ආරක්ෂිත මුරපද යළි පිහිටුවීම ගැන ඔබට දැන ගැනීමට අවශ්‍ය සියල්ල. 1 කොටස

ආරක්ෂිත මුරපද යළි පිහිටුවීමේ විශේෂාංගයක් ක්‍රියා කළ යුතු ආකාරය ගැන නැවත සිතීමට මට මෑතකදී කාලය ලැබුණි, පළමුව මම මෙම ක්‍රියාකාරිත්වය ගොඩනඟන විට ASafaWeb, ඉන්පසු ඔහු තවත් කෙනෙකුට ඒ හා සමාන දෙයක් කිරීමට උදව් කළ විට. දෙවන අවස්ථාවෙහිදී, යළි පිහිටුවීමේ කාර්යය ආරක්ෂිතව ක්‍රියාත්මක කරන්නේ කෙසේද යන්න පිළිබඳ සියලු විස්තර සහිත කැනොනිකල් සම්පතකට සබැඳියක් ඔහුට ලබා දීමට මට අවශ්‍ය විය. කෙසේ වෙතත්, ගැටළුව වන්නේ එවැනි සම්පතක් නොමැති වීමයි, අවම වශයෙන් මට වැදගත් යැයි පෙනෙන සෑම දෙයක්ම විස්තර කරන එකක්වත් නැත. ඒ නිසා මම එය තනිවම ලියන්න තීරණය කළා.

ඔබට පෙනෙනවා, අමතක වූ මුරපද ලෝකය ඇත්තෙන්ම අද්භූත එකක්. විවිධ, සම්පූර්ණයෙන්ම පිළිගත හැකි දෘෂ්ටි කෝණයන් සහ තරමක් භයානක ඒවා තිබේ. අවසාන පරිශීලකයෙකු ලෙස ඔබ ඒ සෑම එකක්ම කිහිප වතාවක්ම මුණගැසී ඇති අවස්ථා තිබේ; එබැවින් එය නිවැරදිව කරන්නේ කවුරුන්ද, කවුරුන් නොවේද, සහ ඔබේ යෙදුමේ විශේෂාංගය නිවැරදිව ලබා ගැනීමට ඔබ අවධානය යොමු කළ යුතු දේ පෙන්වීමට මම මෙම උදාහරණ භාවිතා කිරීමට උත්සාහ කරමි.

මුරපද ආචයනය: හැෂ් කිරීම, සංකේතනය සහ (gasp!) සරල පෙළ

අමතක වූ මුරපද ගබඩා කරන්නේ කෙසේද යන්න සාකච්ඡා කිරීමට පෙර ඒවා සමඟ කළ යුතු දේ ගැන සාකච්ඡා කළ නොහැක. මුරපද ප්‍රධාන වර්ග තුනෙන් එකක දත්ත ගබඩාවේ ගබඩා කර ඇත:

1. සරල පෙළ. මුරපද තීරුවක් ඇත, එය සරල පෙළ ආකාරයෙන් ගබඩා කර ඇත.
2. සංකේතනය කර ඇත. සාමාන්‍යයෙන් සමමිතික සංකේතනය භාවිතා කිරීම (එක් යතුරක් සංකේතනය සහ විකේතනය යන දෙකටම භාවිතා වේ), සහ සංකේතනය කරන ලද මුරපද ද එම තීරුවේ ගබඩා කර ඇත.
3. හෂේඩ්. එක්-මාර්ග ක්‍රියාවලිය (මුරපදය හැෂ් කළ හැකි නමුත් විසන්ධි කළ නොහැක); මුරපදය, මම බලාපොරොත්තු වෙන්න කැමතියි, පසුව ලුණු, සහ සෑම එකක්ම තමන්ගේම තීරුවේ ඇත.

අපි සරලම ප්‍රශ්නයට කෙලින්ම යමු: කිසිවිටෙක සරල අකුරුවල මුරපද ගබඩා නොකරන්න! කවදාවත් නැහැ. එක් තනි අවදානමක් එන්නත්, එක් නොසැලකිලිමත් උපස්ථයක්, හෝ වෙනත් සරල වැරදි දුසිම් ගණනකින් එකක් - සහ එපමණයි, Gameover, ඔබගේ සියලු මුරපද - එනම්, සමාවන්න, ඔබගේ සියලුම ගනුදෙනුකරුවන්ගේ මුරපද පොදු වසම බවට පත්වනු ඇත. ඇත්ත වශයෙන්ම, මෙය විශාල සම්භාවිතාවක් අදහස් කරනු ඇත ඔවුන්ගේ සියලුම මුරපද වෙනත් පද්ධතිවල ඔවුන්ගේ සියලුම ගිණුම් වලින්. තවද එය ඔබගේ වරදක් වනු ඇත.

සංකේතනය වඩා හොඳයි, නමුත් එහි දුර්වලතා ඇත. ගුප්තකේතනයේ ගැටලුව විකේතනයයි; අපට මෙම පිස්සු පෙනෙන කේතාංක ගෙන ඒවා නැවත සරල අකුරු බවට පරිවර්තනය කළ හැකි අතර, එය සිදු වූ විට අපි නැවත මිනිසුන්ට කියවිය හැකි මුරපද තත්ත්වයට පැමිණෙමු. මෙය සිදු වන්නේ කෙසේද? මුරපදය විකේතනය කරන කේතයට කුඩා දෝෂයක් ඇතුල් වී එය ප්‍රසිද්ධියේ ලබා ගත හැක - මෙය එක් ක්‍රමයකි. හැකර්වරුන් සංකේතාත්මක දත්ත ගබඩා කර ඇති යන්ත්‍රයට ප්‍රවේශය ලබා ගනී - මෙය දෙවන ක්‍රමයයි. තවත් ක්රමයක්, නැවතත්, දත්ත සමුදාය උපස්ථය සොරකම් කිරීම සහ බොහෝ විට ඉතා අනාරක්ෂිත ලෙස ගබඩා කර ඇති සංකේතාංකන යතුර යමෙකුට ලැබේ.

තවද මෙය අපව Hashing වෙත ගෙන එයි. හැෂ් කිරීම පිටුපස ඇති අදහස නම් එය එක් මාර්ගයකි; පරිශීලක-ඇතුළු කළ මුරපදය එහි හැෂ් අනුවාදය සමඟ සංසන්දනය කිරීමට ඇති එකම ක්‍රමය වන්නේ ආදානය හැෂ් කර ඒවා සංසන්දනය කිරීමයි. දේදුනු වගු වැනි මෙවලම් වලින් ප්‍රහාර වැලැක්වීම සඳහා, අපි ක්‍රියාවලිය අහඹු ලෙස ලුණු දමමු (මගේ කියවන්න තනතුර ගුප්ත ලේඛන ගබඩාව ගැන). අවසාන වශයෙන්, නිවැරදිව ක්‍රියාත්මක කළහොත්, හැෂ් කළ මුරපද නැවත කිසි දිනෙක සරල අකුරු බවට පත් නොවන බව අපට විශ්වාස කළ හැකිය (විවිධ හැෂිං ඇල්ගොරිතමවල ප්‍රතිලාභ ගැන මම වෙනත් පෝස්ට් එකකින් කතා කරමි).

හැෂ් කිරීම එදිරිව සංකේතනය කිරීම පිළිබඳ ඉක්මන් තර්කයක්: ඔබට මුරපදයක් හැෂ් කිරීමට වඩා සංකේතනය කිරීමට අවශ්‍ය වන එකම හේතුව ඔබට මුරපදය සරල අකුරුවලින් දැකීමට අවශ්‍ය වූ විට සහ ඔබට මෙය කිසි විටෙකත් අවශ්‍ය නොවිය යුතුය, අවම වශයෙන් සම්මත වෙබ් අඩවි තත්වයක් තුළ. ඔබට මෙය අවශ්‍ය නම්, බොහෝ විට ඔබ යම් වැරැද්දක් කරයි!

කරුණාකරලා!

පෝස්ටයේ පෙළට පහළින් ඇත්තේ AlotPorn අසභ්‍ය වෙබ් අඩවියේ තිර රුවක්. එය පිළිවෙළකට කපා ඇති නිසා වෙරළේ ඔබට නොපෙනෙන කිසිවක් නැත, නමුත් එය තවමත් කිසියම් ගැටලුවක් ඇති කිරීමට ඉඩ තිබේ නම්, පහළට අනුචලනය නොකරන්න.

සෑම විටම ඔබගේ මුරපදය නැවත සකසන්න කවදාවත් නැහැ ඔහුට මතක් කරන්න එපා

ඔබට කවදා හෝ ශ්‍රිතයක් සෑදීමට ඉල්ලා තිබේද? මතක් කිරීම් මුරපදය? පියවරක් පසුපසට ගෙන මෙම ඉල්ලීම ගැන ප්‍රතිලෝමව සිතන්න: මෙම "මතක් කිරීම" අවශ්‍ය වන්නේ ඇයි? පරිශීලකයාට මුරපදය අමතක වූ බැවිනි. ඇත්තටම අපි මොනවද කරන්න ඕන? ඔහුට නැවත පිවිසීමට උදව් කරන්න.

"මතක් කිරීම" යන වචනය වාචික අර්ථයකින් (බොහෝ විට) භාවිතා වන බව මට වැටහෙනවා, නමුත් අපි ඇත්තටම කරන්න උත්සාහ කරන්නේ ආරක්ෂිතව නැවත සබැඳි වීමට පරිශීලකයාට උදව් කරන්න. අපට ආරක්ෂාව අවශ්‍ය බැවින්, සිහිකැඳවීමක් (එනම් පරිශීලකයාට ඔවුන්ගේ මුරපදය යැවීම) නුසුදුසු වීමට හේතු දෙකක් තිබේ:

1. ඊමේල් යනු අනාරක්ෂිත නාලිකාවකි. අපි HTTP හරහා සංවේදී කිසිවක් නොයවනවා සේම (අපි HTTPS භාවිතා කරමු), එහි ප්‍රවාහන ස්තරය අනාරක්ෂිත බැවින් අපි විද්‍යුත් තැපෑල හරහා සංවේදී කිසිවක් නොයැවිය යුතුය. ඇත්ත වශයෙන්ම, මෙය අනාරක්ෂිත ප්‍රවාහන ප්‍රොටෝකෝලයක් හරහා සරලව තොරතුරු යැවීමට වඩා නරක ය, මන්ද තැපෑල බොහෝ විට ගබඩා උපාංගයක ගබඩා කර ඇත, පද්ධති පරිපාලකයින්ට ප්‍රවේශ විය හැකි, යොමු කළ සහ බෙදා හරින, අනිෂ්ට මෘදුකාංග වෙත ප්‍රවේශ විය හැකි යනාදිය. සංකේතනය නොකළ විද්‍යුත් තැපෑල අතිශයින්ම අනාරක්ෂිත නාලිකාවකි.
2. ඔබට කෙසේ හෝ මුරපදයට ප්‍රවේශය නොතිබිය යුතුය. ගබඩාව පිළිබඳ පෙර කොටස නැවත කියවන්න - ඔබට මුරපදයේ හැෂ් එකක් තිබිය යුතුය (හොඳ ශක්තිමත් ලුණු සහිත), එනම් ඔබට කිසිම ආකාරයකින් මුරපදය උකහා ගැනීමට සහ තැපෑලෙන් යැවීමට නොහැකි විය යුතුය.

මට ගැටලුව උදාහරණයකින් පෙන්වන්නම් usoutdoor.com: මෙන්න සාමාන්‍ය පිවිසුම් පිටුවක්:

නිසැකවම, පළමු ගැටළුව වන්නේ පිවිසුම් පිටුව HTTPS හරහා පූරණය නොවීමයි, නමුත් වෙබ් අඩවිය මුරපදයක් යැවීමට ("මුරපදය යවන්න") ඔබෙන් පොළඹවයි. මෙය ඉහත සඳහන් කළ යෙදුමේ වාචික භාවිතය සඳහා උදාහරණයක් විය හැකිය, එබැවින් අපි එය තවත් පියවරක් ඉදිරියට ගෙන කුමක් සිදුවේදැයි බලමු:

අවාසනාවකට මෙන් එය වඩා හොඳ පෙනුමක් නැත; සහ විද්‍යුත් තැපෑලක් මඟින් ගැටලුවක් ඇති බව තහවුරු කරයි:

මෙය අපට usoutdoor.com හි වැදගත් අංග දෙකක් කියයි:

1. වෙබ් අඩවිය මුරපද හැෂ් නොකරයි. හොඳම දෙය නම්, ඒවා සංකේතනය කර ඇත, නමුත් ඒවා සාමාන්‍ය පෙළෙහි ගබඩා කර ඇත; ඊට පටහැනිව කිසිදු සාක්ෂියක් අපට නොපෙනේ.
2. වෙබ් අඩවිය අනාරක්ෂිත නාලිකාවක් හරහා දිගු කාලීන මුරපදයක් (අපට ආපසු ගොස් එය නැවත නැවතත් භාවිතා කළ හැක) යවයි.

මෙය මඟ හැරීමත් සමඟ, යළි පිහිටුවීමේ ක්‍රියාවලිය ආරක්ෂිත ආකාරයකින් සිදු කරන්නේ දැයි අපට පරීක්ෂා කළ යුතුය. මෙය සිදු කිරීමේ පළමු පියවර වන්නේ නැවත පිහිටුවීම සිදු කිරීමට ඉල්ලුම්කරුට අයිතියක් ඇති බව තහවුරු කර ගැනීමයි. වෙනත් වචන වලින් කිවහොත්, මෙයට පෙර අපට අනන්‍යතා පරීක්ෂාවක් අවශ්‍ය වේ; ඉල්ලුම්කරු ඇත්ත වශයෙන්ම ගිණුම් හිමිකරු බව පළමුව තහවුරු නොකර අනන්‍යතාවයක් සත්‍යාපනය කළ විට කුමක් සිදුවේදැයි අපි බලමු.

පරිශීලක නාම ලැයිස්තුගත කිරීම සහ නිර්නාමිකභාවය කෙරෙහි එහි බලපෑම

මෙම ගැටළුව දෘශ්‍යමය වශයෙන් වඩාත් හොඳින් නිරූපණය කෙරේ. ගැටලුව:

ඔබට පෙනෙනවාද? "මෙම විද්‍යුත් තැපැල් ලිපිනය සමඟ ලියාපදිංචි වූ පරිශීලකයෙකු නොමැත" යන පණිවිඩයට අවධානය යොමු කරන්න. එවැනි වෙබ් අඩවියක් තහවුරු කරන්නේ නම් ගැටළුව පැහැදිලිවම පැන නගී ලබා ගත හැකිය එවැනි ඊමේල් ලිපිනයක් සමඟ ලියාපදිංචි වූ පරිශීලකයා. බිංගෝ - ඔබ දැන් ඔබේ සැමියා/ලොක්කා/අසල්වැසියාගේ අසභ්‍ය ලිංගික හැසිරීම සොයාගත්තා!

ඇත්ත වශයෙන්ම, කාමුක දර්ශන යනු පෞද්ගලිකත්වයේ වැදගත්කම පිළිබඳ තරමක් නිරූපිත උදාහරණයකි, නමුත් පුද්ගලයෙකු නිශ්චිත වෙබ් අඩවියක් සමඟ ඇසුරු කිරීමේ අන්තරායන් ඉහත විස්තර කර ඇති අමුතු තත්වයට වඩා බෙහෙවින් පුළුල් ය. එක් අනතුරක් සමාජ ඉංජිනේරු; ප්‍රහාරකයාට සේවාව සමඟ පුද්ගලයෙකු ගැලපීමට හැකි නම්, ඔහුට භාවිතා කිරීමට පටන් ගත හැකි තොරතුරු ඔහු සතුව ඇත. නිදසුනක් වශයෙන්, ඔහු වෙබ් අඩවියක නියෝජිතයෙකු ලෙස පෙනී සිටින පුද්ගලයෙකු සම්බන්ධ කර ගැනීමට සහ කැපවීමට උත්සාහ කිරීමේදී අමතර තොරතුරු ඉල්ලා සිටිය හැක spear phishing.

එවැනි භාවිතයන් මගින් “පරිශීලක නාම ගණනය කිරීමේ” අන්තරාය ද මතු කරයි, එමඟින් කෙනෙකුට කණ්ඩායම් විමසුම් පැවැත්වීමෙන් සහ ඒවාට ලැබෙන ප්‍රතිචාර පරීක්ෂා කිරීමෙන් වෙබ් අඩවියක සම්පූර්ණ පරිශීලක නාම එකතුවක් හෝ විද්‍යුත් තැපැල් ලිපින තිබේදැයි තහවුරු කර ගත හැකිය. ඔබ සතුව සියලුම සේවකයින්ගේ ඊමේල් ලිපින ලැයිස්තුවක් සහ පිටපතක් ලිවීමට මිනිත්තු කිහිපයක් තිබේද? එතකොට තේරෙයි මොකක්ද ප්‍රශ්නේ කියලා!

විකල්පය කුමක්ද? ඇත්ත වශයෙන්ම, එය ඉතා සරල වන අතර එය පුදුම සහගත ලෙස ක්රියාත්මක කර ඇත එන්ට්රොපේ:

මෙහි Entropay එහි පද්ධතිය තුළ විද්‍යුත් තැපැල් ලිපිනයක් පැවතීම ගැන කිසිවක් හෙළි නොකරයි මෙම ලිපිනය අයිති නැති කෙනෙකුට... ඔබ නම් තමන්ගේ මෙම ලිපිනය සහ එය පද්ධතියේ නොපවතියි, එවිට ඔබට මෙවැනි විද්‍යුත් තැපෑලක් ලැබෙනු ඇත:

ඇත්ත වශයෙන්ම, යමෙකු පිළිගත හැකි තත්වයන් තිබිය හැකිය යැයි සිතයිඔබ වෙබ් අඩවියේ ලියාපදිංචි වී ඇති බව. නමුත් මෙය එසේ නොවේ, නැතහොත් මම එය වෙනත් විද්‍යුත් තැපැල් ලිපිනයකින් කළෙමි. ඉහත පෙන්වා ඇති උදාහරණය අවස්ථා දෙකම හොඳින් හසුරුවයි. නිසැකවම, ලිපිනය ගැලපෙන්නේ නම්, ඔබගේ මුරපදය යළි පිහිටුවීම පහසු කරවන විද්‍යුත් තැපෑලක් ඔබට ලැබෙනු ඇත.

Entropay විසින් තෝරා ගන්නා ලද විසඳුමේ සියුම්කම නම් හඳුනාගැනීමේ සත්‍යාපනය අනුව සිදු කරනු ලැබේ විද්යුත් තැපෑල ඕනෑම සබැඳි සත්‍යාපනයකට පෙර. සමහර අඩවි ආරක්‍ෂක ප්‍රශ්නයකට පිළිතුරක් පරිශීලකයන්ගෙන් අසයි (මේ පිළිබඳ වැඩි විස්තර පහතින්) කිරීමට යළි පිහිටුවීම ආරම්භ කළ හැක්කේ කෙසේද; කෙසේ වෙතත්, මෙහි ඇති ගැටළුව නම්, ඔබට යම් ආකාරයක හඳුනාගැනීමක් (ඊමේල් හෝ පරිශීලක නාමය) ලබා දෙන අතරම ප්‍රශ්නයට පිළිතුරු දිය යුතු වීමයි, එමඟින් නිර්නාමික පරිශීලක ගිණුමේ පැවැත්ම හෙළිදරව් නොකර බුද්ධියෙන් පිළිතුරු දීමට නොහැකි තරම්ය.

මෙම ප්රවේශය සමඟ ඇත කුඩා ඔබ නොපවතින ගිණුමක් යළි පිහිටුවීමට උත්සාහ කරන්නේ නම්, ක්ෂණික ප්‍රතිපෝෂණ නොමැති නිසා භාවිතා කිරීමේ හැකියාව අඩු විය. ඇත්ත වශයෙන්ම, විද්‍යුත් තැපෑලක් යැවීමේ සම්පූර්ණ කාරණය එයයි, නමුත් සැබෑ අවසාන පරිශීලකයාගේ දෘෂ්ටිකෝණයෙන්, ඔවුන් වැරදි ලිපිනයක් ඇතුළත් කළහොත්, ඔවුන් දැන ගන්නේ ඔවුන්ට විද්‍යුත් තැපෑල ලැබුණු විට පමණි. මෙය ඔහුගේ පැත්තෙන් යම් ආතතියක් ඇති කළ හැකිය, නමුත් මෙය එවැනි දුර්ලභ ක්රියාවලියක් සඳහා ගෙවිය යුතු කුඩා මිලකි.

තවත් සටහනක්, මාතෘකාවෙන් මදක් බැහැර ය: පරිශීලක නාමයක් හෝ විද්‍යුත් තැපැල් ලිපිනයක් නිවැරදි දැයි හෙළි කරන පිවිසුම් සහය කාර්යයන් එකම ගැටලුවක් ඇත. අක්තපත්‍රවල පැවැත්ම පැහැදිලිව තහවුරු කරනවාට වඩා “ඔබගේ පරිශීලක නාමය සහ මුරපද සංයෝජනය වලංගු නොවේ” යන පණිවිඩය සමඟ සැමවිටම පරිශීලකයාට ප්‍රතිචාර දක්වන්න (උදාහරණයක් ලෙස, “පරිශීලක නාමය නිවැරදියි, නමුත් මුරපදය වැරදියි”).

යළි පිහිටුවීමේ මුරපදය යැවීම එදිරිව යළි පිහිටුවීමේ URL යැවීම

අපි සාකච්ඡා කළ යුතු මීළඟ සංකල්පය වන්නේ ඔබගේ මුරපදය නැවත සකසන්නේ කෙසේද යන්නයි. ජනප්රිය විසඳුම් දෙකක් තිබේ:

1. සේවාදායකයේ නව මුරපදයක් ජනනය කර එය විද්‍යුත් තැපෑලෙන් යැවීම
2. යළි පිහිටුවීමේ ක්‍රියාවලිය පහසු කිරීමට අනන්‍ය URL එකක් සහිත විද්‍යුත් තැපෑලක් යවන්න

නොසලකා බොහෝ මාර්ගෝපදේශ, පළමු කරුණ කිසි විටෙක භාවිතා නොකළ යුතුය. මේකේ තියෙන ප්‍රශ්නය තමයි ඒක තියෙනවා කියන එක ගබඩා කළ මුරපදය, ඔබට ඕනෑම වේලාවක ආපසු ගොස් නැවත භාවිතා කළ හැකි; එය අනාරක්ෂිත නාලිකාවක් හරහා යවා ඇති අතර එය ඔබගේ එන ලිපි තුළ පවතී. ජංගම උපාංග සහ විද්‍යුත් තැපැල් සේවාලාභියා හරහා එන ලිපි සමමුහුර්ත කර ඇති අතර, ඒවා ඉතා දිගු කාලයක් සඳහා වෙබ් විද්‍යුත් තැපැල් සේවාව තුළ සබැඳිව ගබඩා කර තැබීමට ඉඩ ඇත. කාරණය එයයි තැපැල් පෙට්ටියක් දිගුකාලීන ගබඩා කිරීමේ විශ්වාසනීය මාධ්‍යයක් ලෙස සැලකිය නොහැක.

නමුත් මෙයට අමතරව, පළමු කරුණට තවත් බරපතල ගැටළුවක් ඇත - එය හැකි තරම් සරල කරයි ද්වේෂ සහගත චේතනාවෙන් ගිණුමක් අවහිර කිරීම. වෙබ් අඩවියක ගිණුමක් හිමි අයෙකුගේ විද්‍යුත් තැපැල් ලිපිනය මා දන්නේ නම්, ඔවුන්ගේ මුරපදය යළි සැකසීමෙන් මට ඕනෑම වේලාවක ඔවුන්ව අවහිර කළ හැක; මෙය රිදී තැටියක සේවය කරන ලද සේවා ප්‍රතික්ෂේප කිරීමකි! නැවත පිහිටුවීම සිදු කළ යුත්තේ ඉල්ලුම්කරුගේ අයිතීන් සාර්ථක ලෙස තහවුරු කිරීමෙන් පසුව පමණි.

අපි යළි පිහිටුවීමේ URL එකක් ගැන කතා කරන විට, අපි අදහස් කරන්නේ වෙබ් අඩවියක ලිපිනයයි යළි පිහිටුවීමේ ක්‍රියාවලියේ මෙම විශේෂිත අවස්ථාවට අනන්‍ය වේ. ඇත්ත වශයෙන්ම, එය අහඹු විය යුතුය, එය අනුමාන කිරීමට පහසු නොවිය යුතුය, සහ එය නැවත සැකසීමට පහසු වන ගිණුමට බාහිර සබැඳි කිසිවක් අඩංගු නොවිය යුතුය. උදාහරණයක් ලෙස, යළි පිහිටුවීමේ URL හුදෙක් "Reset/?username=JohnSmith" වැනි මාර්ගයක් නොවිය යුතුය.

අපට යළි පිහිටුවීමේ URL එකක් ලෙස තැපැල් කළ හැකි අනන්‍ය ටෝකනයක් නිර්මාණය කිරීමට අවශ්‍ය වන අතර, පසුව පරිශීලක ගිණුමේ සේවාදායක වාර්තාවට ගැලපෙන පරිදි, ගිණුමේ හිමිකරු ඇත්ත වශයෙන්ම, මුරපදය යළි පිහිටුවීමට උත්සාහ කරන පුද්ගලයාම බව තහවුරු කරයි. උදාහරණයක් ලෙස, ටෝකනයක් "3ce7854015cd38c862cb9e14a1ae552b" විය හැකි අතර යළි පිහිටුවීම සිදු කරන පරිශීලකයාගේ හැඳුනුම්පත සහ ටෝකනය උත්පාදනය වූ වේලාව සමඟ වගුවක ගබඩා කර ඇත (මේ පිළිබඳ වැඩි විස්තර පහතින්). විද්‍යුත් තැපෑල යවන විට, එහි “Reset/?id=3ce7854015cd38c862cb9e14a1ae552b” වැනි URL එකක් අඩංගු වන අතර, පරිශීලකයා එය බාගත කළ විට, පිටුව ටෝකනයේ පැවැත්ම සඳහා විමසයි, ඉන්පසු එය පරිශීලකයාගේ තොරතුරු තහවුරු කර ඔවුන්ට වෙනස් කිරීමට ඉඩ දෙයි. මුරපදය.

ඇත්ත වශයෙන්ම, ඉහත ක්‍රියාවලිය (බලාපොරොත්තුවෙන්) පරිශීලකයාට නව මුරපදයක් සෑදීමට ඉඩ දෙන බැවින්, අපි URL එක HTTPS හරහා පූරණය වී ඇති බව සහතික කළ යුතුය. නැත, HTTPS හරහා POST ඉල්ලීමක් සමඟ එය යැවීම ප්රමාණවත් නොවේ, මෙම ටෝකන URL නව මුරපද පෝරමයට පහර දීමට නොහැකි වන පරිදි ප්‍රවාහන ස්ථර ආරක්ෂාව භාවිතා කළ යුතුය MITM සහ පරිශීලක විසින් සාදන ලද මුරපදය ආරක්ෂිත සම්බන්ධතාවයක් හරහා සම්ප්‍රේෂණය කරන ලදී.

එසේම යළි පිහිටුවීමේ URL සඳහා ඔබ ටෝකන කාල සීමාවක් එක් කිරීමට අවශ්‍ය වන අතර එමඟින් යළි පිහිටුවීමේ ක්‍රියාවලිය නිශ්චිත කාල සීමාවක් තුළ සම්පූර්ණ කළ හැකිය, එනම් පැයක් ඇතුළත. යළි පිහිටුවීමේ URL ලබන්නාට එම ඉතා කුඩා කවුළුව තුළ පමණක් ක්‍රියා කළ හැකි වන පරිදි යළි පිහිටුවීමේ කාල කවුළුව අවම මට්ටමක තබා ඇති බව මෙය සහතික කරයි. ඇත්ත වශයෙන්ම, ප්‍රහාරකයාට යළි පිහිටුවීමේ ක්‍රියාවලිය නැවත ආරම්භ කළ හැක, නමුත් ඔවුන්ට තවත් අද්විතීය යළි පිහිටුවීමේ URL එකක් ලබා ගැනීමට අවශ්‍ය වනු ඇත.

අවසාන වශයෙන්, මෙම ක්රියාවලිය ඉවත දැමිය හැකි බව සහතික කළ යුතුය. යළි පිහිටුවීමේ ක්‍රියාවලිය සම්පූර්ණ වූ පසු, යළි පිහිටුවීමේ URL එක තවදුරටත් ක්‍රියාත්මක නොවන පරිදි ටෝකනය ඉවත් කළ යුතුය. ප්‍රහාරකයාට යළි පිහිටුවීමේ URL හැසිරවිය හැකි ඉතා කුඩා කවුළුවක් ඇති බව සහතික කිරීමට පෙර කරුණ අවශ්‍ය වේ. Plus, ඇත්ත වශයෙන්ම, යළි පිහිටුවීම සාර්ථක වූ පසු, ටෝකනය තවදුරටත් අවශ්ය නොවේ.

මෙම පියවර සමහරක් ඕනෑවට වඩා අතිරික්ත බවක් පෙනෙන්නට ඇත, නමුත් ඒවා භාවිතයට බාධා නොකරයි ඇත්ත වශයෙන්ම ආරක්ෂාව වැඩි දියුණු කිරීම, දුර්ලභ වනු ඇතැයි අපි බලාපොරොත්තු වන අවස්ථාවන්හිදී වුවද. 99% අවස්ථා වලදී, පරිශීලකයා ඉතා කෙටි කාලයක් තුළ යළි පිහිටුවීම සක්‍රීය කරන අතර නුදුරු අනාගතයේ දී මුරපදය නැවත සකසන්නේ නැත.

CAPTCHA හි භූමිකාව

ඔහ්, CAPTCHA, අපි හැමෝම වෛර කිරීමට කැමති ආරක්ෂක විශේෂාංගය! ඇත්ත වශයෙන්ම, CAPTCHA යනු හඳුනාගැනීමේ මෙවලමක් වන තරමට ආරක්ෂණ මෙවලමක් නොවේ - ඔබ පුද්ගලයෙක් හෝ රොබෝවක් (හෝ ස්වයංක්‍රීය ස්ක්‍රිප්ට් එකක්) වේවා. එහි පරමාර්ථය වන්නේ ස්වයංක්‍රීය පෝරමය ඉදිරිපත් කිරීම වැළැක්වීමයි, ඇත්ත වශයෙන්ම, පුළුවන් ආරක්ෂාව බිඳ දැමීමේ උත්සාහයක් ලෙස භාවිතා කරයි. මුරපද යළි පිහිටුවීමේ සන්දර්භය තුළ, CAPTCHA යනු පරිශීලකයාට පසුව අයාචිත තැපැල් කිරීමට හෝ ගිණුම්වල පැවැත්ම තීරණය කිරීමට උත්සාහ කිරීමට යළි පිහිටුවීමේ කාර්යය තිරිසන් ලෙස බල කළ නොහැකි බවයි (ඇත්ත වශයෙන්ම, ඔබ කොටසේ උපදෙස් අනුගමනය කරන්නේ නම් එය කළ නොහැකි වනු ඇත. අනන්‍යතා සත්‍යාපනය මත).

ඇත්ත වශයෙන්ම, CAPTCHA ම පරිපූර්ණ නොවේ; එහි මෘදුකාංග "හැක් කිරීම" සහ ප්‍රමාණවත් සාර්ථකත්ව අනුපාත (60-70%) ලබා ගැනීම සඳහා බොහෝ පූර්වාදර්ශ තිබේ. මීට අමතරව, මගේ ලිපියේ පෙන්වා ඇති විසඳුමක් තිබේ ස්වයංක්‍රීය පුද්ගලයින් විසින් CAPTCHA හැක් කිරීම, ඔබට එක් එක් CAPTCHA විසඳීමට සහ 94% ක සාර්ථකත්ව අනුපාතයක් ලබා ගැනීමට මිනිසුන්ට ශතයක කොටස් ගෙවිය හැකිය. එනම්, එය අවදානමට ලක්විය හැකි නමුත්, එය (තරමක්) ඇතුල් වීමට ඇති බාධකය මතු කරයි.

අපි PayPal උදාහරණය දෙස බලමු:

මෙම අවස්ථාවේදී, CAPTCHA විසඳන තෙක් යළි පිහිටුවීමේ ක්රියාවලිය සරලව ආරම්භ කළ නොහැක න්යායිකව ක්රියාවලිය ස්වයංක්රීය කිරීමට නොහැකි ය. න්යාය තුල.

කෙසේ වෙතත්, බොහෝ වෙබ් යෙදුම් සඳහා මෙය overkill සහ හරියටම හරි භාවිතයේ අඩුවීමක් නියෝජනය කරයි - මිනිසුන් CAPTCHA වලට කැමති නැත! මීට අමතරව, CAPTCHA යනු ඔබට අවශ්‍ය නම් පහසුවෙන් ආපසු යා හැකි දෙයකි. සේවාව ප්‍රහාරයට ලක් වීමට පටන් ගන්නේ නම් (මෙහිදී ලොග් වීම ප්‍රයෝජනවත් වේ, නමුත් පසුව වැඩි විස්තර), එවිට CAPTCHA එකතු කිරීම පහසු විය නොහැක.

රහස් ප්රශ්න සහ පිළිතුරු

අප සලකා බැලූ සියලුම ක්‍රම සමඟින්, විද්‍යුත් තැපැල් ගිණුමට ප්‍රවේශ වීමෙන් පමණක් මුරපදය නැවත සැකසීමට අපට හැකි විය. මම කියන්නේ "යන්තම්", නමුත්, ඇත්ත වශයෙන්ම, වෙනත් කෙනෙකුගේ විද්‍යුත් තැපැල් ගිණුමට ප්‍රවේශය ලබා ගැනීම නීති විරෝධී ය. අනිවාර්යයෙන්ම සංකීර්ණ ක්රියාවලියක් විය යුතුය. කෙසේ වුවද එය සැමවිටම එසේ නොවේ.

ඇත්ත වශයෙන්ම, ඉහත සබැඳිය Sarah Palin ගේ Yahoo! අරමුණු දෙකක් ඉටු කරයි; පළමුව, එය (සමහර) විද්‍යුත් තැපැල් ගිණුම් හැක් කිරීම කොතරම් පහසුද යන්න නිදර්ශනය කරයි, දෙවනුව, එය හානිකර චේතනාවෙන් නරක ආරක්ෂක ප්‍රශ්න භාවිතා කළ හැකි ආකාරය පෙන්වයි. නමුත් අපි පසුව මේ වෙත ආපසු එන්නෙමු.

XNUMX% විද්‍යුත් තැපෑල මත පදනම් වූ මුරපද යළි පිහිටුවීමේ ගැටලුව වන්නේ ඔබ යළි පිහිටුවීමට උත්සාහ කරන අඩවිය සඳහා ගිණුමේ අඛණ්ඩතාව XNUMX% ඊමේල් ගිණුමේ අඛණ්ඩතාව මත රඳා පවතින බවයි. ඔබගේ විද්‍යුත් තැපෑලට ප්‍රවේශය ඇති ඕනෑම අයෙක් ඊමේල් පණිවිඩයක් ලැබීමෙන් නැවත සැකසිය හැකි ඕනෑම ගිණුමකට ප්‍රවේශය ඇත. එවැනි ගිණුම් සඳහා, ඊමේල් යනු ඔබගේ සබැඳි ජීවිතයේ "සියලු දොරවල් සඳහා යතුර" වේ.

මෙම අවදානම අවම කිරීම සඳහා එක් ක්රමයක් වන්නේ ආරක්ෂක ප්රශ්න සහ පිළිතුරු රටාවක් ක්රියාත්මක කිරීමයි. ඔබ ඒවා දැනටමත් දැක ඇති බවට සැකයක් නැත: ඔබට පමණක් පිළිතුරු දිය හැකි ප්‍රශ්නයක් තෝරන්න විය යුතු ය පිළිතුර දැන ගන්න, ඉන්පසු ඔබ ඔබගේ මුරපදය නැවත සකසන විට එය ඔබෙන් අසනු ඇත. මෙය යළි පිහිටුවීමට උත්සාහ කරන පුද්ගලයා සැබවින්ම ගිණුම් හිමිකරු බවට විශ්වාසයක් එක් කරයි.

නැවතත් Sarah Palin වෙත: වැරැද්ද වූයේ ඇයගේ ආරක්ෂක ප්‍රශ්න/ප්‍රශ්න වලට පිළිතුරු පහසුවෙන් සොයා ගත හැකි වීමයි. විශේෂයෙන් ඔබ එතරම් වැදගත් ප්‍රසිද්ධ චරිතයක් වන විට, ඔබේ මවගේ මංගල නම, අධ්‍යාපන ඉතිහාසය හෝ අතීතයේ යමෙකු ජීවත් වූ ස්ථානය පිළිබඳ තොරතුරු එතරම් රහසක් නොවේ. ඇත්ත වශයෙන්ම, එය බොහෝමයක් ඕනෑම කෙනෙකුට පාහේ සොයාගත හැකිය. සාරාට සිදුවූයේ මෙයයි.

හැකර් ඩේවිඩ් කර්නල් පාලින්ගේ ගිණුමට ප්‍රවේශය ලබා ගත්තේ ඇයගේ විශ්ව විද්‍යාලය සහ උපන් දිනය වැනි ඇගේ පසුබිම පිළිබඳ විස්තර සොයා ගැනීමෙන් සහ පසුව Yahoo! හි අමතක වූ මුරපද ප්‍රතිසාධන විශේෂාංගය භාවිතා කරමිනි.

පළමුවෙන්ම, මෙය Yahoo හි නිර්මාණ දෝෂයකි! - එවැනි සරල ප්‍රශ්න නියම කිරීමෙන්, සමාගම අත්‍යවශ්‍යයෙන්ම ආරක්ෂක ප්‍රශ්නයේ වටිනාකම කඩාකප්පල් කර ඇති අතර එම නිසා එහි පද්ධතියේ ආරක්ෂාව. ඇත්ත වශයෙන්ම, ඊමේල් ගිණුමක් සඳහා මුරපද යළි පිහිටුවීම සෑම විටම වඩාත් අපහසු වේ, මන්ද ඔබට හිමිකරුට විද්‍යුත් තැපෑලක් යැවීමෙන් (දෙවන ලිපිනයක් නොමැතිව) හිමිකාරිත්වය ඔප්පු කළ නොහැකි නමුත් වාසනාවකට මෙන් අද එවැනි පද්ධතියක් නිර්මාණය කිරීම සඳහා බොහෝ ප්‍රයෝජන නොමැත.

අපි ආරක්ෂක ප්‍රශ්න වෙත ආපසු යමු - පරිශීලකයාට තමන්ගේම ප්‍රශ්න නිර්මාණය කිරීමට ඉඩ දීමට විකල්පයක් ඇත. ගැටලුව වන්නේ මෙය භයානක ලෙස පැහැදිලි ප්‍රශ්න ඇති කරයි:

අහස මොන පාටද?

හඳුනා ගැනීමට ආරක්ෂක ප්‍රශ්නයක් භාවිතා කරන විට මිනිසුන් අපහසුතාවයට පත් කරන ප්‍රශ්න පුද්ගලයෙකි (උදාහරණයක් ලෙස, ඇමතුම් මධ්යස්ථානයක):

නත්තලේදී මම නිදාගත්තේ කා සමඟද?

හෝ අවංකවම මෝඩ ප්රශ්න:

ඔබ "මුරපදය" උච්චාරණය කරන්නේ කෙසේද?

ආරක්ෂක ප්‍රශ්න සම්බන්ධයෙන් ගත් කල, පරිශීලකයින් තමන්ගෙන්ම ගැලවිය යුතුය! වෙනත් වචන වලින් කිවහොත්, ආරක්‍ෂක ප්‍රශ්නය වෙබ් අඩවිය විසින්ම තීරණය කළ යුතුය, නැතහොත් ඊට වඩා හොඳින් විමසිය යුතුය මාලාවක් පරිශීලකයාට තෝරා ගත හැකි ආරක්ෂක ප්රශ්න. තවද එය තෝරා ගැනීම පහසු නැත один; පරිශීලකයා ආරක්ෂිත ප්‍රශ්න දෙකක් හෝ වැඩි ගණනක් තෝරාගත යුතුය ගිණුම් ලියාපදිංචි කිරීමේදී, පසුව දෙවන හඳුනාගැනීමේ නාලිකාවක් ලෙස භාවිතා කරනු ඇත. බහුවිධ ප්‍රශ්න තිබීම සත්‍යාපන ක්‍රියාවලිය කෙරෙහි විශ්වාසය වැඩි කරයි, සහ අහඹු බව එක් කිරීමේ හැකියාවද සපයයි (සෑම විටම එකම ප්‍රශ්නය නොපෙන්වයි), තවද සැබෑ පරිශීලකයාට මුරපදය අමතක වූ විට අතිරික්තයක් සපයයි.

හොඳ ආරක්ෂක ප්රශ්නයක් යනු කුමක්ද? මෙය සාධක කිහිපයකින් බලපායි:

1. එය විය යුතුය කෙටි - ප්රශ්නය පැහැදිලි සහ නොපැහැදිලි විය යුතුය.
2. පිළිතුර විය යුතුය විශේෂිත - එක් පුද්ගලයෙකුට වෙනස් ලෙස පිළිතුරු දිය හැකි ප්‍රශ්නයක් අපට අවශ්‍ය නොවේ
3. විය හැකි පිළිතුරු විය යුතුය විවිධ - යමෙකුගේ ප්‍රියතම වර්ණය ඇසීමෙන් පිළිතුරු ලබා ගත හැකි ඉතා කුඩා උප කුලකයක් ලැබේ
4. Поиск පිළිතුර සංකීර්ණ විය යුතුය - පිළිතුර පහසුවෙන් සොයාගත හැකි නම් කිසිවක් නැත (ඉහළ තනතුරු වල සිටින අය මතක තබා ගන්න), එවිට ඔහු නරක ය
5. පිළිතුර විය යුතුය ස්ථිරයි නියමිත වේලාවට - ඔබ යමෙකුගේ ප්‍රියතම චිත්‍රපටයක් ඇසුවොත්, වසරකට පසුව පිළිතුර වෙනස් විය හැකිය

එය සිදු වන පරිදි, හොඳ ප්‍රශ්න ඇසීමට කැප වූ වෙබ් අඩවියක් ඇත GoodSecurityQuestions.com. සමහර ප්‍රශ්න තරමක් හොඳ බව පෙනේ, අනෙක් ඒවා ඉහත විස්තර කර ඇති සමහර පරීක්ෂණ සමත් නොවේ, විශේෂයෙන් “සෙවීමේ පහසුව” පරීක්ෂණය.

PayPal ආරක්‍ෂක ප්‍රශ්න ක්‍රියාත්මක කරන ආකාරය සහ විශේෂයෙන්ම, වෙබ් අඩවිය සත්‍යාපනය සඳහා දරන උත්සාහය මට නිරූපණය කිරීමට ඉඩ දෙන්න. ඉහත අපි ක්‍රියාවලිය ආරම්භ කිරීමට පිටුව දුටුවෙමු (CAPTCHA එකක් සමඟ), සහ ඔබ ඔබේ විද්‍යුත් තැපැල් ලිපිනය ඇතුළු කර CAPTCHA විසඳූ පසු කුමක් සිදුවේද යන්න අපි මෙහි පෙන්වමු:

ප්රතිඵලයක් වශයෙන්, පරිශීලකයාට පහත ලිපිය ලැබේ:

මෙතෙක් සියල්ල සාමාන්‍ය ය, නමුත් මෙම යළි පිහිටුවීමේ URL පිටුපස සැඟවී ඇති දේ මෙන්න:

එබැවින්, ආරක්ෂක ප්රශ්න ක්රියාත්මක වේ. ඇත්ත වශයෙන්ම, PayPal ඔබට ඔබගේ ක්‍රෙඩිට් කාඩ් අංකය සත්‍යාපනය කිරීමෙන් ඔබගේ මුරපදය නැවත සැකසීමට ඉඩ සලසයි, එබැවින් බොහෝ වෙබ් අඩවි වලට ප්‍රවේශය නොමැති අමතර නාලිකාවක් ඇත. පිළිතුරු නොදී මට මගේ මුරපදය වෙනස් කළ නොහැක දෙකම ආරක්ෂක ප්රශ්නය (හෝ කාඩ්පත් අංකය නොදැන). කවුරුහරි මගේ විද්‍යුත් තැපෑල පැහැර ගත්තත්, ඔවුන් මා ගැන තව ටිකක් පුද්ගලික තොරතුරු දන්නේ නම් මිස මගේ PayPal ගිණුමේ මුරපදය යළි පිහිටුවීමට ඔවුන්ට නොහැකි වනු ඇත. කුමන තොරතුරුද? PayPal පිරිනමන ආරක්ෂක ප්‍රශ්න විකල්ප මෙන්න:

සෙවීමේ පහසුව අනුව පාසල සහ රෝහල් ප්‍රශ්නය තරමක් අපහසු විය හැකි නමුත් අනෙක් ඒවා එතරම් නරක නැත. කෙසේ වෙතත්, ආරක්ෂාව වැඩි දියුණු කිරීම සඳහා, PayPal සඳහා අතිරේක හඳුනාගැනීමක් අවශ්ය වේ වෙනස් ආරක්ෂක ප්රශ්න වලට පිළිතුරු:

PayPal යනු ආරක්‍ෂිත මුරපද යළි පිහිටුවීමේ කදිම මනෝරාජික උදාහරණයකි: එය තිරිසන් ප්‍රහාරවල අන්තරාය අවම කිරීම සඳහා CAPTCHA ක්‍රියාත්මක කරයි, ආරක්ෂක ප්‍රශ්න දෙකක් අවශ්‍ය වේ, පසුව පිළිතුරු වෙනස් කිරීම සඳහා වෙනත් ආකාරයක සම්පූර්ණයෙන්ම වෙනස් හඳුනාගැනීමක් අවශ්‍ය වේ - සහ මෙය පරිශීලකයාට පසුව දැනටමත් පුරනය වී ඇත. ඇත්ත වශයෙන්ම, මෙය හරියටම අපයි අපේක්ෂා කෙරේ PayPal වෙතින්; යනු විශාල මුදල් ප්‍රමාණයක් සමඟ ගනුදෙනු කරන මූල්‍ය ආයතනයකි. සෑම මුරපද යළි පිහිටුවීමක්ම මෙම පියවර අනුගමනය කළ යුතු බව මින් අදහස් නොවේ-බොහෝ විට එය අධික ලෙස ක්‍රියා කරයි - නමුත් ආරක්ෂාව බරපතල ව්‍යාපාරයක් වන අවස්ථා සඳහා එය හොඳ උදාහරණයකි.

ආරක්ෂක ප්‍රශ්න පද්ධතියේ පහසුව නම්, ඔබ එය වහාම ක්‍රියාත්මක කර නොමැති නම්, සම්පත් ආරක්ෂණ මට්ටමට එය අවශ්‍ය නම් ඔබට එය පසුව එකතු කළ හැකිය. මෙයට හොඳ උදාහරණයක් වන්නේ මෑතකදී මෙම යාන්ත්‍රණය ක්‍රියාත්මක කළ ඇපල් ය [2012 දී ලියන ලද ලිපිය]. මම මගේ iPad මත යෙදුම යාවත්කාලීන කිරීමට පටන් ගත් පසු, මම පහත ඉල්ලීම දුටුවෙමි:

එවිට මට ආරක්ෂක ප්‍රශ්න සහ පිළිතුරු යුගල කිහිපයක් තෝරාගත හැකි තිරයක් මෙන්ම ගලවා ගැනීමේ විද්‍යුත් තැපැල් ලිපිනයක් ද මම දුටුවෙමි:

PayPal සම්බන්ධයෙන් ගත් කල, ප්‍රශ්න කලින් තෝරාගෙන ඇති අතර ඒවායින් සමහරක් ඇත්තෙන්ම හොඳ ය:

ප්‍රශ්න/පිළිතුරු යුගල තුනෙන් එකක්ම වෙනස් විය හැකි ප්‍රශ්න සමූහයක් නියෝජනය කරයි, එබැවින් ගිණුමක් වින්‍යාස කිරීමට ක්‍රම ඕනෑ තරම් තිබේ.

ඔබගේ ආරක්ෂක ප්‍රශ්නයට පිළිතුරු සැපයීම සම්බන්ධයෙන් සලකා බැලිය යුතු තවත් අංගයක් වන්නේ ගබඩා කිරීමයි. දත්ත සමුදායේ සරල පෙළ දත්ත ගබඩාවක් තිබීම මුරපදයකට සමාන තර්ජන ඇති කරයි, එනම් දත්ත සමුදාය හෙළිදරව් කිරීම ක්ෂණිකව වටිනාකම හෙළි කරන අතර යෙදුම පමණක් නොව එකම ආරක්ෂක ප්‍රශ්න භාවිතා කරන සම්පූර්ණයෙන්ම වෙනස් යෙදුම් අවදානමට ලක් කරයි (නැවත තිබේ. acai බෙරි ප්රශ්නය) එක් විකල්පයක් වන්නේ ආරක්ෂිත හැෂිං (ශක්තිමත් ඇල්ගොරිතමයක් සහ ගුප්ත ලේඛනමය වශයෙන් අහඹු ලුණු), නමුත් බොහෝ මුරපද ගබඩා කිරීමේ අවස්ථා මෙන් නොව, ප්‍රතිචාරය සරල පෙළ ලෙස දෘශ්‍යමාන වීමට හොඳ හේතුවක් තිබිය හැකිය. සාමාන්‍ය සිදුවීමක් වන්නේ සජීවී දුරකථන ක්‍රියාකරුවෙකු විසින් අනන්‍යතා සත්‍යාපනය කිරීමයි. ඇත්ත වශයෙන්ම, මෙම නඩුවේදී හැෂිං ද අදාළ වේ (ක්‍රියාකරුට සේවාදායකයා විසින් නම් කරන ලද ප්‍රතිචාරය සරලව ඇතුළත් කළ හැකිය), නමුත් නරකම අවස්ථාවක, රහස් ප්‍රතිචාරය සමමිතික සංකේතනය වුවද, යම් ගුප්ත ලේඛන ගබඩාවක පිහිටා තිබිය යුතුය. . සාරාංශ කරන්න: රහස් රහස් ලෙස සලකන්න!

ආරක්ෂක ප්‍රශ්න සහ පිළිතුරු වල එක් අවසාන අංගයක් නම් ඒවා සමාජ ඉංජිනේරු විද්‍යාවට වඩාත් අවදානමට ලක් වීමයි. වෙනත් කෙනෙකුගේ ගිණුමකට මුරපදය කෙලින්ම උපුටා ගැනීමට උත්සාහ කිරීම එක් දෙයක්, නමුත් එය ගොඩනැගීම පිළිබඳ සංවාදයක් ආරම්භ කිරීම (ජනප්‍රිය ආරක්ෂක ප්‍රශ්නයක්) සම්පූර්ණයෙන්ම වෙනස් ය. ඇත්ත වශයෙන්ම, ඔබට සැකයක් ඇති නොකර රහසිගත ප්‍රශ්නයක් මතු කළ හැකි ඔවුන්ගේ ජීවිතයේ බොහෝ පැති ගැන යමෙකු සමඟ හොඳින් සන්නිවේදනය කළ හැකිය. ඇත්ත වශයෙන්ම, ආරක්ෂක ප්‍රශ්නයක වැදගත්ම කරුණ නම් එය යමෙකුගේ ජීවිත අත්දැකීමට සම්බන්ධ වීමයි, එබැවින් එය මතක තබා ගත හැකි අතර ගැටලුව පවතින්නේ එතැනයි - මිනිසුන් ඔවුන්ගේ ජීවිත අත්දැකීම් ගැන කතා කිරීමට කැමතියි! ඔබට මේ ගැන කළ හැක්කේ අල්පයකි, ඔබ එවැනි ආරක්ෂක ප්‍රශ්න විකල්ප තෝරා ගන්නේ නම් පමණි අඩු සමහර විට සමාජ ඉංජිනේරු විද්‍යාවෙන් ඉවත් කළ හැකිය.

[ඉදිරියට පැවැත්වේ.]

දැන්වීම් ප්රචාරණ අයිතිවාසිකම්

VDSina විශ්වසනීය ඉදිරිපත් කරයි දෛනික ගෙවීම් සහිත සේවාදායකයන්, සෑම සේවාදායකයක්ම මෙගාබිට් 500 ක අන්තර්ජාල නාලිකාවකට සම්බන්ධ කර ඇති අතර නොමිලේ DDoS ප්‍රහාර වලින් ආරක්ෂා වේ!

මූලාශ්රය: www.habr.com