هرڅه چې تاسو غواړئ د خوندي پټنوم بیا تنظیم کولو په اړه پوه شئ. 1 برخه

ما پدې وروستیو کې وخت درلود چې بیا فکر وکړم چې څنګه د خوندي پاسورډ ری سیٹ فیچر باید کار وکړي ، لومړی کله چې زه دا فعالیت په کې رامینځته کوم ASafaWeb، او بیا کله چې هغه د بل چا سره ورته ورته کار کولو کې مرسته وکړه. په دویمه قضیه کې، ما غوښتل هغه ته د کانونیکي سرچینې سره یو لینک ورکړم چې د ټولو جزیاتو سره د بیا رغونې فعالیت په خوندي ډول پلي کولو څرنګوالی. په هرصورت، ستونزه دا ده چې دا ډول سرچینې شتون نلري، لږترلږه یو نه چې هر هغه څه تشریح کړي چې زما لپاره مهم ښکاري. نو ما پریکړه وکړه چې دا پخپله ولیکم.

تاسو ګورئ ، د هیر شوي پاسورډونو نړۍ واقعیا خورا پراسرار ده. ډیری مختلف، په بشپړه توګه د منلو وړ نظرونه او ډیری خورا خطرناک دي. امکانات دا دي چې تاسو د دوی هر یو سره څو ځله د پای کارونکي په توګه مخ شوي یاست؛ نو زه به هڅه وکړم چې دا مثالونه وکاروم ترڅو وښیم چې څوک دا سم کوي، څوک نه دي، او تاسو په خپل اپلیکیشن کې د فیچر د ترلاسه کولو لپاره په څه تمرکز کولو ته اړتیا لرئ.

د پټنوم ذخیره کول: هش کول، کوډ کول او (ګاسپ!) ساده متن

موږ نشو کولی د هیر شوي پاسورډونو سره څه وکړو مخکې لدې چې موږ د دوی ذخیره کولو څرنګوالي په اړه بحث وکړو. پاسورډونه په ډیټابیس کې په یو له دریو اصلي ډولونو کې ساتل کیږي:

1. ساده متن. د پټنوم کالم شتون لري، کوم چې په ساده متن کې ساتل کیږي.
2. کوډ شوی. عموما د سیمال کوډ کولو کارول (یو کیلي د کوډ کولو او کوډ کولو لپاره کارول کیږي)، او کوډ شوي پاسورډونه هم په ورته کالم کې زیرمه شوي.
3. هش شوی. یو طرفه پروسه (پاسورډ له مینځه وړل کیدی شي، مګر له مینځه وړل کیدی نشي)؛ رمز، زه هیله لرمد مالګې په تعقیب، او هر یو په خپل کالم کې دی.

راځئ مستقیم ساده پوښتنې ته راشو: هیڅکله پاسورډونه په ساده متن کې مه ساتئ! هیڅکله نه. یو واحد زیانمنتیا انجیکشنونه، یو بې پروا بیک اپ، یا یو له لسګونو نورو ساده غلطیو څخه - او دا دی، لوبې اوور، ستاسو ټول پاسورډونه - بخښنه غواړئ، ستاسو د ټولو پیرودونکو پاسورډونه عامه ډومین به شي. البته، دا به د لوی احتمال په معنی وي د دوی ټول پاسورډونه په نورو سیسټمونو کې د دوی ټولو حسابونو څخه. او دا به ستاسو ګناه وي.

کوډ کول غوره دي، مګر خپل نیمګړتیاوې لري. د کوډ کولو ستونزه د کوډ کولو سره ده؛ موږ کولی شو دا لیوني ښکاري سیفرونه واخلو او بیرته ساده متن ته یې واړوو، او کله چې دا پیښ شي موږ بیرته د انسان د لوستلو وړ پټنوم حالت ته راځو. دا څنګه کیږي؟ یو کوچنی نیمګړتیا په کوډ کې راځي چې پټنوم کوډ کوي، دا په عامه توګه شتون لري - دا یوه لاره ده. هیکرز ماشین ته لاسرسی ترلاسه کوي په کوم کې چې کوډ شوي معلومات زیرمه شوي - دا دوهم میتود دی. بله لاره، بیا، د ډیټابیس بیک اپ غلا کول دي او یو څوک د کوډ کولو کیلي هم ترلاسه کوي، کوم چې ډیری وختونه په خورا ناامنه توګه ساتل کیږي.

او دا موږ هشینګ ته راوړي. د هش کولو تر شا نظر دا دی چې دا یو طرفه ده. یوازینۍ لار چې د کارونکي داخل شوي پاسورډ د هغې د هش شوي نسخې سره پرتله کوي د ان پټ هش کول او پرتله کول دي. د رینبو میزونو په څیر د وسیلو څخه د بریدونو مخنیوي لپاره، موږ پروسه په تصادفي ډول مالګه کوو (زما لوستل پوسته د کریپټوګرافیک ذخیره کولو په اړه). په نهایت کې ، که چیرې په سمه توګه پلي شي ، موږ ډاډه یو چې هش شوي پاسورډونه به هیڅکله بیا ساده متن نه شي (زه به په بل پوسټ کې د مختلف هیشینګ الګوریتمونو ګټو په اړه وغږیږم).

د هش کولو په وړاندې د کوډ کولو په اړه یو ګړندی دلیل: یوازینی دلیل چې تاسو اړتیا لرئ د هش پاسورډ پرځای کوډ کولو ته اړتیا لرئ کله چې تاسو اړتیا لرئ پاسورډ په ساده متن کې وګورئ ، او تاسو باید هیڅکله دا نه غواړئلږترلږه د معیاري ویب پاڼې وضعیت کې. که تاسو دې ته اړتیا لرئ، نو ډیری احتمال تاسو یو څه غلط کوئ!

پاملرنه وکړئ!

د پوسټ په متن کې لاندې د فحش ویب پا AlotPorn د سکرین شاټ برخه ده. دا په سمه توګه کټ شوی دی نو داسې هیڅ شی نشته چې تاسو یې په ساحل کې نه ګورئ، مګر که چیرې دا لاهم د کومې ستونزې لامل شي، لاندې سکرول مه کوئ.

تل خپل پټنوم بیا تنظیم کړئ هیڅکله نه هغه مه یادوئ

ایا تاسو کله هم د فنکشن جوړولو غوښتنه کړې یادونه رمز؟ یو ګام شاته واخلئ او د دې غوښتنې په اړه فکر وکړئ: ولې دې "یادونې" ته اړتیا ده؟ ځکه چې کارونکي پټنوم هیر کړی. موږ واقعیا څه کول غواړو؟ د هغه سره بیا ننوتلو کې مرسته وکړئ.

زه پوهیږم چې د "یادونې" کلمه (اکثرا) په لغت کې کارول کیږي، مګر هغه څه چې موږ واقعیا هڅه کوو هغه دی په خوندي ډول د کارونکي سره مرسته وکړئ چې بیا آنلاین شي. څرنګه چې موږ امنیت ته اړتیا لرو، دوه دلیلونه شتون لري چې ولې یادونه (د بیلګې په توګه کاروونکي ته د دوی پټنوم لیږل) مناسب ندي:

1. بریښنالیک یو ناامنه چینل دی. لکه څنګه چې موږ به د HTTP په اړه هیڅ حساس نه واستوو (موږ به HTTPS وکاروو)، موږ باید د بریښنالیک له لارې هیڅ حساس ونه لیږو ځکه چې د ټرانسپورټ پرت ناامنه دی. په حقیقت کې، دا په ساده ډول د ناامنه ټرانسپورټ پروتوکول په اړه د معلوماتو لیږلو څخه خورا بد دی، ځکه چې میل اکثرا د ذخیره کولو وسیله کې زیرمه کیږي، د سیسټم مدیرانو ته د لاسرسي وړ، لیږل شوي او ویشل شوي، مالویر ته د لاسرسي وړ، او داسې نور. نه کوډ شوی بریښنالیک یو خورا ناامنه چینل دی.
2. تاسو باید په هرصورت پاسورډ ته لاسرسی ونلرئ. په ذخیره کې پخوانۍ برخه بیا ولولئ - تاسو باید د پاسورډ هش ولرئ (د ښه قوي مالګې سره) ، پدې معنی چې تاسو باید په هیڅ ډول د دې وړتیا ونلرئ چې پاسورډ راوباسئ او د بریښنالیک له لارې یې واستوئ.

اجازه راکړئ ستونزه د مثال په توګه وښیم usoutdoor.com: دلته د ننوتلو یوه عادي پاڼه ده:

په ښکاره ډول، لومړۍ ستونزه دا ده چې د ننوتلو پاڼه په HTTPS کې نه پورته کیږي، مګر سایټ تاسو ته د پټنوم لیږلو ته هڅوي ("پاسورډ لیږل"). دا کیدای شي د پورته ذکر شوي اصطلاح د کارونې یوه بیلګه وي، نو راځئ چې دا یو ګام نور هم واخلو او وګورو چې څه پیښیږي:

دا ډیر ښه نه ښکاري، له بده مرغه؛ او یو بریښنالیک تاییدوي چې ستونزه شتون لري:

دا موږ ته د usoutdoor.com دوه مهم اړخونه راکوي:

1. سایټ پاسورډونه نه لري. په غوره توګه، دوی کوډ شوي دي، مګر احتمال لري چې دوی په ساده متن کې زیرمه شوي وي؛ موږ برعکس هیڅ شواهد نه وینو.
2. سایټ یو اوږد مهاله پاسورډ لیږي (موږ کولی شو بیرته لاړ شو او بیا یې وکاروو) په یو ناامنه چینل کې.

د دې لارې څخه بهر، موږ اړتیا لرو چې وګورو چې ایا د بیا تنظیم کولو پروسه په خوندي ډول ترسره کیږي. د دې کولو لپاره لومړی ګام دا دی چې ډاډ ترلاسه کړئ چې غوښتونکی د بیا تنظیم کولو حق لري. په بل عبارت، مخکې له دې موږ د هویت چک ته اړتیا لرو؛ راځئ چې وګورو چې څه پیښیږي کله چې یو هویت تصدیق شي پرته لدې چې لومړی دا تایید کړي چې غوښتنه کونکی واقعیا د حساب مالک دی.

د کارن نومونو لیست کول او په نامعلومیت باندې د هغې اغیز

دا ستونزه په ښه توګه په بصری توګه بیان شوی. ستونزه:

تاسو ګورئ؟ پیغام ته پام وکړئ "د دې بریښنالیک پتې سره هیڅ کارن راجستر شوی نه دی." ستونزه په ښکاره ډول رامینځته کیږي که چیرې داسې سایټ تایید کړي شتون کارن د داسې بریښنالیک پتې سره راجستر شوی. بنګو - تاسو یوازې د خپل میړه/باس/ګاونډي فحش فیټش کشف کړ!

البته، فحش د محرمیت د اهمیت یوه مناسبه بیلګه ده، مګر د یو ځانګړي ویب پاڼې سره د یو فرد د یوځای کولو خطرونه د پورته بیان شوي احتمالي ناڅاپي وضعیت په پرتله خورا پراخ دي. یو خطر ټولنیز انجینري ده؛ که چیرې برید کوونکی کولی شي د یو شخص سره د خدمت سره سمون ولري، نو هغه به هغه معلومات ولري چې کولی شي کارول پیل کړي. د مثال په توګه، هغه کولی شي د یو کس سره اړیکه ونیسي چې د ویب پاڼې د استازي په توګه انځوروي او د ژمنې کولو په هڅه کې د اضافي معلوماتو غوښتنه کوي سپیر فشینګ.

دا ډول کړنې د "کارن نوم شمیرنې" خطر هم لوړوي، چیرې چې یو څوک کولی شي په ویب پاڼه کې د کاروونکو نومونو یا بریښنالیک پتې د ټولګې شتون په ساده ډول د ګروپ پوښتنو ترسره کولو او ځوابونو معاینه کولو سره تصدیق کړي. ایا تاسو د ټولو کارمندانو د بریښنالیک پتې لیست لرئ او د سکریپټ لیکلو لپاره څو دقیقې لرئ؟ بیا تاسو وګورئ چې ستونزه څه ده!

بدیل څه دی؟ په حقیقت کې، دا خورا ساده دی، او په حیرانتیا سره پلي کیږي Entropay:

دلته Entropay په خپل سیسټم کې د بریښنالیک پتې شتون په اړه هیڅ شی نه څرګندوي هغه چا ته چې دا پته نه لري... که ته خپل دا پته او دا په سیسټم کې شتون نلري، نو تاسو به ورته بریښنالیک ترلاسه کړئ:

البته، ممکن د منلو وړ حالتونه وي چې په کوم کې یو څوک فکر کويچې تاسو په ویب پاڼه کې ثبت کړی دی. مګر دا قضیه نده، یا ما دا د بل بریښنالیک پتې څخه کړې. پورته ښودل شوي مثال دواړه حالتونه ښه اداره کوي. په ښکاره ډول، که چیرې پته سره سمون ولري، تاسو به یو بریښنالیک ترلاسه کړئ چې ستاسو د پټنوم بیا تنظیم کول اسانه کوي.

د انټروپای لخوا غوره شوي حل لنډیز دا دی چې د پیژندنې تصدیق د هغې مطابق ترسره کیږي برېښلیک مخکې له دې چې آنلاین تایید شي. ځینې ​​سایټونه له کاروونکو څخه د امنیت پوښتنې ځواب غوښتنه کوي (لاندې په دې اړه نور) پورې بیا تنظیم څنګه پیل کیدی شي؛ په هرصورت، د دې سره ستونزه دا ده چې تاسو باید پوښتنې ته ځواب ووایاست پداسې حال کې چې د پیژندنې ځینې بڼې (بریښنالیک یا کارن نوم) چمتو کړئ، کوم چې بیا د نامعلوم کارونکي حساب شتون ښکاره کولو پرته په شعوري ډول ځواب ورکول تقریبا ناممکن کوي.

د دې طریقې سره شتون لري کوچنی د کارونې کمښت ځکه چې که تاسو د غیر موجود حساب بیا تنظیمولو هڅه وکړئ، سمدستي غبرګون شتون نلري. البته، دا د بریښنالیک لیږلو ټول ټکی دی، مګر د اصلي پای کارونکي له نظره، که دوی غلط پته ته ننوځي، دوی به یوازې د لومړي ځل لپاره پوه شي کله چې دوی بریښنالیک ترلاسه کړي. دا ممکن د هغه په ​​​​خوا کې د یو څه فشار لامل شي ، مګر دا د داسې نادر پروسې لپاره تادیه کولو لپاره یو کوچنی قیمت دی.

بله یادونه، لږ څه لرې موضوع: د ننوتلو مرستې فعالیتونه چې څرګندوي چې ایا د کارن نوم یا بریښنالیک پته سمه ده ورته ستونزه لري. تل کارونکي ته د "ستاسو کارن-نوم او پټنوم ترکیب غلط دی" پیغام سره ځواب ورکړئ د دې پرځای چې په څرګند ډول د اعتبار شتون تایید کړي (د مثال په توګه ، "کارن نوم سم دی ، مګر پټنوم غلط دی").

د ری سیٹ پاسورډ لیږل د بیا تنظیم URL لیږل

بل مفهوم چې موږ یې په اړه بحث کولو ته اړتیا لرو د خپل پټنوم بیا تنظیم کولو څرنګوالی دی. دوه مشهور حلونه شتون لري:

1. په سرور کې د نوي پټنوم رامینځته کول او د بریښنالیک له لارې لیږل
2. د بیا تنظیم کولو پروسه اسانه کولو لپاره د ځانګړي URL سره بریښنالیک واستوئ

سره له دې چې ډیری لارښودونهلومړی ټکی باید هیڅکله ونه کارول شي. د دې سره ستونزه دا ده چې دا پدې مانا ده چې شتون لري ساتل شوی پټنوم، کوم چې تاسو کولی شئ بیرته راشئ او په هر وخت کې بیا وکاروئ؛ دا په یو ناامنه چینل کې لیږل شوی او ستاسو په ان باکس کې پاتې کیږي. چانسونه دا دي چې ان باکسونه د ګرځنده وسیلو او بریښنالیک پیرودونکي سره همغږي شوي ، او دا ممکن د ډیر وخت لپاره د ویب بریښنالیک خدمت کې آنلاین زیرمه شي. خبره دا ده یو میل باکس د اوږدې مودې ذخیره کولو د باور وړ وسیلې په توګه نشي ګڼل کیدی.

مګر د دې ترڅنګ، لومړی ټکی یو بل جدي ستونزه لري - دا د امکان تر حده ساده کوي د ناوړه نیت سره د حساب بندول. که زه د هغه چا بریښنالیک پته پیژنم چې په ویب پا onه کې حساب لري ، نو زه کولی شم په ساده ډول د دوی د پټنوم بیا تنظیمولو سره هر وخت دوی بلاک کړم؛ دا د سرو زرو په تخته کې د خدمت برید څخه انکار دی! له همدې امله بیا تنظیم کول باید یوازې د دې لپاره د غوښتونکي د حقونو بریالي تایید وروسته ترسره شي.

کله چې موږ د بیا تنظیم شوي URL په اړه خبرې کوو، موږ د یوې ویب پاڼې پته معنی لرو چې دا دی د بیا تنظیم کولو پروسې دې ځانګړې قضیې ته ځانګړی. البته، دا باید تصادفي وي، دا باید اټکل کول اسانه نه وي، او دا باید د حساب لپاره هیڅ بهرنۍ اړیکې ونه لري چې د بیا تنظیم کول اسانه کوي. د مثال په توګه، د ری سیٹ URL باید په ساده ډول د "Reset/?username=JohnSmith" په څیر لاره نه وي.

موږ غواړو یو ځانګړی نښه جوړه کړو چې د بیا تنظیم شوي URL په توګه لیږل کیدی شي، او بیا د کارونکي حساب د سرور ریکارډ سره سمون لري، پدې توګه دا تاییدوي چې د حساب مالک په حقیقت کې هماغه کس دی چې د پټنوم بیا تنظیمولو هڅه کوي. د مثال په توګه ، یو نښه کیدی شي "3ce7854015cd38c862cb9e14a1ae552b" وي او په میز کې د هغه کارونکي ID سره ذخیره کیږي چې د ریسیټ ترسره کوي او هغه وخت چې نښه رامینځته شوې وه (لاندې نور پدې اړه). کله چې بریښنالیک واستول شي، دا یو یو آر ایل لري لکه "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b"، او کله چې کاروونکي دا ډاونلوډ کړي، پاڼه د نښې شتون ته اشاره کوي، وروسته له دې چې دا د کارونکي معلومات تاییدوي او دوی ته اجازه ورکوي چې د کارونکي معلومات بدل کړي. رمز.

البته، څرنګه چې پورته پروسه (امید لري) کارونکي ته اجازه ورکوي چې یو نوی پټنوم جوړ کړي، موږ باید ډاډ ترلاسه کړو چې URL په HTTPS کې بار شوی. نه، د HTTPS په اړه د POST غوښتنې سره لیږل کافي ندي، دا نښه URL باید د ټرانسپورټ پرت امنیت وکاروي ترڅو د نوي پټنوم فورمه برید ونه شي MITM او د کارونکي لخوا جوړ شوی پټنوم د خوندي پیوستون له لارې لیږدول شوی.

همدارنګه د ری سیٹ URL لپاره تاسو اړتیا لرئ د نښه کولو وخت حد اضافه کړئ ترڅو د ری سیٹ پروسه په یو ټاکلي وقفه کې بشپړه شي ، په یو ساعت کې ووایاست. دا ډاډ ورکوي چې د بیا تنظیم کولو وخت کړکۍ لږترلږه ساتل کیږي ترڅو د ری سیٹ URL ترلاسه کونکی یوازې په دې کوچنۍ کړکۍ کې عمل وکړي. البته، برید کوونکی کولی شي د بیا تنظیم کولو پروسه بیا پیل کړي، مګر دوی به د یو بل ځانګړي ری سیٹ URL ترلاسه کولو ته اړتیا ولري.

په نهایت کې ، موږ اړتیا لرو ډاډ ترلاسه کړو چې دا پروسه د ضایع کیدو وړ ده. یوځل چې د بیا تنظیم کولو پروسه بشپړه شي، نښه باید لیرې شي ترڅو د ری سیٹ URL نور کار ونه کړي. مخکینی ټکی اړین دی ترڅو ډاډ ترلاسه شي چې برید کونکی خورا کوچنۍ کړکۍ لري په کوم کې چې هغه کولی شي د ری سیٹ URL اداره کړي. برسیره پردې، البته، یوځل چې بیا تنظیم کول بریالي شي، نښې نور اړتیا نلري.

ځینې ​​​​دا مرحلې ممکن خورا بې کاره ښکاري، مګر دوی د کارونې او کارولو سره مداخله نه کوي په حقیقت کې د خوندیتوب ښه کول، که څه هم په داسې شرایطو کې چې موږ هیله لرو نادره وي. په 99٪ قضیو کې ، کارونکي به په خورا لنډ وخت کې ری سیٹ فعال کړي او په نږدې راتلونکي کې به پاسورډ بیا تنظیم نه کړي.

د کیپچا رول

اوه، کیپچا، هغه امنیتي ځانګړتیا چې موږ ټول یې نفرت کوو! په حقیقت کې، کیپچا دومره د ساتنې وسیله نه ده لکه څنګه چې دا د پیژندنې وسیله ده - که تاسو یو شخص یاست یا روبوټ (یا یو اتوماتیک سکریپټ). د دې هدف د اتوماتیک فورمې سپارلو څخه مخنیوی دی، کوم چې، البته، کولای شي د امنیت د ماتولو لپاره د یوې هڅې په توګه کارول کیږي. د پټنوم د بیا تنظیمولو په شرایطو کې، CAPTCHA پدې مانا ده چې د بیا تنظیم کولو فعالیت د کارونکي سپیم کولو یا د حسابونو شتون معلومولو هڅه نشي کولی (کوم چې، البته، دا به ممکنه نه وي که تاسو په برخه کې مشوره تعقیب کړئ. د هویت تصدیق کول).

البته، کیپچا پخپله بشپړ ندی؛ د دې سافټویر "هیک کولو" او د کافي بریالیتوب نرخونو ترلاسه کولو لپاره ډیری مثالونه شتون لري (60-70٪). برسیره پردې، زما په پوسټ کې د حل حل شتون لري د اتوماتیک خلکو لخوا کیپچا هیک کول، چیرې چې تاسو کولی شئ خلکو ته د هرې CAPTCHA حل کولو لپاره د سینټ برخې برخې ورکړئ او د 94٪ بریالیتوب کچه ترلاسه کړئ. دا، دا زیان منونکی دی، مګر دا (لږ څه) د ننوتلو خنډ لوړوي.

راځئ چې د PayPal مثال ته یو نظر وکړو:

پدې حالت کې، د بیا تنظیم کولو پروسه په ساده ډول نشي پیل کیدی تر هغه چې کیپچا حل شوی وي، نو په تیوري کې د پروسې اتومات کول ناممکن دي. په تیوري کې.

په هرصورت، د ډیری ویب غوښتنلیکونو لپاره دا به ډیر کم وي او بالکل سمه ده د کارونې کمښت استازیتوب کوي - خلک یوازې کیپچا نه خوښوي! سربیره پردې، کیپچا یو څه دی چې تاسو کولی شئ په اسانۍ سره د اړتیا په صورت کې بیرته راستانه شئ. که چیرې خدمت د برید لاندې راشي (دا هغه ځای دی چې لاګنګ په کار کې راځي ، مګر وروسته یې نور) ، نو د کیپچا اضافه کول اسانه ندي.

پټې پوښتنې او ځوابونه

د ټولو میتودونو سره چې موږ یې په پام کې نیولي، موږ وکولی شو یوازې د بریښنالیک حساب ته د لاسرسي له لارې پټنوم بیا تنظیم کړو. زه وایم "یوازې"، مګر، البته، د بل چا بریښنالیک حساب ته لاسرسی غیرقانوني دی. باید یوه پیچلې پروسه وي. په هرصورت دا تل داسې نه ده.

په حقیقت کې، د سارا پالین د یاهو د هیک کولو په اړه پورته لینک! دوه موخې لري؛ لومړی، دا په ډاګه کوي چې د (ځینې) بریښنالیک حسابونو هیک کول څومره اسانه دي، او دویم، دا ښیي چې څنګه ناوړه امنیتي پوښتنې د ناوړه ارادې سره کارول کیدی شي. مګر موږ به وروسته بیرته راشو.

د 100٪ بریښنالیک پراساس پاسورډ ری سیٹ کولو سره ستونزه دا ده چې د هغه سایټ لپاره د حساب بشپړتیا چې تاسو یې د بیا تنظیم کولو هڅه کوئ د بریښنالیک حساب بشپړتیا پورې 100٪ پورې اړه لري. هرڅوک چې ستاسو بریښنالیک ته لاسرسی ولري هر حساب ته لاسرسی لري چې په ساده ډول د بریښنالیک ترلاسه کولو سره تنظیم کیدی شي. د داسې حسابونو لپاره، بریښنالیک ستاسو د آنلاین ژوند "ټولو دروازو کلي" دی.

د دې خطر د کمولو لپاره یوه لاره د امنیت پوښتنې او ځواب نمونې پلي کول دي. بې له شکه چې تاسو دوی دمخه لیدلي دي: یوه پوښتنه غوره کړئ چې یوازې تاسو یې ځواب کولی شئ باید ځواب پوهیږئ، او بیا کله چې تاسو خپل پټنوم بیا تنظیم کړئ نو تاسو به یې وغوښتل شي. دا باور زیاتوي چې هغه څوک چې د بیا تنظیم کولو هڅه کوي په حقیقت کې د حساب مالک دی.

بیرته سارا پیلین ته: تېروتنه دا وه چې د هغې د امنیت پوښتنې/پوښتنو ځوابونه په اسانۍ سره موندل کیدی شي. په ځانګړې توګه کله چې تاسو د پام وړ عامه شخصیت یاست، ستاسو د مور د زوکړې نوم، تعلیمي تاریخ، یا چیرې چې یو څوک په تیرو وختونو کې ژوند کاوه دا ټول پټ نه دی. په حقیقت کې، ډیری یې د هر چا لخوا موندل کیدی شي. دا هغه څه دي چې د سارا سره پیښ شوي:

هیکر ډیویډ کیرنیل د پالین حساب ته د هغې د شالید په اړه توضیحاتو موندلو سره لاسرسی ترلاسه کړ ، لکه د هغې پوهنتون او د زیږون نیټه ، او بیا د یاهو هیر شوي پاسورډ بیرته ترلاسه کولو خصوصیت په کارولو سره.

تر ټولو لومړی، دا د یاهو په برخه کې د ډیزاین تېروتنه ده! - د داسې ساده پوښتنو په ټاکلو سره، شرکت په اصل کې د امنیت پوښتنې ارزښت، او له همدې امله د دې سیسټم ساتنه تخریب کړه. البته، د بریښنالیک حساب لپاره د پاسورډونو بیا تنظیم کول تل خورا ستونزمن وي ځکه چې تاسو نشئ کولی مالک ته د بریښنالیک لیږلو سره مالکیت ثابت کړئ (پرته له دې چې دوهم پته ولرئ) ، مګر خوشبختانه نن ورځ د داسې سیسټم رامینځته کولو لپاره ډیری کارونې شتون نلري.

راځئ چې امنیتي پوښتنو ته بیرته راشئ - یو اختیار شتون لري چې کارونکي ته اجازه ورکړي چې خپلې پوښتنې رامینځته کړي. ستونزه دا ده چې دا به د خورا روښانه پوښتنو پایله ولري:

آسمان څه رنګ دی؟

هغه پوښتنې چې خلک ناامنه کوي کله چې امنیتي پوښتنه د پیژندلو لپاره کارول کیږي شخص (د مثال په توګه، د تلیفون په مرکز کې):

زه په کرسمس کې له چا سره خوب کوم؟

یا په ریښتیا احمقانه پوښتنې:

تاسو "پاسورډ" څنګه ولیکئ؟

کله چې دا د امنیت پوښتنو ته راځي، کاروونکي باید له ځانه وژغورل شي! په بل عبارت، امنیتي پوښتنه باید پخپله د سایټ لخوا وټاکل شي، یا تر اوسه ښه، پوښتنه شوې لړۍ امنیتي پوښتنې چې له هغې څخه کاروونکي کولی شي غوره کړي. او دا غوره کول اسانه ندي один; په مثالي توګه کارونکي باید دوه یا ډیر امنیتي پوښتنې غوره کړي د حساب ثبتولو په وخت کې، کوم چې بیا به د دوهم پیژندنې چینل په توګه وکارول شي. د ډیری پوښتنو درلودل د تایید پروسې باور ډیروي ، او د تصادفي اضافه کولو وړتیا هم چمتو کوي (تل ورته پوښتنه نه ښیې) ، او په هغه صورت کې یو څه بې ځایه کیدو چمتو کوي که چیرې ریښتیني کارونکي پاسورډ هیر کړی وي.

ښه امنیتي پوښتنه څه ده؟ دا د څو فکتورونو لخوا اغیزمن کیږي:

1. هغه باید وي لنډ – پوښتنه باید روښانه او مبهم وي.
2. ځواب باید وي مشخص - موږ داسې پوښتنې ته اړتیا نلرو چې یو څوک یې په بل ډول ځواب کړي
3. احتمالي ځوابونه باید وي متنوع - د یو چا د خوښې رنګ پوښتنه کول د ممکنه ځوابونو خورا کوچنۍ سبټ تولیدوي
4. Поиск ځواب باید پیچلی وي - که ځواب په اسانۍ سره وموندل شي هر (په لوړو مقامونو کې خلک یادوئ) نو هغه بد دی
5. ځواب باید وي دايمي په وخت کې - که تاسو د یو چا د خوښې فلم څخه پوښتنه وکړئ، نو یو کال وروسته ځواب ممکن توپیر ولري

لکه څنګه چې دا پیښیږي، دلته یوه ویب پاڼه شتون لري چې د ښه پوښتنو غوښتنه کوي GoodSecurityQuestions.com. ځینې ​​​​پوښتنې خورا ښه ښکاري، نورې یې پورته بیان شوي ځینې ازموینې نه تیریږي، په ځانګړې توګه د "لټون آسانتیا" ازموینه.

اجازه راکړئ وښایه چې څنګه PayPal امنیتي پوښتنې پلي کوي او په ځانګړې توګه، هغه هڅې چې سایټ تصدیق کوي. پورته موږ د پروسې پیل کولو لپاره پاڼه لیدلې (د کیپچا سره)، او دلته به موږ وښیو چې ستاسو د بریښنالیک پتې ته د ننوتلو او د کیپچا حل کولو وروسته څه پیښیږي:

د پایلې په توګه، کاروونکي لاندې لیک ترلاسه کوي:

تر دې دمه هرڅه خورا نورمال دي ، مګر دلته هغه څه دي چې د دې ری سیٹ URL شاته پټ دي:

نو، امنیتي پوښتنې په لوبې کې راځي. په حقیقت کې، PayPal تاسو ته اجازه درکوي چې ستاسو د کریډیټ کارت شمیره تاییدولو سره خپل پټنوم بیا تنظیم کړئ، نو یو اضافي چینل شتون لري چې ډیری سایټونه ورته لاسرسی نلري. زه نشم کولی پرته له ځواب ورکولو خپل پټنوم بدل کړم دواړه امنیتي پوښتنه (یا د کارت شمیره نه پوهیږي). حتی که یو څوک زما بریښنالیک وتښتوي، دوی به ونشي کولی زما د PayPal حساب پټنوم بیا تنظیم کړي پرته لدې چې دوی زما په اړه یو څه نور شخصي معلومات پیژني. کوم معلومات؟ دلته د امنیتي پوښتنې اختیارونه دي چې PayPal وړاندیز کوي:

د ښوونځي او روغتون پوښتنه ممکن د لټون د اسانتیا له مخې یو څه ناشونې وي، مګر نور ډیر خراب ندي. په هرصورت، د امنیت لوړولو لپاره، PayPal اضافي پیژندنې ته اړتیا لري بدل کړئ امنیتي پوښتنو ته ځوابونه:

PayPal د خوندي پټنوم بیا تنظیم کولو یو ښکلی مثال دی: دا د وحشي ځواک بریدونو خطر کمولو لپاره کیپچا پلي کوي، دوه امنیتي پوښتنو ته اړتیا لري، او بیا د ځوابونو بدلولو لپاره بل ډول بشپړ مختلف پیژندنې ته اړتیا لري — او دا د کارونکي وروسته لا دمخه لاسلیک شوی دی. البته، دا هغه څه دي چې موږ یې کوو تمه د PayPal څخه؛ یوه مالي اداره ده چې د لویو پیسو سره معامله کوي. دا پدې معنی نه ده چې هر پاسورډ بیا تنظیم کول باید دا مرحلې تعقیب کړي — ډیری وختونه دا خورا ډیر وي — مګر دا د قضیو لپاره ښه مثال دی چیرې چې امنیت جدي سوداګرۍ وي.

د امنیت پوښتنې سیسټم اسانتیا دا ده چې که تاسو دا سمدلاسه نه وي پلي کړي، تاسو کولی شئ وروسته یې اضافه کړئ که چیرې د سرچینې محافظت کچه ​​ورته اړتیا ولري. د دې یو ښه مثال ایپل دی، کوم چې پدې وروستیو کې دا میکانیزم پلي کړی [مقاله په 2012 کې لیکل شوې]. یوځل چې ما په خپل iPad کې غوښتنلیک تازه کول پیل کړل ، ما لاندې غوښتنه ولیده:

بیا ما یو سکرین ولید چیرې چې زه کولی شم څو جوړه امنیتي پوښتنې او ځوابونه غوره کړم، په بیله بیا د ژغورنې بریښنالیک پته:

لکه څنګه چې د PayPal لپاره، پوښتنې مخکې له مخکې غوره شوي او ځینې یې په حقیقت کې خورا ښه دي:

د دریو پوښتنو / ځوابونو جوړه هر یو د ممکنه پوښتنو مختلف سیټ استازیتوب کوي، نو د حساب تنظیم کولو لپاره ډیری لارې شتون لري.

ستاسو د امنیت پوښتنې ته د ځواب ویلو په اړه په پام کې نیولو بل اړخ ذخیره کول دي. په ډیټابیس کې د ساده متن ډیټابیس درلودل د پاسورډ په څیر نږدې ورته ګواښونه رامینځته کوي ، د بیلګې په توګه د ډیټابیس افشا کول سمدلاسه ارزښت څرګندوي او نه یوازې غوښتنلیک په خطر کې اچوي ، بلکه په احتمالي ډول په بشپړ ډول مختلف غوښتنلیکونه د ورته امنیتي پوښتنو په کارولو سره (هلته بیا) د acai بیری پوښتنه). یو اختیار خوندي هش کول دي (یو قوي الګوریتم او د کریپټوګرافیک پلوه تصادفي مالګه) ، مګر د ډیری پټنوم ذخیره کولو قضیو برخلاف ، ممکن د ځواب د ساده متن په توګه څرګندیدو لپاره ښه دلیل وي. یوه عادي سناریو د ژوندی تلیفون آپریټر لخوا د هویت تصدیق دی. البته، په دې قضیه کې هیشینګ هم د تطبیق وړ دی (آپریټر کولی شي په ساده ډول د پیرودونکي لخوا نومول شوي ځواب ته ننوځي)، مګر په بدترین حالت کې، پټ ځواب باید د کریپټوګرافیک ذخیره په یو څه کچه کې واقع وي، حتی که دا یوازې سمیټریک کوډ وي. . لنډیز: د رازونو په څیر د رازونو سره چلند وکړئ!

د امنیتي پوښتنو او ځوابونو یو وروستی اړخ دا دی چې دوی د ټولنیز انجینرۍ لپاره ډیر زیان منونکي دي. په مستقیم ډول د بل چا حساب ته د پټنوم ایستلو هڅه کول یو شی دی ، مګر د دې رامینځته کولو په اړه د خبرو پیل کول (یو مشهور امنیت پوښتنه) په بشپړ ډول توپیر لري. په حقیقت کې ، تاسو کولی شئ د یو چا سره د دوی د ژوند ډیری اړخونو په اړه خورا ښه اړیکه ونیسئ چې ممکن د شک رامینځته کولو پرته پټه پوښتنه رامینځته کړي. البته، د امنیتي پوښتنې اصلي ټکی دا دی چې دا د یو چا د ژوند تجربې پورې اړه لري، نو دا د یادولو وړ ده، او دا هغه ځای دی چې ستونزه شتون لري - خلک د خپل ژوند د تجربو په اړه خبرې کول خوښوي! د دې په اړه تاسو لږ څه کولی شئ، یوازې که تاسو د دې ډول امنیتي پوښتنو اختیارونه غوره کړئ نو دا دي لږ شاید د ټولنیز انجینرۍ لخوا ایستل کیدی شي.

[نور بیا.]

د اعلاناتو حقونه

د ‏‎VDSina د باور وړ وړاندیز کوي د ورځني تادیې سره سرورونه، هر سرور د 500 میګابایټ انټرنیټ چینل سره وصل دی او د DDoS بریدونو څخه وړیا خوندي دی!

سرچینه: www.habr.com