🥇 محفوظ پاسورڊ ري سيٽ بابت جيڪو ڪجهه توهان ڄاڻڻ چاهيو ٿا. حصو 2

ٻه عنصر جي تصديق

هر شي جنهن ۾ توهان پڙهو پهريون حصو ان جي بنياد تي لاڳاپيل سڃاڻپ درخواست ڪندڙ ڄاڻي ٿو. هو ڄاڻي ٿو پنهنجي اي ميل پتي، ڄاڻي ٿو ان کي ڪيئن پهچائجي (يعني سندس اي ميل پاسورڊ ڄاڻي ٿو)، ۽ ڄاڻي ٿو حفاظتي سوالن جا جواب.

"علم" کي هڪ تصديق ڪندڙ عنصر سمجهيو ويندو آهي؛ ٻه ٻيا عام عنصر آهن جيڪو توهان وٽ آهي، جهڙوڪ هڪ جسماني ڊوائيس، ۽ توهان ڪير آهيوجهڙوڪ آڱرين جا نشان يا اکين جي ريٽينا.

اڪثر صورتن ۾، حياتياتي سڃاڻپ کي انجام ڏيڻ ممڪن ناهي، خاص طور تي جڏهن اسان ويب ايپليڪيشنن جي سيڪيورٽي بابت ڳالهائي رهيا آهيون، تنهنڪري ٻه عنصر جي تصديق سان (ٻه عنصر جي تصديق، 2FA)، ٻيو وصف عام طور تي استعمال ڪيو ويندو آهي - "جيڪو توهان وٽ آهي". هن ٻئي عنصر تي هڪ مشهور تڪرار هڪ جسماني ٽوڪن آهي، مثال طور، RSA محفوظ ID:

جسماني ٽوڪن اڪثر ڪري استعمال ڪيو ويندو آهي تصديق لاءِ ڪارپوريٽ وي پي اينز ۽ مالي خدمتن ۾. خدمت سان تصديق ڪرڻ لاءِ، توهان کي ٽوڪن تي پاسورڊ ۽ ڪوڊ ٻنهي کي استعمال ڪرڻ جي ضرورت آهي (جيڪو بار بار تبديل ٿئي ٿو) هڪ PIN سان ميلاپ ۾. نظرياتي طور تي، سڃاڻپ لاء، هڪ حملي ڪندڙ کي پاسورڊ ڄاڻڻ گهرجي، هڪ ٽوڪن هجڻ گهرجي، ۽ ٽوڪن جو PIN پڻ ڄاڻڻ گهرجي. پاس ورڊ ري سيٽ جي حالت ۾، پاسورڊ پاڻ واضح طور تي اڻڄاتل آهي، پر ٽوڪن جو قبضو اڪائونٽ جي ملڪيت کي ثابت ڪرڻ لاء استعمال ڪري سگهجي ٿو. يقينا، جيئن ڪنهن به حفاظتي عمل سان، اهو نه آهي "بيوقوف"، پر يقيني طور تي داخل ٿيڻ جي رڪاوٽ کي وڌائي ٿو.

هن طريقي سان بنيادي مسئلن مان هڪ آهي قيمت ۽ عمل درآمد جي رسد؛ اسان هر گراهڪ کي جسماني ڊوائيسز جي حوالي ڪرڻ ۽ انهن کي نئين عمل سيکارڻ بابت ڳالهائي رهيا آهيون. اضافي طور تي، صارفين کي انهن سان گڏ ڊوائيس هجڻ جي ضرورت آهي، جيڪو هميشه جسماني ٽوڪن سان معاملو ناهي. ٻيو اختيار اهو آهي ته ايس ايم ايس استعمال ڪندي تصديق جو هڪ ٻيو عنصر لاڳو ڪيو وڃي، جيڪو 2FA جي صورت ۾ تصديق ڪري سگهي ٿو ته ريٽيڪل عمل کي انجام ڏيڻ وارو شخص اڪائونٽ مالڪ جي موبائل فون آهي. هتي آهي گوگل اهو ڪيئن ڪري ٿو:

توھان کي پڻ چالو ڪرڻ جي ضرورت آھي ٻه قدم جي تصديق، پر هن جو مطلب اهو آهي ته ايندڙ وقت توهان پنهنجو پاسورڊ ٻيهر سيٽ ڪيو، توهان جو موبائل فون هڪ ٻيو تصديق ڪندڙ عنصر بڻجي سگهي ٿو. مون کي اهو ظاهر ڪرڻ ڏيو منهنجي آئي فون استعمال ڪندي سببن لاءِ جيڪي جلد واضح ٿي ويندا:

اڪائونٽ جي اي ميل پتي جي سڃاڻپ ڪرڻ کان پوء، گوگل اهو طئي ڪري ٿو ته 2FA فعال ڪيو ويو آهي ۽ اسان تصديق جي ذريعي اڪائونٽ کي ري سيٽ ڪري سگهون ٿا، جيڪو ايس ايم ايس ذريعي موڪليو ويو آهي اڪائونٽ مالڪ جي موبائل فون تي:

هاڻي اسان کي چونڊڻ جي ضرورت آهي ري سيٽ عمل جي شروعات:

اهو عمل رجسٽرڊ ايڊريس تي اي ميل موڪلڻ جو سبب بڻجندو آهي:

هي اي ميل ري سيٽ URL تي مشتمل آهي:

جڏهن ري سيٽ URL تائين رسائي، هڪ ايس ايم ايس موڪليو ويو آهي ۽ ويب سائيٽ ان لاء پڇي ٿو:

هتي ايس ايم ايس آهي:

ان کي برائوزر ۾ داخل ڪرڻ کان پوء، اسان واپس کلاسک پاسورڊ ري سيٽ واري علائقي ۾ آهيون:

اهو شايد ٿورڙو ڊگهو لڳي ٿو، ۽ اهو آهي، پر فارم تصديق ڪري ٿو ته اهو شخص جيڪو ريٽ ڪري رهيو آهي اڪائونٽ مالڪ جي اي ميل پتي ۽ موبائل فون تائين رسائي آهي. پر اهو صرف اي ميل ذريعي توهان جي پاسورڊ ري سيٽ ڪرڻ کان نو ڀيرا وڌيڪ محفوظ ٿي سگهي ٿو. بهرحال، اتي مسئلا آهن ...

مسئلو سمارٽ فونز سان لاڳاپيل آهي. هيٺ ڏيکاريل ڊوائيس صرف هڪ عنصر جي تصديق ڪري سگهي ٿي - اهو ايس ايم ايس وصول ڪري سگهي ٿو، پر اي ميل نه:

بهرحال، هي ڊوائيس ايس ايم ايس وصول ڪري سگهي ٿو и پاسورڊ ري سيٽ اي ميلون حاصل ڪريو:

مسئلو اهو آهي ته اسان اي ميل کي تصديق جي پهرين عنصر طور ڏسون ٿا ۽ ايس ايم ايس (يا اڃا به هڪ ٽوڪن پيدا ڪندڙ ايپ) ٻئي جي طور تي، پر اڄ اهي هڪ ڊوائيس ۾ گڏيل آهن. يقينن، هن جو مطلب اهو آهي ته جيڪڏهن ڪو ماڻهو توهان جي اسمارٽ فون تي هٿ اچي ٿو، اهو سڀ سهولت گهٽجي ويندي حقيقت اها آهي ته اسان ٻيهر هڪ چينل ڏانهن واپس وڃو؛ هي ٻيو عنصر ”هي، جيڪو توهان وٽ آهي“ مطلب ته توهان وٽ پهريون عنصر پڻ آهي. ۽ اهو سڀ هڪ چار عددي پن سان محفوظ آهي... جيڪڏهن فون ۾ به هڪ پن آهي и هن کي بلاڪ ڪيو ويو.

ها، گوگل جي 2FA خاصيت يقيني طور تي اضافي تحفظ فراهم ڪري ٿي، پر اهو بيوقوف ناهي، ۽ اهو يقيني طور تي ٻن مڪمل طور تي خودمختيار چينلن تي منحصر ناهي.

اي ميل ايڊريس ذريعي ٻيهر سيٽ ڪريو بمقابله صارف نام ذريعي ريٽ ڪريو

ڇا مون کي صرف اي ميل ايڊريس ذريعي ري سيٽ ڪرڻ جي اجازت ڏيڻ گهرجي؟ يا استعمال ڪندڙ کي به نالي سان ري سيٽ ڪرڻ جي قابل ٿي وڃي؟ صارف نام جي ترتيب سان مسئلو اهو آهي ته صارف کي مطلع ڪرڻ جو ڪو طريقو ناهي ته صارف نالو غلط آهي. ظاهر ڪرڻ کان سواءِ ته هن نالي سان ڪنهن ٻئي جو اڪائونٽ هجي. پوئين حصي ۾، هڪ اي ميل ري سيٽ يقيني بڻائي ٿي ته انهي اي ميل جو صحيح مالڪ هميشه سسٽم ۾ عوامي طور تي ان جي وجود کي ظاهر ڪرڻ کان سواءِ راءِ وصول ڪندو. اهو نه ٿو ڪري سگهجي صرف يوزر نالو استعمال ڪندي.

تنهن ڪري جواب مختصر آهي: صرف اي ميل. جيڪڏهن توهان صرف يوزرنيم سان ري سيٽ ڪرڻ جي ڪوشش ڪندا، ته پوءِ اهڙا ڪيس هوندا جڏهن صارف حيران ٿي ويندو ته ڇا ٿيو، يا توهان اڪائونٽن جي وجود کي ظاهر ڪندا. ها، اهو صرف هڪ صارف نالو آهي، نه هڪ اي ميل پتو، ۽ ها، ڪو به ڪو به (دستياب) يوزر نالو چونڊي سگهي ٿو، پر اڃا به هڪ سٺو موقعو آهي ته توهان اڻ سڌي طرح اڪائونٽ مالڪن کي ظاهر ڪري رهيا آهيو ڇاڪاڻ ته صارفين جو نالو ٻيهر استعمال ڪرڻ جي رجحان جي ڪري.

پوء ڇا ٿيندو جڏهن ڪو ماڻهو پنهنجو نالو وساري ٿو؟ فرض ڪيو ته صارف نالو فوري طور تي هڪ اي ميل پتو نه آهي (جيڪو اڪثر ڪري ڪيس آهي)، اهو عمل ساڳيو آهي ته ڪيئن پاسورڊ ري سيٽ شروع ٿئي ٿو- هڪ اي ميل ايڊريس داخل ڪرڻ، ۽ پوء ان جي وجود کي ظاهر ڪرڻ کان سواء انهي پتي تي پيغام موڪلڻ. فرق صرف اهو آهي ته هن ڀيري پيغام ۾ صرف يوزرنيم آهي ۽ نه پاسورڊ ري سيٽ URL. يا ته اهو، يا اي ميل چوندو ته هن ايڊريس لاءِ ڪوبه اڪائونٽ ناهي.

سڃاڻپ جي تصديق ۽ اي ميل پتي جي درستگي

پاسورڊ ري سيٽ جو هڪ اهم پاسو، ۽ شايد تمام گهڻو اهم پاسو اهو آهي ته ري سيٽ ڪرڻ جي ڪوشش ڪندڙ شخص جي سڃاڻپ جي تصديق ڪرڻ. ڇا هي واقعي اڪائونٽ جو صحيح مالڪ آهي، يا ڪو ان کي هيڪ ڪرڻ جي ڪوشش ڪري رهيو آهي يا مالڪ کي تڪليف پهچائي رهيو آهي؟

ظاهر آهي، اي ميل سڃاڻپ جي تصديق لاءِ سڀ کان وڌيڪ آسان ۽ سڀ کان وڌيڪ عام چينل آهي. اهو بيوقوف نه آهي، ۽ اهڙا ڪيترائي ڪيس آهن جتي صرف اڪائونٽ جي مالڪ جي ايڊريس تي اي ميلون حاصل ڪرڻ جي قابل هجڻ ڪافي ناهي جيڪڏهن سڃاڻپ ۾ اعلي سطحي اعتماد جي ضرورت آهي (جنهن ڪري 2FA استعمال ڪيو ويندو آهي)، پر اهو تقريبا هميشه آهي. شروعاتي نقطي ري سيٽ عمل.

جيڪڏهن اي ميل اطمينان مهيا ڪرڻ ۾ ڪردار ادا ڪرڻ وارو آهي، پهريون قدم اهو يقيني بڻائڻ آهي ته اي ميل پتو، حقيقت ۾، صحيح آهي. جيڪڏهن ڪو غلط علامت ٺاهي، ته پوءِ ظاهر آهي ريٽ شروع نه ٿيندو. رجسٽريشن جي وقت تي اي ميل جي تصديق جو عمل پتو جي صحيحيت جي تصديق ڪرڻ لاء هڪ قابل اعتماد طريقو آهي. اسان سڀني کي عملي طور تي ڏٺو آهي: توهان سائن اپ ڪريو ٿا، اهي توهان کي هڪ منفرد URL سان هڪ اي ميل موڪليندا آهن جنهن تي توهان ڪلڪ ڪندا آهيو، جيڪو تصديق ڪري ٿو ته توهان آهيو، حقيقت ۾، انهي اي ميل اڪائونٽ جا مالڪ. لاگ ان ٿيڻ جي قابل نه هجڻ جيستائين اهو عمل مڪمل نه ٿئي اهو يقيني بڻائي ٿو ته توهان پنهنجي ايڊريس جي تصديق ڪرڻ لاءِ حوصلا افزائي ڪئي آهي.

جيئن سيڪيورٽي جي ٻين ڪيترن ئي پهلوئن سان، هي ماڊل استعمال ڪندڙ جي سڃاڻپ ۾ اعتماد جي نسبت سان وڌيل سيڪيورٽي فراهم ڪرڻ جي بدلي ۾ استعمال جي قابليت کي سمجهي ٿو. اهو هڪ سائيٽ لاءِ قابل قبول ٿي سگهي ٿو جتي صارف رجسٽريشن کي تمام گهڻو اهميت ڏئي ٿو ۽ خوشيءَ سان عمل ۾ هڪ ٻيو قدم شامل ڪندو (ادا ڪيل خدمتون، بينڪنگ، وغيره)، پر اهڙيون شيون صارف کي بند ڪري سگهن ٿيون جيڪڏهن هو هن اڪائونٽ کي ”ڊسپوزيبل“ سمجهي ٿو. ”۽ استعمال ڪري ٿو، مثال طور، صرف پوسٽ تي تبصرو ڪرڻ جو هڪ وسيلو.

سڃاڻڻ ڪنهن ري سيٽ عمل کي شروع ڪيو

واضح طور تي، ريٽيڪل خصوصيت کي بدسلوڪي استعمال ڪرڻ جا سبب آهن، ۽ حملي ڪندڙ ان کي ڪيترن ئي طريقن سان استعمال ڪري سگهن ٿا. ھڪڙي سادي چال جيڪا اسان استعمال ڪري سگھون ٿا ھڪڙي درخواست جي اصليت جي تصديق ڪرڻ لاءِ (ھي چال عام طور تي ڪم) خط ۾ اضافو آهي درخواست ڪندڙ جي IP پتي کي ري سيٽ ڪرڻ جي تجويز سان. اهو وصول ڪندڙ کي فراهم ڪري ٿو ڪجھ درخواست جي ذريعن کي سڃاڻڻ لاءِ معلومات.

هتي ري سيٽ فنڪشن مان هڪ مثال آهي جيڪو آئون هن وقت ASafaWeb ۾ ٺاهي رهيو آهيان:

"وڌيڪ ڳولهيو" لنڪ استعمال ڪندڙ کي سائيٽ ڏانهن وٺي ٿو ip-address.com, رپورٽنگ معلومات جيئن ري سيٽ درخواست ڪندڙ جو مقام ۽ تنظيم:

يقينن، ڪو به ماڻهو جيڪو پنهنجي سڃاڻپ کي لڪائڻ چاهي ٿو، انهن جي حقيقي IP پتي کي لڪائڻ لاء ڪيترائي طريقا آهن، پر اهو درخواست ڪندڙ جي جزوي سڃاڻپ شامل ڪرڻ جو هڪ آسان طريقو آهي، ۽ گهڻو ڪري ڪيسن ۾، اهو توهان کي سٺو خيال ڏيندو ته پاسورڊ ري سيٽ جي درخواست کي ڪير مڪمل ڪندو.

تبديلين جي اطلاع اي ميل ذريعي

هي پوسٽ هڪ موضوع سان ڀريل آهي - ڪميونيڪيشن؛ اڪائونٽ جي مالڪ کي جيترو ٿي سگهي ٻڌايو ته عمل جي هر مرحلي تي ڇا ٿئي ٿو، ڪنهن به شيءِ کي ظاهر ڪرڻ کان سواءِ جيڪو بدسلوڪي ارادي سان استعمال ٿي سگهي ٿو. ساڳئي صورتحال تي لاڳو ٿئي ٿو جتي پاسورڊ اصل ۾ تبديل ٿي چڪو آهي. هن مالڪ کي اطلاع ڏيو!

توھان جي پاسورڊ تبديل ڪرڻ جا ٻه سبب آھن:

لاگ ان ٿيڻ کان پوءِ پاسورڊ تبديل ڪرڻ ڇو ته صارف نئون پاسورڊ چاهي ٿو
لاگ ان کانسواءِ پاسورڊ ري سيٽ ڪريو ڇاڪاڻ ته صارف ان کي وساري ڇڏيو

جڏهن ته هي پوسٽ بنيادي طور تي ري سيٽ ڪرڻ جي باري ۾ آهي، اڳوڻي کي مطلع ڪرڻ ڪنهن جي پاسورڊ کي تبديل ڪرڻ جي خطري کي گھٽائي ٿو بغير صحيح مالڪ جي ڄاڻ. اهو ڪيئن ٿي سگهي ٿو؟ هڪ تمام عام منظرنامو اهو آهي ته صحيح مالڪ جو پاسورڊ حاصل ڪيو ويندو آهي (هڪ ٻيهر استعمال ٿيل پاسورڊ ڪنهن ٻئي ذريعن کان لڪي ويو آهي، هڪ ڪي لاگ ٿيل پاسورڊ، هڪ آسان اندازو لڳائڻ وارو پاسورڊ، وغيره) ۽ پوء حملي ڪندڙ ان کي تبديل ڪرڻ جو فيصلو ڪري ٿو، اهڙيء طرح مالڪ کي بند ڪري ٿو. . اي ميل نوٽيفڪيشن کان سواء، حقيقي مالڪ کي پاسورڊ تبديلي جي باري ۾ ڄاڻ نه هوندي.

يقينا، پاسورڊ ري سيٽ ڪرڻ جي صورت ۾، مالڪ اڳ ۾ ئي عمل شروع ڪيو هوندو (يا مٿي بيان ڪيل سڃاڻپ چيڪرز کي نظرانداز ڪيو)، تنهنڪري تبديلي نه گهرجي ٿي سگهي ٿو هن لاءِ هڪ تعجب، پر هڪ اي ميل جي تصديق مثبت موٽ ۽ اضافي تصديق هوندي. اهو پڻ مٿي ڏنل منظرنامي سان مطابقت فراهم ڪري ٿو.

ها، ۽ صورت ۾ اهو اڳ ۾ ئي واضح نه هو - ٽپال ذريعي نئون پاسورڊ نه موڪليو! اهو ٿي سگهي ٿو ڪجهه ماڻهو کلڻ، پر هن قسم جي شيء ٿئي ٿي:

لاگ، لاگ، لاگ ۽ ڪجھ وڌيڪ لاگ

پاسورڊ ري سيٽ فنڪشن حملي ڪندڙن لاءِ پرڪشش آهي: حملو ڪندڙ يا ته ڪنهن ٻئي شخص جي اڪائونٽ تائين رسائي حاصل ڪرڻ چاهي ٿو، يا صرف اڪائونٽ/سسٽم مالڪ کي تڪليف پهچائي ٿو. مٿي بيان ڪيل ڪيتريون ئي مشقون غلط استعمال جي امڪان کي گهٽائينديون آهن، پر ان کي نه روڪينديون آهن، ۽ اهي يقيناً ماڻهن کي غير ارادي طريقن سان خصوصيت کي استعمال ڪرڻ جي ڪوشش ڪرڻ کان نه روڪيندا.

بدسلوڪي رويي کي ڳولڻ لاء، لاگنگ بلڪل انمول عمل آهي، ۽ منهنجو مطلب آهي تمام تفصيلي لاگنگ. رڪارڊ ناڪام لاگ ان ڪوششون، پاسورڊ ري سيٽ، پاسورڊ تبديلين (يعني جڏهن صارف اڳ ۾ ئي لاگ ان ٿيل آهي) ۽ تقريبا هر شي جيڪا توهان کي سمجهڻ ۾ مدد ڪري سگهي ٿي ته ڇا ٿي رهيو آهي؛ اهو مستقبل ۾ تمام گهڻو مفيد ٿيندو. انفرادي طور تي لاگ ان ڪريو حصا عمل، مثال طور، هڪ سٺي ري سيٽ فيچر ۾ شامل ٿيڻ گهرجي ويب سائيٽ ذريعي ري سيٽ شروع ڪرڻ (ري سيٽ جي درخواست کي پڪڙيو ۽ غلط يوزرنيم يا اي ميل سان لاگ اِن ڪوششون)، ري سيٽ URL تي ويب سائيٽ جي دورو کي پڪڙيو (جنهن ۾ غلط ٽوڪن استعمال ڪرڻ جي ڪوشش شامل آهي)، ۽ پوء سيڪيورٽي سوال جي جواب جي ڪاميابي يا ناڪامي کي لاگ ان ڪريو.

جڏهن مان لاگنگ جي باري ۾ ڳالهائيندو آهيان، منهنجو مطلب اهو آهي ته نه رڳو حقيقت کي رڪارڊ ڪيو وڃي ته هڪ پيج لوڊ ٿيل آهي، پر ان سان گڏ ممڪن طور تي وڌيڪ معلومات گڏ ڪرڻ، جيڪڏهن اهو رازداري نه آهي. دوستو، مهرباني ڪري لاگن ۾ پاسورڊ نه لکو! لاگز کي بااختيار استعمال ڪندڙ جي سڃاڻپ کي رجسٽر ڪرڻ جي ضرورت آهي (هو بااختيار هوندو جيڪڏهن هو تبديليون موجوده پاس ورڊ يا ري سيٽ ڪرڻ جي ڪوشش ڪنهن ٻئي جو پاسورڊ لاگ ان ٿيڻ کان پوء)، ڪنهن به صارف جو نالو يا اي ميل ايڊريس اهو ڪوشش ڪري ٿو ۽ ان جي ڪوشش ڪري ٿو ڪو به ري سيٽ ٽوڪن. پر اهو پڻ قابل آهي لاگ ان شين جهڙوڪ IP پتي ۽، جيڪڏهن ممڪن هجي، سرن جي درخواست پڻ. هي توهان کي نه رڳو تفريح ڪرڻ جي اجازت ڏئي ٿو ته استعمال ڪندڙ (يا حملو ڪندڙ) ڪرڻ جي ڪوشش ڪري رهيو آهي، پر پڻ ڪير آهي هو اهڙو آهي.

ٻين ڪارڪردگيءَ جي ذميدارين جي ورهاست

جيڪڏهن توهان سوچيو ته اهو سڀ ڪم جي وڏي مقدار جي نمائندگي ڪري ٿو، توهان اڪيلو نه آهيو. حقيقت ۾، هڪ قابل اعتماد اڪائونٽ مئنيجمينٽ سسٽم ٺاهڻ هڪ آسان ڪم ناهي. اهو نه آهي ته اهو ٽيڪنيڪل طور تي ڏکيو آهي، ان ۾ صرف تمام گهڻيون خاصيتون آهن. اهو صرف ري سيٽ ڪرڻ جي باري ۾ ناهي، اتي هڪ مڪمل رجسٽريشن جو عمل آهي، محفوظ طور تي پاسورڊ محفوظ ڪرڻ، ڪيترن ئي ناڪام لاگ ان ڪوششون، وغيره وغيره. جيتوڻيڪ مان تيار ڪيل ڪارڪردگي استعمال ڪرڻ جي خيال کي فروغ ڏئي رهيو آهيان جهڙوڪ ASP.NET رڪنيت فراهم ڪندڙان کان علاوه، گهڻو ڪجهه ڪرڻ جي ضرورت آهي.

اڄ، اتي ڪيترائي ٽئين پارٽي فراهم ڪندڙ آھن جيڪي سڀني دردن کي کڻڻ ۽ انھن سڀني کي ھڪڙي منظم ڪيل خدمت ۾ ختم ڪرڻ لاء خوش آھن. اهڙيون خدمتون شامل آهن OpenID، OAuth ۽ حتي Facebook. ڪي ماڻهو هن نموني ۾ لامحدود اعتماد آهي (OpenID واقعي تمام ڪامياب ٿي چڪو آهي اسٽيڪ اوور فلو تي)، پر ٻيا اهي لفظي طور تي هن کي هڪ خواب سمجهندا آهن.

ان ۾ ڪو شڪ ناهي ته هڪ خدمت جهڙوڪ OpenID ڊولپرز لاءِ تمام گهڻا مسئلا حل ڪري ٿي، پر اهو پڻ بلاشڪ نوان شامل ڪري ٿو. ڇا انهن جو ڪو ڪردار آهي؟ ها، پر ظاهر آهي ته اسان نه ڏسي رهيا آهيون وڏي پئماني تي تصديق ڪندڙ سروس فراهم ڪندڙ. بئنڪون، ايئر لائنز، ۽ حتي اسٽور سڀ پنهنجو پاڻ جي تصديق واري ميڪانيزم کي لاڳو ڪن ٿا، ۽ ان لاءِ واضح طور تي تمام سٺا سبب آهن.

خراب ري سيٽ

مٿين مثالن مان هر هڪ جو هڪ اهم پاسو اهو آهي ته پراڻو پاسورڊ صرف بيڪار سمجهيو ويندو آهي اڪائونٽ جي مالڪ جي سڃاڻپ جي تصديق ڪرڻ کان پوء. اهو ضروري آهي ڇاڪاڻ ته جيڪڏهن اڪائونٽ ري سيٽ ٿي سگهي ٿي ڪرڻ سڃاڻپ جي تصديق، هي هر قسم جي بدسلوڪي عملن لاءِ موقعو فراهم ڪندو.

هتي هڪ مثال آهي: ڪو ماڻهو نيلامي واري سائيٽ تي بيڊنگ ڪري رهيو آهي، ۽ بولنگ جي عمل جي پڄاڻي تي، اهي ري سيٽ جي عمل کي شروع ڪندي مقابلن کي بلاڪ ڪن ٿا، اهڙيءَ طرح انهن کي بولڻ کان هٽائي ٿو. ظاهر آهي، جيڪڏهن هڪ ناقص ڊزائين ڪيل ري سيٽ فنڪشن غلط استعمال ٿي سگهي ٿي، اهو سنجيده منفي نتيجا آڻي سگهي ٿو. اهو نوٽ ڪرڻ جي قابل آهي ته غلط لاگ ان جي ڪوششن سان اڪائونٽن کي بلاڪ ڪرڻ هڪ اهڙي صورتحال آهي، پر اهو هڪ ٻئي پوسٽ لاء هڪ موضوع آهي.

جيئن مون مٿي چيو آهي، جيڪڏهن توهان گمنام صارفين کي ڪنهن به اڪائونٽ جو پاسورڊ ري سيٽ ڪرڻ جي صلاحيت ڏيو ٿا صرف انهن جي اي ميل ايڊريس کي ڄاڻڻ سان، پوء اها سروس حملي کان انڪار ڪرڻ لاء هڪ پڪي صورتحال آهي. ٿي سگهي ٿو اهو هڪ نه هجي DoS، جنهن جي باري ۾ اسان ڳالهائيندا هئاسين، پر اڪائونٽ تائين رسائي کي بند ڪرڻ لاءِ ڪو به تيز طريقو ناهي، ان کان سواءِ هڪ ناقص ڊزائين ڪيل پاسورڊ ري سيٽ فيچر استعمال ڪرڻ کان.

ڪمزور ترين لنڪ

هڪ واحد اڪائونٽ کي بچائڻ جي نقطي نظر کان، مٿي لکيل هر شيءِ عظيم آهي، پر توهان کي هميشه انهي اڪائونٽ جي آس پاس جي ماحوليات کان آگاهه رهڻو پوندو جنهن جي توهان حفاظت ڪري رهيا آهيو. مان توهان کي هڪ مثال ڏيان ٿو:

ASafaWeb هڪ شاندار سروس تي ميزباني ڪئي وئي آهي جيڪا ايپ هاربر پاران مهيا ڪيل آهي. هوسٽنگ اڪائونٽ کي ري سيٽ ڪرڻ جو عمل هن طرح ٿئي ٿو:

اسٽيج 1:

اسٽيج 2:

اسٽيج 3:

اسٽيج 4:

سڀني پوئين معلومات کي پڙهڻ کان پوء، اهو سمجهڻ آسان آهي ته اسان هڪ مثالي دنيا ۾ ڪهڙن پهلوئن کي ٿورو مختلف طريقي سان لاڳو ڪنداسين. بهرحال، جيڪو مان هتي چئي رهيو آهيان اهو آهي ته جيڪڏهن آئون ايپ هاربر تي ASafaWeb جهڙي سائيٽ شايع ڪريان، ۽ پوءِ وڏن حفاظتي سوالن ۽ جوابن سان گڏ اچي، هڪ ٻيو تصديقي عنصر شامل ڪيو، ۽ باقي سڀ ڪجهه ضابطن جي مطابق ڪيو، اهو تبديل نه ٿيندو. حقيقت اها آهي ته سڄي عمل ۾ ڪمزور ترين لنڪ ان کي ٽوڙڻ جي قابل هوندو. جيڪڏهن ڪو منهنجي معلومات استعمال ڪندي ايپ هاربر ۾ ڪاميابيءَ سان تصديق ڪري ٿو، ته پوءِ هو ڪنهن به ASafaWeb اڪائونٽ جو پاسورڊ تبديل ڪري سگهندو جنهن جي هن کي ضرورت آهي!

نقطو اهو آهي ته حفاظتي عمل درآمد جي طاقت کي مجموعي طور تي غور ڪيو وڃي: خطرن کي سسٽم ۾ هر داخلي نقطي تي ماڊل ڪيو وڃي، جيتوڻيڪ اهو هڪ سطحي عمل آهي جهڙوڪ ايپ هاربر ۾ لاگ ان ٿيڻ. اهو مون کي سٺو خيال ڏيڻ گهرجي ته مون کي ڪيتري ڪوشش ڪرڻ جي ضرورت آهي ASafaWeb پاسورڊ ري سيٽ ڪرڻ واري عمل ۾.

اهو سڀ ڪجهه گڏ ڪرڻ

هي پوسٽ تمام گهڻي معلومات تي مشتمل آهي، تنهنڪري مان ان کي هڪ سادي بصري خاڪو ۾ وڌائڻ چاهيان ٿو:

انهن شين مان هر هڪ لاء ممڪن طور تي تفصيلي طور تي لاگ ان ڪرڻ جي ياد رکو. اهو آهي، اهو سادو آهي!

نتيجو

منهنجي پوسٽ جامع لڳي ٿي، پر ڪافي اضافي مواد موجود آهي جيڪو آئون سگهي شامل ڪريو پر اختصار جي خاطر نه ڪرڻ جو فيصلو ڪيو: بچاءُ واري اي ميل پتي جو ڪردار، اها صورتحال جنهن ۾ توهان پنهنجي اڪائونٽ سان لاڳاپيل اي ميل تائين پهچ وڃائي ڇڏيو (مثال طور، توهان پنهنجي نوڪري ڇڏي)، وغيره. جيئن مون اڳ ۾ چيو، ري سيٽ فنڪشن اهو پيچيده نه آهي، پر ان کي ڏسڻ لاء ڪيترائي طريقا آهن.

جيتوڻيڪ ري سيٽ اهو پيچيده نه آهي، اهو اڪثر ڪري غلط طور تي لاڳو ڪيو ويندو آهي. مٿي اسان ڪجهه مثالن کي ڏٺو جڏهن عمل درآمد ڪري سگهي ٿو مسئلا پيدا ڪن ٿا، ۽ ٻيا ڪيترائي مثال آهن جتي هڪ غلط ري سيٽ حقيقت آهي مسئلا پيدا ڪيا. تازو اهو ظاهر ٿيو ته پاسورڊ ري سيٽ $87 چوري ڪرڻ لاء استعمال ڪيو bitcoins جي قيمت. هي هڪ سنجيده منفي نتيجو آهي!

تنهن ڪري محتاط رهو توهان جي ريٽيڪل افعال سان، ماڊل ڌمڪيون مختلف نقطن تي، ۽ هڪ فنڪشن کي ڊزائين ڪرڻ وقت، پنهنجي ڪارو ٽوپي نه ڪڍو، ڇو ته اتي هڪ سٺو موقعو آهي ته ڪو ٻيو ان کي رکندو!

اشتهارن جي حقن تي

وي ڊي سينا سستو پيش ڪري ٿو ڪرائي تي ڏيڻ لاء سرور روزاني ادائيگي سان، هر سرور 500 ميگا بائيٽ جي انٽرنيٽ چينل سان ڳنڍيل آهي ۽ مفت ۾ DDoS حملن کان محفوظ آهي!

جو ذريعو: www.habr.com