Би саяхан нууц үг шинэчлэх функц хэрхэн ажиллах талаар дахин бодох завтай байсан. , дараа нь тэр өөр хүнд үүнтэй төстэй зүйл хийхэд нь тусалсан. Хоёр дахь тохиолдолд би түүнд дахин тохируулах функцийг хэрхэн аюулгүй хэрэгжүүлэх талаархи бүх нарийн ширийн зүйлийг агуулсан каноник нөөцийн холбоосыг өгөхийг хүссэн. Гэсэн хэдий ч асуудал бол ийм нөөц байхгүй, ядаж надад чухал санагдсан бүх зүйлийг дүрсэлсэн нэг ч биш юм. Тэгээд би өөрөө бичихээр шийдлээ.
Мартагдсан нууц үгийн ертөнц бол үнэхээр нууцлаг зүйл гэдгийг та харж байна. Олон янзын, бүрэн хүлээн зөвшөөрөгдөх үзэл бодол, нэлээд аюултай үзэл бодол байдаг. Та эцсийн хэрэглэгчийн хувьд тэдгээртэй олон удаа таарч байсан байх; Тиймээс би эдгээр жишээнүүдийг ашиглан хэн үүнийг зөв хийж байна, хэн нь буруу байна, мөн таны апп-д функцийг зөв оруулахын тулд юунд анхаарлаа хандуулах хэрэгтэйг харуулахыг хичээх болно.
Нууц үг хадгалах: хэшлэх, шифрлэх, (амсгаадах!) энгийн текст
Бид мартагдсан нууц үгээ хэрхэн хадгалах талаар ярилцахаас өмнө юу хийх талаар ярилцаж чадахгүй. Нууц үгийг мэдээллийн санд гурван үндсэн төрлөөр хадгалдаг.
- Энгийн текст. Энгийн текст хэлбэрээр хадгалагдсан нууц үгийн багана байдаг.
- Шифрлэгдсэн. Ихэвчлэн тэгш хэмтэй шифрлэлтийг ашигладаг (нэг түлхүүр нь шифрлэлт болон тайлахад хоёуланд нь ашиглагддаг) бөгөөд шифрлэгдсэн нууц үгийг мөн нэг баганад хадгалдаг.
- Хэш. Нэг талын үйл явц (нууц үгийн нууц үгийг хуулж болох боловч устгах боломжгүй); нууц үг, Би найдаж байна, дараа нь давс, тус бүр өөрийн гэсэн баганад байна.
Хамгийн энгийн асуулт руу шууд орцгооё: Нууц үгийг хэзээ ч энгийн текстээр бүү хадгал! Хэзээ ч үгүй. Ганц нэг эмзэг байдал , нэг хайхрамжгүй нөөцлөлт, эсвэл олон арван энгийн алдаануудын нэг - тэгээд л боллоо, тоглоом, таны бүх нууц үг - уучлаарай, таны бүх үйлчлүүлэгчийн нууц үг нийтийн эзэмшлийн газар болно. Мэдээжийн хэрэг, энэ нь маш их магадлалтай гэсэн үг юм бусад систем дэх тэдний бүх данснаас. Мөн энэ нь таны буруу байх болно.
Шифрлэлт нь илүү сайн боловч сул талуудтай. Шифрлэлтийн асуудал бол шифрийг тайлах явдал юм; Бид эдгээр галзуу харагдах шифрүүдийг аваад энгийн текст рүү буцаан хөрвүүлэх боломжтой бөгөөд ийм зүйл тохиолдвол бид хүн унших боломжтой нууц үгийн нөхцөл рүү буцна. Энэ яаж болдог вэ? Нууц үгийн кодыг тайлж, олон нийтэд нээлттэй болгодог кодонд жижиг алдаа гарч ирдэг - энэ бол нэг арга юм. Хакерууд шифрлэгдсэн өгөгдөл хадгалагдаж буй машин руу нэвтрэх эрх олж авдаг - энэ бол хоёр дахь арга юм. Өөр нэг арга бол өгөгдлийн сангийн нөөц хуулбарыг хулгайлах бөгөөд хэн нэгэн нь ихэвчлэн маш найдвартай хадгалагддаг шифрлэлтийн түлхүүрийг авдаг.
Энэ нь биднийг хэш болгоход хүргэдэг. Хэшингийн цаад санаа нь энэ нь нэг талын; Хэрэглэгчийн оруулсан нууц үгийг хэш хийсэн хувилбартай нь харьцуулах цорын ганц арга бол оролтыг хэш болгож, харьцуулах явдал юм. Солонгийн өнгийн ширээ гэх мэт хэрэгслүүдийн халдлагаас урьдчилан сэргийлэхийн тулд бид үйл явцыг санамсаргүй байдлаар давсалдаг (миний криптограф хадгалах тухай). Эцсийн эцэст, хэрэв зөв хэрэгжүүлбэл хэшлэгдсэн нууц үг дахин хэзээ ч энгийн текст болохгүй гэдэгт итгэлтэй байж болно (би өөр нийтлэлд өөр өөр хэш алгоритмын ашиг тусын талаар ярих болно).
Шифрлэлт ба хэшний тухай хурдан аргумент: нууц үгээ хэшлэхээс илүү шифрлэх шаардлагатай цорын ганц шалтгаан бол нууц үгээ энгийн текстээр харах хэрэгтэй болдог. чи үүнийг хэзээ ч хүсэх ёсгүй, наад зах нь стандарт вэбсайтын нөхцөлд. Хэрэв танд энэ хэрэгтэй бол та буруу зүйл хийж байгаа байх!
Анхаар
Нийтлэлийн текстийн доор AlotPorn порнографын вэб сайтын дэлгэцийн агшингийн хэсэг байна. Далайн эрэг дээр харагдахгүй зүйл байхгүй, цэвэрхэн зассан, гэхдээ энэ нь ямар нэгэн асуудал үүсгэх магадлалтай хэвээр байвал доош гүйлгэж болохгүй.
Нууц үгээ үргэлж шинэчил хэзээ ч үгүй түүнд битгий сануул
Танаас функц үүсгэхийг хэзээ нэгэн цагт асууж байсан уу? сануулга нууц үг? Нэг алхам ухарч, энэ хүсэлтийн талаар эсрэгээр нь бодоорой: яагаад энэ "сануулагч" хэрэгтэй вэ? Учир нь хэрэглэгч нууц үгээ мартсан байна. Бид үнэхээр юу хийхийг хүсч байна вэ? Түүнд дахин нэвтрэхэд тусална уу.
"Сануулагч" гэдэг үгийг ярианы утгаар (ихэвчлэн) ашигладаг гэдгийг би ойлгож байна, гэхдээ бидний хийх гэж байгаа зүйл бол хэрэглэгчийг дахин онлайн байхад нь аюулгүйгээр тусална. Бидэнд аюулгүй байдал хэрэгтэй байгаа тул сануулагч (жишээлбэл, хэрэглэгчдэд нууц үгээ илгээх) тохиромжгүй байх хоёр шалтгаан бий:
- Имэйл бол аюулгүй суваг юм. Бид HTTP-ээр мэдрэмтгий зүйл илгээдэггүйтэй адил (бид HTTPS ашигладаг) тээвэрлэлтийн давхарга нь найдвартай биш тул имэйлээр ямар нэгэн эмзэг зүйл илгээх ёсгүй. Үнэн хэрэгтээ энэ нь аюулгүй тээвэрлэлтийн протоколоор мэдээлэл илгээхээс хамаагүй муу зүйл юм, учир нь шуудан нь ихэвчлэн хадгалах төхөөрөмж дээр хадгалагддаг, системийн администраторуудад хүртээмжтэй, дамжуулж, түгээдэг, хортой програмд хүрдэг гэх мэт. Шифрлэгдээгүй имэйл нь маш аюултай суваг юм.
- Та ямар ч байсан нууц үг рүү нэвтрэх эрхгүй байх ёстой. Хадгалах тухай өмнөх хэсгийг дахин уншина уу - та нууц үгийн хэштэй байх ёстой (сайн хүчтэй давстай) бөгөөд энэ нь нууц үгээ задлах, шуудангаар илгээх боломжгүй гэсэн үг юм.
Асуудлыг жишээгээр харуулъя : Энд ердийн нэвтрэх хуудас байна:
Мэдээжийн хэрэг, эхний асуудал бол нэвтрэх хуудас HTTPS-ээр ачаалагдахгүй байгаа боловч сайт таныг нууц үг илгээхийг санал болгодог ("Нууц үг илгээх"). Энэ нь дээр дурдсан нэр томъёоны ярианы хэрэглээний жишээ байж магадгүй тул үүнийг цааш нь авч, юу болохыг харцгаая:
Харамсалтай нь энэ нь тийм ч сайн харагдахгүй байна; мөн имэйл нь асуудал байгааг баталж байна:
Энэ нь usoutdoor.com-ийн хоёр чухал талыг хэлж өгдөг:
- Сайт нь нууц үгээ хадгалдаггүй. Хамгийн сайн нь тэд шифрлэгдсэн байдаг, гэхдээ тэдгээр нь энгийн текстээр хадгалагдсан байх магадлалтай; Бид эсрэгээр нотлох баримт олж харахгүй байна.
- Сайт нь хамгаалалтгүй сувгаар урт хугацааны нууц үгийг (бид буцаж очоод дахин дахин ашиглах боломжтой) илгээдэг.
Үүнийг арилгахын тулд бид дахин тохируулах үйл явц аюулгүй байдлаар хийгдсэн эсэхийг шалгах хэрэгтэй. Үүнийг хийх эхний алхам бол хүсэлт гаргагч дахин тохируулах эрхтэй эсэхийг шалгах явдал юм. Өөрөөр хэлбэл, үүнээс өмнө бид иргэний үнэмлэхийг шалгах шаардлагатай; Хүсэлт гаргагч нь дансны эзэмшигч мөн эсэхийг шалгахгүйгээр хэн болохыг баталгаажуулах үед юу болохыг харцгаая.
Хэрэглэгчийн нэрсийг жагсаах, нэрээ нууцлахад үзүүлэх нөлөө
Энэ асуудлыг нүдээр хамгийн сайн дүрсэлсэн байдаг. Асуудал:
Харж байна уу? "Энэ имэйл хаягаар бүртгүүлсэн хэрэглэгч байхгүй" гэсэн мессежийг анхаарч үзээрэй. Хэрэв ийм сайт батлагдвал асуудал үүсэх нь тодорхой хүртээмжтэй байдал ийм имэйл хаягаар бүртгүүлсэн хэрэглэгч. Бинго - та дөнгөж сая нөхрийнхөө/босс/хөршийнхөө порно шүтээний талаар олж мэдсэн!
Мэдээжийн хэрэг порно бол хувийн нууцын ач холбогдлын нэлээн тод жишээ боловч хувь хүнийг тодорхой вэбсайттай холбохын аюул нь дээр дурдсан эвгүй нөхцөл байдлаас хамаагүй өргөн юм. Нэг аюул бол нийгмийн инженерчлэл юм; Хэрэв халдагч тухайн үйлчилгээтэй хүнийг тааруулж чадвал тэр ашиглаж эхлэх боломжтой мэдээлэлтэй болно. Жишээлбэл, тэрээр вэбсайтын төлөөлөгчөөр холбогдож, нэмэлт мэдээлэл авахыг хүсч болно .
Ийм практик нь "хэрэглэгчийн нэрийг тоолох" аюулыг нэмэгдүүлдэг бөгөөд ингэснээр та зүгээр л бүлгийн асуулга явуулж, тэдгээрт өгсөн хариултыг шалгах замаар вэбсайт дээр хэрэглэгчийн нэр эсвэл имэйл хаягийн бүхэл бүтэн цуглуулга байгаа эсэхийг шалгаж болно. Танд бүх ажилчдын и-мэйл хаягийн жагсаалт, скрипт бичихэд хэдхэн минут байгаа юу? Дараа нь та асуудал юу болохыг хараарай!
Аль хувилбар вэ? Үнэн хэрэгтээ энэ нь маш энгийн бөгөөд гайхалтай хэрэгждэг :
Энд Entropay өөрийн системд и-мэйл хаяг байгаа талаар огт юу ч мэдээлдэггүй энэ хаягийг эзэмшдэггүй хүнд... Хэрэв чи эзэмшдэг Хэрэв энэ хаяг системд байхгүй байгаа бол та ийм имэйл хүлээн авах болно:
Мэдээжийн хэрэг, хэн нэгэнд хүлээн зөвшөөрөгдөх нөхцөл байдал байж болно гэж боддогвэб сайтад бүртгүүлсэн байна. гэхдээ энэ нь тийм биш, эсвэл би үүнийг өөр имэйл хаягаас хийсэн. Дээр үзүүлсэн жишээ нь хоёр нөхцөл байдлыг сайн зохицуулдаг. Мэдээжийн хэрэг, хэрэв хаяг таарч байвал нууц үгээ шинэчлэхэд хялбар болгох имэйл хүлээн авах болно.
Entropay-ийн сонгосон шийдлийн нарийн тал нь таних баталгаажуулалтыг түүний дагуу гүйцэтгэдэг и-мэйл аливаа онлайн баталгаажуулалтын өмнө. Зарим сайтууд хэрэглэгчдээс аюулгүй байдлын асуултын хариултыг асуудаг (энэ талаар доор дэлгэрэнгүй) нь дахин тохируулах хэрхэн эхлэх боломжтой; Гэсэн хэдий ч энэ асуудалтай холбоотой асуудал бол та асуултанд хариулахдаа ямар нэгэн байдлаар таних тэмдэг (и-мэйл эсвэл хэрэглэгчийн нэр) өгөх ёстой бөгөөд энэ нь үл мэдэгдэх хэрэглэгчийн бүртгэл байгаа эсэхийг илчлэхгүйгээр зөн совингоор хариулах бараг боломжгүй юм.
Ийм хандлагатай байдаг жижиг ашиглах чадвар буурсан, учир нь хэрэв та байхгүй дансаа дахин тохируулахыг оролдвол шууд хариу өгөх боломжгүй. Мэдээжийн хэрэг, энэ бол и-мэйл илгээх бүх зорилго юм, гэхдээ жинхэнэ эцсийн хэрэглэгчийн үүднээс тэд буруу хаяг оруулсан бол тэд зөвхөн имэйл хүлээн авахдаа л мэдэх болно. Энэ нь түүний зарим нэг хурцадмал байдлыг үүсгэж болох ч энэ нь ийм ховор үйл явцын төлөө төлөх бага үнэ юм.
Сэдвээс бага зэрэг өөр нэг тэмдэглэл: хэрэглэгчийн нэр эсвэл имэйл хаяг зөв эсэхийг харуулах нэвтрэх тусламжийн функцүүд ижил асуудалтай байдаг. Итгэмжлэх жуух бичгээ байгаа эсэхийг тодорхой батлахын оронд "Таны хэрэглэгчийн нэр, нууц үгийн хослол буруу байна" гэсэн мессежийг хэрэглэгчдэд үргэлж хариулаарай (жишээлбэл, "хэрэглэгчийн нэр зөв, гэхдээ нууц үг буруу байна").
Нууц үг солихыг илгээх ба дахин тохируулах URL илгээх
Бидний хэлэлцэх дараагийн үзэл баримтлал бол нууц үгээ хэрхэн шинэчлэх тухай юм. Хоёр алдартай шийдэл байдаг:
- Сервер дээр шинэ нууц үг үүсгэж, имэйлээр илгээх
- Дахин тохируулах үйл явцыг хөнгөвчлөхийн тулд өвөрмөц URL бүхий имэйл илгээнэ үү
Гэсэн хэдий ч , эхний цэгийг хэзээ ч хэрэглэж болохгүй. Үүний асуудал нь байгаа гэсэн үг юм хадгалагдсан нууц үг, та хүссэн үедээ буцаж очоод дахин ашиглах боломжтой; Энэ нь аюултай сувгаар илгээгдсэн бөгөөд таны ирсэн имэйл хайрцагт үлдэнэ. Ирсэн имэйлийг мобайл төхөөрөмж болон цахим шуудангийн клиент хооронд синк хийх боломжтой, мөн тэд вэб имэйл үйлчилгээнд маш удаан хугацаанд онлайнаар хадгалагдах магадлалтай. Гол нь үүнд л байгаа юм шуудангийн хайрцгийг урт хугацааны хадгалалтын найдвартай хэрэгсэл гэж үзэх боломжгүй.
Гэхдээ үүнээс гадна эхний зүйл бол өөр нэг ноцтой асуудал юм - энэ аль болох хялбаршуулдаг хорлонтой зорилготой данс хаах. Хэрэв би вэбсайтад бүртгэлтэй хэн нэгний имэйл хаягийг мэддэг бол нууц үгээ шинэчилснээр хүссэн үедээ хааж болно; Энэ бол мөнгөн таваг дээр үйлчилдэг үйлчилгээний халдлагыг үгүйсгэх явдал юм! Ийм учраас хүсэлт гаргагчийн эрхийг баталгаажуулсны дараа л дахин тохируулах ёстой.
Бид дахин тохируулах URL-ийн тухай ярихдаа тухайн вэбсайтын хаягийг хэлнэ дахин тохируулах үйл явцын энэ онцгой тохиолдол. Мэдээжийн хэрэг, энэ нь санамсаргүй байх ёстой, үүнийг таахад хялбар биш байх ёстой бөгөөд энэ нь дахин тохируулахад хялбар болгодог дансны гадны холбоосыг агуулаагүй байх ёстой. Жишээлбэл, дахин тохируулах URL нь зүгээр л "Reset/?username=JohnSmith" гэх мэт зам байх ёсгүй.
Бид дахин тохируулах URL хэлбэрээр шуудангаар илгээгдэх, дараа нь хэрэглэгчийн акаунтын серверийн бичлэгтэй тааруулж болох өвөрмөц токен үүсгэхийг хүсэж байна, ингэснээр данс эзэмшигч нь үнэн хэрэгтээ нууц үгээ шинэчлэх гэж байгаа хүн мөн гэдгийг батлах болно. Жишээлбэл, токен нь "3ce7854015cd38c862cb9e14a1ae552b" байж болох бөгөөд үүнийг дахин тохируулж буй хэрэглэгчийн ID болон жетон үүсгэсэн цаг хугацааны хамт хүснэгтэд хадгална (энэ талаар доор дэлгэрэнгүй үзнэ үү). Имэйлийг илгээх үед энэ нь "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b" гэх мэт URL-г агуулж байгаа бөгөөд хэрэглэгч үүнийг татаж авах үед хуудас нь жетон байгаа эсэхийг сануулж, үүний дараа хэрэглэгчийн мэдээллийг баталгаажуулж, өөрчлөх боломжийг олгодог. нууц үг.
Мэдээжийн хэрэг, дээрх үйл явц нь хэрэглэгчдэд шинэ нууц үг үүсгэх боломжийг олгодог тул бид URL-г HTTPS-ээр ачаалах хэрэгтэй. Үгүй, , энэ токен URL нь тээврийн давхаргын хамгаалалтыг ашиглах ёстой бөгөөд ингэснээр шинэ нууц үгийн хэлбэрт халдлага хийх боломжгүй болно мөн хэрэглэгчийн үүсгэсэн нууц үгийг аюулгүй холболтоор дамжуулсан.
Мөн дахин тохируулах URL-ын хувьд тодорхой хугацааны дотор, жишээ нь нэг цагийн дотор дахин тохируулах процессыг дуусгахын тулд токен хугацааны хязгаарлалт нэмэх шаардлагатай. Энэ нь дахин тохируулах цагийн цонхыг хамгийн бага хэмжээнд байлгахыг баталгаажуулдаг бөгөөд ингэснээр дахин тохируулах URL-ыг хүлээн авагч нь зөвхөн маш жижиг цонхонд ажиллах боломжтой болно. Мэдээжийн хэрэг, халдагч дахин тохируулах процессыг эхлүүлж болох ч дахин дахин тохируулах URL авах шаардлагатай болно.
Эцэст нь бид энэ процессыг нэг удаагийнх гэдгийг баталгаажуулах хэрэгтэй. Дахин тохируулах процесс дууссаны дараа токеныг арилгах шаардлагатай бөгөөд ингэснээр дахин тохируулах URL ажиллахаа болино. Өмнөх зүйл бол халдагчид URL-г дахин тохируулах боломжтой маш жижиг цонхтой байх ёстой. Мэдээжийн хэрэг, дахин тохируулах амжилттай болсны дараа токен шаардлагагүй болно.
Эдгээр алхмуудын зарим нь хэтэрхий шаардлагагүй мэт санагдаж болох ч ашиглахад саад болохгүй Үнэндээ ховор тохиолдох гэж найдаж буй нөхцөл байдалд аюулгүй байдлыг сайжруулах. Тохиолдлын 99% нь хэрэглэгч маш богино хугацаанд дахин тохируулахыг идэвхжүүлж, ойрын ирээдүйд нууц үгээ дахин тохируулахгүй.
CAPTCHA-ийн үүрэг
Өө, CAPTCHA, бидний үзэн ядах дуртай хамгаалалтын функц! Үнэн хэрэгтээ CAPTCHA нь хүн эсвэл робот (эсвэл автомат скрипт) эсэхээс үл хамааран таних хэрэгсэл болохоос хамгаалах хэрэгсэл биш юм. Үүний зорилго нь маягтыг автоматаар илгээхээс зайлсхийх явдал бөгөөд энэ нь мэдээжийн хэрэг болно хамгаалалтыг эвдэх оролдлого болгон ашиглах. Нууц үг шинэчлэх үйл явцын хувьд CAPTCHA гэдэг нь дахин тохируулах функц нь хэрэглэгчийг спам болгох эсвэл данс байгаа эсэхийг тодорхойлохыг оролдох боломжгүй гэсэн үг юм (хэрэв та энэ хэсэгт байгаа зөвлөмжийг дагаж мөрдвөл энэ нь мэдээж хэрэг боломжгүй болно) биеийн байцаалтыг баталгаажуулах).
Мэдээжийн хэрэг, CAPTCHA өөрөө төгс биш юм; Програм хангамжийг нь "хакердаж" хангалттай амжилтанд хүрсэн (60-70%) олон жишээ байдаг. Нэмж дурдахад миний нийтлэлд харуулсан шийдэл бий , Та CAPTCHA бүрийг шийдэж, 94% -ийн амжилтад хүрэхийн тулд хүмүүст нэг центийн хувийг төлж болно. Энэ нь эмзэг, гэхдээ энэ нь нэвтрэх саадыг (бага зэрэг) нэмэгдүүлдэг.
PayPal жишээг харцгаая:
Энэ тохиолдолд CAPTCHA-г шийдэх хүртэл дахин тохируулах процесс эхлэх боломжгүй онолын хувьд үйл явцыг автоматжуулах боломжгүй юм. Онолын хувьд.
Гэсэн хэдий ч ихэнх вэб програмуудын хувьд энэ нь хэт их байх болно туйлын зөв ашиглах чадвар буурч байгааг харуулж байна - хүмүүс CAPTCHA-д дургүй байдаг! Нэмж дурдахад CAPTCHA бол шаардлагатай бол амархан буцаж болох зүйл юм. Хэрэв үйлчилгээ халдлагад өртөж эхэлбэл (энэ нь бүртгэл хийх нь ашигтай байдаг, гэхдээ дараа нь илүү ихийг хэлнэ) CAPTCHA нэмэх нь тийм ч хялбар биш байх болно.
Нууц асуулт, хариулт
Бидний авч үзсэн бүх аргуудын тусламжтайгаар бид зөвхөн имэйл хаяг руу нэвтрэх замаар нууц үгээ шинэчлэх боломжтой болсон. Би "зүгээр л" гэж хэлдэг, гэхдээ мэдээжийн хэрэг, хэн нэгний имэйл хаяг руу нэвтрэх нь хууль бус юм. байх ёстой нарийн төвөгтэй үйл явц байх. Гэсэн хэдий ч .
Үнэн хэрэгтээ, Сара Пэйлиний Yahoo!-ийг хакердсан тухай дээрх холбоос! хоёр зорилготой; нэгдүгээрт, энэ нь (зарим) цахим шуудангийн хаягийг хакердах нь хэр амархан болохыг, хоёрдугаарт, аюулгүй байдлын асуултуудыг хорлонтой зорилгоор хэрхэн ашиглаж болохыг харуулж байна. Гэхдээ бид энэ талаар дараа нь эргэж ирнэ.
Имэйлд суурилсан нууц үгээ XNUMX% шинэчлэхтэй холбоотой асуудал бол таны шинэчлэх гэж буй сайтын бүртгэлийн бүрэн бүтэн байдал нь и-мэйл дансны бүрэн бүтэн байдлаас XNUMX% хамааралтай болж байгаа явдал юм. Таны имэйлд хандах эрхтэй хүн бүр зүгээр л имэйл хүлээн авснаар дахин тохируулж болох дурын бүртгэлд хандах эрхтэй. Ийм дансны хувьд имэйл нь таны онлайн амьдралын "бүх хаалганы түлхүүр" юм.
Энэ эрсдэлийг бууруулах нэг арга бол аюулгүй байдлын асуулт хариултын загварыг хэрэгжүүлэх явдал юм. Та тэдгээрийг аль хэдийн харсан гэдэгт эргэлзэхгүй байна: зөвхөн таны хариулж чадах асуултыг сонго байх ёстой хариултыг нь мэдэж, дараа нь нууц үгээ шинэчлэх үед танаас үүнийг асуух болно. Энэ нь дахин тохируулахыг оролдож буй хүн үнэхээр данс эзэмшигч гэдэгт итгэх итгэлийг нэмж өгдөг.
Сара Палин руу буцах: алдаа нь түүний аюулгүй байдлын асуулт/асуултуудын хариултыг амархан олох боломжтой байсан. Ялангуяа та олон нийтийн томоохон зүтгэлтэн бол ээжийнхээ төрсөн овог, боловсролын түүх, хэн нэгэн урьд нь хаана амьдарч байсан тухай мэдээлэл тийм ч нууц биш юм. Ер нь ихэнхийг нь бараг хэн ч олж болно. Сарад тохиолдсон зүйл:
Хакер Дэвид Кернелл Пэйлиний бүртгэлд нэвтэрч, түүний их сургууль, төрсөн он, сар, өдөр зэрэг мэдээллийг олж, дараа нь Yahoo!-ийн мартагдсан нууц үг сэргээх функцийг ашигласан байна.
Юуны өмнө энэ нь Yahoo!-ийн дизайны алдаа юм! - Ийм энгийн асуултуудыг зааж өгснөөр компани нь аюулгүй байдлын асуултын үнэ цэнийг, улмаар түүний системийн хамгаалалтыг алдагдуулсан. Мэдээжийн хэрэг, имэйл хаягийн нууц үгийг шинэчлэх нь үргэлж илүү хэцүү байдаг, учир нь та эзэмшигч рүү имэйл илгээх замаар (хоёр дахь хаяггүйгээр) өмчлөх эрхийг баталгаажуулж чадахгүй, гэхдээ аз болоход өнөөдөр ийм системийг бий болгох олон хэрэглээ байдаггүй.
Аюулгүй байдлын асуултууд руу буцаж орцгооё - хэрэглэгч өөрөө асуулт үүсгэхийг зөвшөөрөх сонголт байдаг. Асуудал нь энэ нь маш тодорхой асуултуудыг өдөөх болно:
Тэнгэр ямар өнгөтэй вэ?
Аюулгүй байдлын асуултыг тодорхойлоход хүмүүсийг эвгүй байдалд оруулдаг асуултууд хүн (жишээлбэл, дуудлагын төвд):
Зул сарын баяраар би хэнтэй унтсан бэ?
Эсвэл илэн далангүй тэнэг асуултууд:
Та "нууц үг"-ийг хэрхэн бичих вэ?
Аюулгүй байдлын асуултын тухайд хэрэглэгчид өөрсдөөсөө аврагдах хэрэгтэй! Өөрөөр хэлбэл, аюулгүй байдлын асуултыг сайт өөрөө тодорхойлох ёстой, эсвэл илүү сайн асуусан байх ёстой цуврал хэрэглэгчийн сонгох боломжтой аюулгүй байдлын асуултууд. Мөн сонгоход амаргүй один; Хамгийн тохиромжтой нь хэрэглэгч хоёр буюу түүнээс дээш аюулгүй байдлын асуултуудыг сонгох ёстой данс бүртгүүлэх үед, дараа нь хоёр дахь таних суваг болгон ашиглах болно. Олон асуулттай байх нь баталгаажуулах үйл явцад итгэх итгэлийг нэмэгдүүлэхээс гадна санамсаргүй байдлаар (ижил асуултыг үргэлж харуулахгүй) нэмэх боломжийг олгодог бөгөөд бодит хэрэглэгч нууц үгээ мартсан тохиолдолд бага зэрэг нэмэлт боломжийг олгодог.
Аюулгүй байдлын сайн асуулт гэж юу вэ? Үүнд хэд хэдэн хүчин зүйл нөлөөлдөг:
- Энэ нь байх ёстой товч - асуулт нь тодорхой бөгөөд хоёрдмол утгагүй байх ёстой.
- Хариулт нь байх ёстой тодорхой - Нэг хүн өөрөөр хариулж чадах асуулт бидэнд хэрэггүй
- Боломжит хариултууд байх ёстой олон янз - хэн нэгний дуртай өнгийг асуухад хариултуудын маш бага хэсгийг өгдөг
- Поиск хариулт нь төвөгтэй байх ёстой - хэрэв хариултыг амархан олох боломжтой бол ямар ч (өндөр албан тушаалтай хүмүүсийг санаарай), тэгвэл тэр муу
- Хариулт нь байх ёстой байнгын цаг хугацааны хувьд - хэрэв та хэн нэгний дуртай киноны талаар асуувал жилийн дараа хариулт нь өөр байж магадгүй юм
Энэ нь тохиолддог шиг, гэж нэрлэдэг сайн асуулт асуух зориулсан вэб сайт байдаг . Зарим асуултууд нь нэлээд сайн мэт санагдаж байгаа бол зарим нь дээр дурдсан зарим шалгалтыг, ялангуяа "хайлт хийхэд хялбар" тестийг давж чаддаггүй.
PayPal нь аюулгүй байдлын асуултуудыг хэрхэн хэрэгжүүлдгийг, ялангуяа сайтын нэвтрэлт танилтад зарцуулж буй хүчин чармайлтыг харуулъя. Дээрхээс бид процессыг эхлүүлэх хуудсыг (CAPTCHA-тай) харсан бөгөөд энд та имэйл хаягаа оруулаад CAPTCHA-г шийдсэний дараа юу болохыг харуулах болно.
Үүний үр дүнд хэрэглэгч дараах захидлыг хүлээн авна.
Одоогоор бүх зүйл хэвийн байна, гэхдээ энэ дахин тохируулах URL-ын ард юу нуугдаж байна вэ:
Тиймээс аюулгүй байдлын асуултууд гарч ирдэг. Үнэн хэрэгтээ PayPal нь танд кредит картынхаа дугаарыг баталгаажуулснаар нууц үгээ шинэчлэх боломжийг олгодог тул олон сайтууд хандах боломжгүй нэмэлт суваг байдаг. Би хариулахгүйгээр нууц үгээ солих боломжгүй хоёулаа аюулгүй байдлын асуулт (эсвэл картын дугаарыг мэдэхгүй). Хэн нэгэн миний цахим шууданг хулгайлсан ч миний талаарх хувийн мэдээллийг бага зэрэг мэдэхээс нааш миний PayPal дансны нууц үгийг шинэчлэх боломжгүй. Ямар мэдээлэл? PayPal-ын санал болгож буй аюулгүй байдлын асуултын сонголтууд энд байна:
Сургууль, эмнэлгийн асуулт нь хайлт хийхэд хялбар байх тал дээр бага зэрэг төвөгтэй байж болох ч бусад нь тийм ч муу биш юм. Гэсэн хэдий ч аюулгүй байдлыг сайжруулахын тулд PayPal нь нэмэлт таних шаардлагатай өөрчлөлт аюулгүй байдлын асуултын хариулт:
PayPal бол нууц үгээ аюулгүйгээр шинэчлэхийн утопик жишээ юм: энэ нь бүдүүлэг хүчний халдлагын аюулыг багасгахын тулд CAPTCHA-г хэрэгжүүлдэг, аюулгүй байдлын хоёр асуулт шаарддаг бөгөөд хариултыг өөрчлөхийн тулд өөр төрлийн огт өөр таних тэмдэг шаарддаг - энэ нь хэрэглэгчийн дараа аль хэдийн нэвтэрсэн байна. Мэдээжийн хэрэг, энэ бол бид яг ийм зүйл юм хүлээгдэж буй PayPal-аас; их хэмжээний мөнгөтэй харьцдаг санхүүгийн байгууллага юм. Энэ нь нууц үг шинэчлэх бүр нь эдгээр алхмуудыг дагах ёстой гэсэн үг биш бөгөөд ихэнх тохиолдолд энэ нь хэт их байдаг, гэхдээ энэ нь аюулгүй байдал нь ноцтой бизнес болж байгаа тохиолдолд сайн жишээ юм.
Аюулгүй байдлын асуултын системийн тав тухтай байдал нь хэрэв та үүнийг шууд хэрэгжүүлээгүй бол нөөцийн хамгаалалтын түвшин шаардлагатай бол дараа нь нэмж болно. Үүний тод жишээ бол саяхан энэхүү механизмыг хэрэгжүүлсэн Apple компани юм [2012 онд бичсэн нийтлэл]. Би iPad дээрээ програмаа шинэчилж эхэлмэгц би дараах хүсэлтийг харсан:
Дараа нь би аюулгүй байдлын хэд хэдэн хос асуулт, хариулт, мөн аврах имэйл хаягийг сонгох боломжтой дэлгэцийг харав:
PayPal-ийн хувьд асуултуудыг урьдчилан сонгосон бөгөөд зарим нь үнэхээр сайн байна:
Гурван асуулт/хариултын хос бүр нь өөр өөр боломжит асуултуудыг төлөөлдөг тул бүртгэлийг тохируулах олон арга бий.
Аюулгүй байдлын асуултанд хариулах өөр нэг зүйл бол хадгалалт юм. Мэдээллийн санд энгийн текстийн мэдээллийн сантай байх нь нууц үгтэй бараг ижил аюул занал учруулдаг, тухайлбал мэдээллийн баазыг задлах нь үнэ цэнийг шууд илрүүлж, зөвхөн програмыг эрсдэлд оруулаад зогсохгүй, ижил аюулгүй байдлын асуултуудыг ашигладаг огт өөр програмуудыг эрсдэлд оруулдаг (энэ нь дахиад л ийм байна). ). Нэг сонголт бол аюулгүй хэш (хүчтэй алгоритм ба криптографийн хувьд санамсаргүй давс) боловч нууц үг хадгалах ихэнх тохиолдлуудаас ялгаатай нь хариулт нь энгийн текст хэлбэрээр харагдах сайн шалтгаан байж болох юм. Ердийн хувилбар бол шууд утасны оператороор хэн болохыг баталгаажуулах явдал юм. Мэдээжийн хэрэг, энэ тохиолдолд хэш хийх боломжтой (оператор зүгээр л үйлчлүүлэгчийн нэрлэсэн хариултыг оруулж болно), гэхдээ хамгийн муу тохиолдолд нууц хариу нь зүгээр л тэгш хэмтэй шифрлэлт байсан ч криптографийн хадгалалтын зарим түвшинд байрлах ёстой. . Дүгнэлт: Нууцыг нууц шиг харьц!
Аюулгүй байдлын асуулт, хариултын эцсийн нэг тал бол нийгмийн инженерчлэлд илүү өртөмтгий байдаг. Хэн нэгний акаунт руу нууц үгээ шууд задлахыг оролдох нь нэг хэрэг, гэхдээ түүнийг үүсгэх тухай яриа (хамгаалалтын түгээмэл асуулт) нь огт өөр юм. Үнэн хэрэгтээ та хэн нэгэнтэй түүний амьдралын олон асуудлын талаар маш сайн ярилцаж, сэжиг төрүүлэхгүйгээр нууц асуулт тавьж болно. Мэдээжийн хэрэг, аюулгүй байдлын асуултын гол утга учир нь энэ нь хэн нэгний амьдралын туршлагатай холбоотой байдаг тул мартагдашгүй бөгөөд энд л асуудал оршдог - хүмүүс амьдралынхаа талаар ярих дуртай! Хэрэв та ийм аюулгүй байдлын асуултын сонголтуудыг сонгосон тохиолдолд л энэ талаар хийж чадах зүйл бага байна бага Нийгмийн инженерчлэлээр гаргаж болох юм.
[Үргэлжлэл бий.]Сурталчилгааны эрх
VDSina найдвартай санал болгож байна , сервер бүр 500 мегабитийн интернет сувагт холбогдсон бөгөөд DDoS халдлагаас үнэ төлбөргүй хамгаалагдсан!
Эх сурвалж: www.habr.com