÄjumi. Faktiski PayPal ļauj arÄ« atiestatÄ«t paroli, pÄrbaudot kredÄ«tkartes numuru, tÄpÄc ir pieejams papildu kanÄls, kuram daudzÄm vietnÄm nav piekļuves. Es vienkÄrÅ”i nevaru nomainÄ«t savu paroli, neatbildot abi droŔības jautÄjums (vai nezinot kartes numuru). Pat ja kÄds nolaupÄ«tu manu e-pastu, viÅÅ” nevarÄtu atiestatÄ«t mana PayPal konta paroli, ja vien nezinÄtu mazliet vairÄk personiskÄs informÄcijas par mani. KÄdu informÄciju? Å eit ir PayPal piedÄvÄtÄs droŔības jautÄjumu iespÄjas:
JautÄjums par skolu un slimnÄ«cu var bÅ«t nedaudz sarežģīts meklÄÅ”anas vienkÄrŔības ziÅÄ, bet citi nav pÄrÄk slikti. TomÄr, lai uzlabotu droŔību, PayPal ir nepiecieÅ”ama papildu identifikÄcija izmaiÅas atbildes uz droŔības jautÄjumiem:
PayPal ir diezgan utopisks droÅ”as paroles atiestatÄ«Å”anas piemÄrs: tas ievieÅ” CAPTCHA, lai samazinÄtu brutÄlu spÄku uzbrukumu risku, prasa divus droŔības jautÄjumus un pÄc tam prasa cita veida pilnÄ«gi atŔķirÄ«gu identifikÄciju, lai tikai mainÄ«tu atbildes ā un tas notiek pÄc lietotÄja jau ir pierakstÄ«jies. Protams, tas ir tieÅ”i tas, ko mÄs gaidÄms no PayPal; ir finanÅ”u iestÄde, kas nodarbojas ar lielÄm naudas summÄm. Tas nenozÄ«mÄ, ka katrai paroles atiestatÄ«Å”anai ir jÄveic Ŕīs darbÄ«bas ā lielÄkoties tas ir pÄrspÄ«lÄts, taÄu tas ir labs piemÄrs gadÄ«jumiem, kad droŔība ir nopietna lieta.
DroŔības jautÄjumu sistÄmas ÄrtÄ«bas ir tÄdas, ka, ja neesat to ieviesis uzreiz, varat to pievienot vÄlÄk, ja to prasa resursu aizsardzÄ«bas lÄ«menis. Labs piemÄrs tam ir Apple, kas tikai nesen ieviesa Å”o mehÄnismu [raksts rakstÄ«ts 2012. gadÄ]. Kad es sÄku atjauninÄt lietojumprogrammu savÄ iPad, es redzÄju Å”Ädu pieprasÄ«jumu:
Tad es redzÄju ekrÄnu, kurÄ varÄju atlasÄ«t vairÄkus droŔības jautÄjumu un atbilžu pÄrus, kÄ arÄ« glÄbÅ”anas e-pasta adresi:
Kas attiecas uz PayPal, jautÄjumi ir iepriekÅ” atlasÄ«ti, un daži no tiem patiesÄ«bÄ ir diezgan labi:
Katrs no trim jautÄjumu/atbilžu pÄriem atspoguļo atŔķirÄ«gu iespÄjamo jautÄjumu kopu, tÄpÄc ir daudz veidu, kÄ konfigurÄt kontu.
VÄl viens aspekts, kas jÄÅem vÄrÄ, atbildot uz droŔības jautÄjumu, ir uzglabÄÅ”ana. Ja datu bÄzÄ ir vienkÄrÅ”a teksta datubÄze, tas rada gandrÄ«z tÄdus paÅ”us draudus kÄ parole, proti, datu bÄzes atklÄÅ”ana uzreiz atklÄj vÄrtÄ«bu un pakļauj riskam ne tikai lietojumprogrammu, bet arÄ« potenciÄli pilnÄ«gi atŔķirÄ«gas lietojumprogrammas, kas izmanto vienus un tos paÅ”us droŔības jautÄjumus (tur atkal
PÄdÄjais droŔības jautÄjumu un atbilžu aspekts ir tas, ka tie ir neaizsargÄtÄki pret sociÄlo inženieriju. MÄÄ£inÄjums tieÅ”i izvilkt paroli kÄda cita kontam ir viena lieta, bet sÄkt sarunu par tÄs veidoÅ”anu (populÄrs droŔības jautÄjums) ir pavisam kas cits. PatiesÄ«bÄ jÅ«s varat ļoti labi sazinÄties ar kÄdu par daudziem viÅa dzÄ«ves aspektiem, kas varÄtu radÄ«t slepenu jautÄjumu, neradot aizdomas. Protams, droŔības jautÄjuma bÅ«tÄ«ba ir tÄda, ka tas ir saistÄ«ts ar kÄda cilvÄka dzÄ«ves pieredzi, tÄpÄc tas ir neaizmirstams, un Å”eit ir problÄma. cilvÄkiem patÄ«k runÄt par savu dzÄ«ves pieredzi! Å ajÄ jautÄjumÄ jÅ«s varat maz darÄ«t, tikai tad, ja izvÄlaties Å”Ädus droŔības jautÄjumu variantus, lai tie bÅ«tu mazÄk droÅ”i vien varÄtu izvilkt ar sociÄlo inženieriju.
[TurpinÄjums sekos.]Par reklÄmas tiesÄ«bÄm
VDSina piedÄvÄ uzticamus
Avots: www.habr.com