Waxaan dhawaan helay wakhti aan ku fekero mar kale sida habka dib u habeynta erayga sirta ah ee sugan uu u shaqeeyo, marka hore markaan dhisayay shaqadan , ka dibna markuu qof kale caawiyay uu sameeyo wax la mid ah. Xaaladda labaad, waxaan rabay inaan siiyo isku xirka kheyraadka canonical oo leh dhammaan faahfaahinta sida si ammaan ah loo hirgeliyo shaqada dib u dejinta. Si kastaba ha ahaatee, dhibaatadu waxay tahay in kheyraadkan oo kale uusan jirin, ugu yaraan maaha mid qeexaya wax kasta oo muhiim iigu muuqda. Markaa waxaan go'aansaday inaan aniga qudhaydu qoro.
Waxaad arkaysaa, adduunka furaha sirta ah ee la illoobay dhab ahaantii waa mid qarsoodi ah. Waxaa jira aragtiyo badan oo kala duwan, gebi ahaanba la aqbali karo iyo kuwo badan oo khatar ah. Fursadaha aad la kulantay mid kasta oo iyaga ka mid ah marar badan isticmaale dhamaadka ah; marka waxaan isku dayi doonaa in aan isticmaalo tusaalooyinkan si aan u tuso cidda saxda u samaynaysa, cidda aan samaynayn, iyo waxa aad u baahan tahay in aad diirada saarto si aad sifada ugu saxdo abka kaaga.
Kaydinta erayga sirta ah: hashing, encryption and (gasp!) Qoraal cad
Kama hadli karno waxa lagu sameeyo ereyada sirta ah ee la illoobay ka hor inta aanan ka hadlin sida loo kaydiyo. Erayada sirta ah waxa lagu kaydiyaa kaydka mid ka mid ah saddexda nooc ee muhiimka ah:
- Qoraal fudud. Waxa jira tiir sir ah, kaas oo lagu kaydiyo qaab qoraal ah oo cad.
- Qarsoon Caadi ahaan iyadoo la isticmaalayo sirta asymmetric (hal fure ayaa loo isticmaalaa sirta iyo furaha labadaba), furayaasha sirta ah ayaa sidoo kale lagu kaydiyaa isla tiir isku mid ah.
- Hashed. Habka hal-jidka ah (password waa la xariifsan karaa, laakiin lama saari karo); erayga sirta ah, Waxaan jeclaan lahaa in aan rajaynayo, oo ay milixdu raacdo, mid walbana tiirkiisa ayuu ku jiraa.
Aynu si toos ah u gaadhno su'aasha ugu fudud: Weligaa ha ku kaydin ereyada sirta ah qoraal cad! Marna. Hal u nuglaanshaha , Hal kayd ah oo taxadar la'aan ah, ama mid ka mid ah daraasiin khaladaad kale oo fudud - waana taas, gameover, dhammaan furahaaga sirta ah - taas oo ah, ka xumahay, furaha sirta ah ee dhammaan macaamiishaada waxay noqon doontaa goob dadweyne. Dabcan, tani waxay la macno tahay suurtogalnimo weyn taas laga bilaabo dhammaan xisaabaadkooda nidaamyada kale. Waxayna noqon doontaa qaladkaaga.
Sirintu way fiican tahay, laakiin waxay leedahay daciifnimadeeda. Dhibaatada sirta ah waa decryption; Waxaan qaadan karnaa kuwan sawir-gacmeedka ee waalan oo aan dib ugu celin karnaa qoraalka cad, marka taasi dhacdo waxaan ku laabaneynaa xaaladda sirta ah ee aadanaha-akhrisan karo. Sidee tani u dhacdaa? Cilad yar ayaa gasho koodka furaha sirta ah, taasoo ka dhigaysa mid si guud loo heli karo - tani waa hal waddo. Hackers-ku waxay galaan mashiinnada lagu kaydiyo xogta sirta ah - tani waa habka labaad. Si kale, mar labaad, waa in la xado kaydka xogta iyo qof sidoo kale helo furaha sirta ah, kaas oo inta badan si ammaan ah loo kaydiyo.
Taasina waxay ina keenaysaa xashiishada. Fikirka ka dambeeya xashiishku waa in uu hal dhinac yahay; Sida kaliya ee lagu barbar dhigi karo erayga sirta ah ee isticmaaluhu galay iyo nooca hashed waa in la xadhkahayo oo la barbar dhigo. Si looga hortago weerarada qalabka sida miisaska qaanso roobaadka, waxaan ku cusbayn habka si aan kala sooc lahayn (akhri my ku saabsan kaydinta cryptographic). Ugu dambeyntii, haddii si sax ah loo hirgeliyo, waxaan ku kalsoonaan karnaa in furaha sirta ah ee la xaday aysan waligood noqon doonin qoraal cad (waxaan kaga hadli doonaa faa'iidooyinka algorithms-ka kala duwan ee qoraal kale).
Dood degdeg ah oo ku saabsan hashing vs. encryption: sababta kaliya ee aad waligaa ugu baahan tahay inaad sirayso halkii aad ka xakamaysay erayga sirta ah waa marka aad u baahan tahay inaad ku aragto erayga sirta ah qoraal cad, iyo waa inaadan waligaa rabin, ugu yaraan xaalad mareegaha caadiga ah. Haddii aad u baahan tahay tan, markaa waxay u badan tahay inaad wax khaldan samaynayso!
Digniin
Hoosta qoraalka boostada waxaa ku jira qayb ka mid ah sawirka bogga internetka ee galmada AlotPorn. Si habsami leh ayaa loo gooyay si aysan jirin wax aadan ku arki karin xeebta, laakiin haddii ay weli u badan tahay inay wax dhibaato ah keento, hoos ha u dhaadhacin.
Had iyo jeer dib u deji eraygaaga sirta ah marnaba ha xasuusin
Weligaa ma lagu weydiistay inaad shaqo abuurto xasuusin erayga sirta ah? Dib u qaado oo ka fakar codsigan si cagsi ah: maxaa "xusuusinta" loogu baahan yahay? Sababtoo ah isticmaaluhu wuxuu illoobay erayga sirta ah. Maxaan rabnaa inaan sameyno? Ka caawi inuu mar kale soo galo
Waxaan garwaaqsanahay in ereyga "xusuusinta" loo isticmaalo (badanaa) macno ahaan, laakiin waxa aan runtii isku dayeyno inaan sameyno waa si badbaado leh uga caawi isticmaaluhu inuu mar kale online ahaado. Maadaama aan u baahannahay nabad-gelyo, waxaa jira laba sababood oo xasuusintu (tusaale ahaan u dirida isticmaalaha furaha sirta ah) aanu ku habboonayn:
- Iimaylku waa kanaal aan ammaan ahayn. Sida aynaan ugu soo diri doonin wax xasaasi ah HTTP (waxaan isticmaali lahayn HTTPS), waa inaannan ku soo dirin wax xasaasi ah iimaylka sababtoo ah lakabka gaadiidku waa amaan. Dhab ahaantii, tani aad ayey uga xun tahay in si fudud loo diro macluumaadka nidaamka gaadiidka ee aan ammaan ahayn, sababtoo ah boostada waxaa badanaa lagu kaydiyaa qalabka kaydinta, oo ay heli karaan maamulayaasha nidaamka, gudbinta iyo qaybinta, la heli karo malware, iyo wixii la mid ah. Iimayl aan qarsoodi ahayn waa kanaal aad ammaan u ah.
- Waa inaadan geli karin erayga sirta ah si kastaba. Dib u akhri qaybta hore ee kaydinta - waa inaad haysataa xashiish lambarka sirta ah (oo leh cusbo xoog leh), taasoo la macno ah inaadan sinaba u awoodin inaad soo saarto erayga sirta ah oo aad ku dirto boostada.
Aan dhibka ku soo bandhigo tusaale Waa kan bogga caadiga ah ee gelitaanka:
Sida iska cad, dhibka ugu horreeya ayaa ah in bogga gelitaanka uusan ku shubin HTTPS, laakiin goobta ayaa sidoo kale kugu dhiirigelinaysa inaad dirto furaha sirta ah ("Send Password"). Tani waxay tusaale u noqon kartaa adeegsiga erey-ku-hadalka ah ee ereyga aan kor ku soo xusnay, haddaba aan tallaabo dheeraad ah u qaadno oo aragno waxa dhaca.
Uma muuqato mid aad uga fiican, nasiib daro; iyo iimaylka ayaa xaqiijinaya inay dhibaato jirto:
Tani waxay noo sheegaysaa laba waji oo muhiim ah usoutdoor.com:
- Goobtu ma laha furaha sirta ah. Sida ugu fiican, waa la siray, laakiin waxay u badan tahay inay ku kaydsan yihiin qoraal cad; Annagu ma aragno caddayn liddi ku ah.
- Goobtu waxay soo dirtaa furaha sirta ah ee muddada-dheer (waan ku noqon karnaa oo waanu isticmaali karnaa mar kale iyo mar kale) kanaalka aan la hubin.
Iyada oo ay tani jidka ka baxayso, waxaan u baahanahay inaan hubino haddii habka dib u dejinta loo sameeyay hab sugan. Tallaabada ugu horreysa ee tan la sameeyo waa in la hubiyo in codsaduhu uu xaq u leeyahay inuu sameeyo dib u dajinta. Si kale haddii loo dhigo, ka hor waxaan u baahannahay hubinta aqoonsiga; aan eegno waxa dhaca marka aqoonsiga la xaqiijiyo iyadoo aan marka hore la xaqiijin in codsaduhu uu dhab ahaantii yahay mulkiilaha akoontiga.
Liistada isticmaalayaasha iyo saamaynta ay ku leedahay qarsoodiga
Dhibaatadan waxaa sida ugu fiican loogu sawiray muuqaal. Dhibaatada:
Ma aragtaa? U fiirso fariinta "Ma jiro isticmaale ka diiwaangashan emailkan." Dhibaatadu waxay si cad u soo baxdaa haddii goobtan oo kale ay xaqiijiso helitaanka isticmaalaha ka diiwaan gashan ciwaanka iimaylkan oo kale. Bingo - waxaad hadda ogaatay in ninkaaga/maamulahaaga/ deriskaaga uu yahay khayaali lulataaye!
Dabcan, lulataaye waa tusaale cadaalad ah oo ku saabsan muhiimada asturnaanta, laakiin khatarta ah in lagu xiriiriyo aqoonsiga shabakad gaar ah ayaa aad uga ballaadhan xaaladda khatarta ah ee kor lagu sharaxay. Hal khatar ayaa ah injineernimada bulshada; Haddii uu weeraryahanku la mid noqon karo qofka adeegga, markaas wuxuu heli doonaa macluumaad uu bilaabi karo inuu isticmaalo. Tusaale ahaan, waxa laga yaabaa inuu la xidhiidho qof iska dhigaya wakiil mareegaha oo uu codsado macluumaad dheeraad ah si uu isku dayo inuu sameeyo .
Dhaqannada noocan oo kale ah waxay sidoo kale kor u qaadaan khatarta "username tiriyey," taas oo mid ka mid ah u xaqiijin karo jiritaanka ururinta dhammaan magacyada isticmaaleyaasha ama cinwaannada iimaylka ee mareegaha iyada oo si fudud loo qabanayo su'aalo kooxeed oo baaraya jawaabaha iyaga. Ma haysaa liiska ciwaannada iimaylka ee dhammaan shaqaalaha iyo dhawr daqiiqo oo aad ku qorto qoraal? Markaa waad aragtaa dhibku maxay tahay!
Waa maxay beddelka? Dhab ahaantii, waa wax fudud, oo si cajiib ah ayaa loo hirgeliyay :
Halkan Entropay waxba kama sheegayo jiritaanka ciwaanka iimaylka ee nidaamkeeda qof aan ciwaankan lahayn... Hadii aad leh cinwaankan oo kuma jiro nidaamka, markaas waxaad heli doontaa iimayl sidan oo kale ah:
Dabcan, waxaa jiri kara xaalado la aqbali karo oo qof qabaain aad iska diiwaan galisay mareegaha. laakiin tani maahan kiis, ama waxaan ka sameeyay ciwaan kale oo iimayl ah. Tusaalaha kor lagu soo bandhigay ayaa si fiican u maamula labada xaaladood. Sida cad, haddii ciwaanka u dhigmayo, waxaad heli doontaa iimayl kuu sahlaya inaad dib u dejiso eraygaaga sirta ah.
Daahsoonaanshaha xalka ay dooratay Entropay waa in xaqiijinta aqoonsiga la sameeyo si waafaqsan emaylka kahor xaqiijin kasta oo onlayn ah. Goobaha qaarkood waxay waydiiyaan isticmaalayaasha jawaabta su'aasha amniga (wax badan oo tan hoose ah) si ay u sida dib u habeyntu u bilaaban karto; si kastaba ha ahaatee, mushkiladda tan ayaa ah inaad ka jawaabto su'aasha adigoo bixinaya nooc ka mid ah aqoonsiga (email ama username), taas oo markaa ka dhigaysa mid aan suurtogal ahayn in si macquul ah looga jawaabo iyada oo aan la muujinin jiritaanka xisaabta isticmaale aan la garanayn.
Habkan ayaa jira yar Isticmaalka oo yaraada sababtoo ah haddii aad isku daydo inaad dib u dejiso akoon aan jirin, ma jirto jawaab celin degdeg ah. Dabcan, taasi waa barta dhan ee dirida emailka, laakiin marka laga eego aragtida dhabta ah ee isticmaalaha, haddii ay galaan ciwaan khaldan, waxay ogaan doonaan kaliya marka ugu horeysa ee ay helaan emailka. Tani waxay keeni kartaa xoogaa xiisad ah dhankiisa, laakiin tani waa qiimo yar oo lagu bixin karo habkan naadir ah.
Qoraal kale, oo waxyar ka baxsan mawduuca: hawlaha gargaarka soo galitaanka ee muujinaya in magaca isticmaalaha ama ciwaanka iimaylka uu sax yahay ay leeyihiin dhib isku mid ah. Had iyo jeer ugu jawaab isticmaalaha fariinta "Magaca isticmaalaha iyo erayga sirta ah ee isku dhafka ah waa mid aan sax ahayn" halkii aad si cad u xaqiijin lahayd jiritaanka aqoonsiga (tusaale, "username waa sax, laakiin erayga sirta ah waa khaldan yahay").
Dirista erayga dib u dajinta vs diritaanka URL dib u dejinta
Fikradda xigta ee aan u baahanahay inaan ka wada hadalno waa sida dib loogu habeynayo eraygaaga sirta ah. Waxaa jira laba xal oo caan ah:
- Abuuritaanka furaha cusub ee server-ka oo loogu diro iimaylka
- U dir iimayl wata URL gaar ah si aad hawsha dib u dejinta u fududayso
In kasta oo ay , qodobka koowaad waa in aan marnaba la isticmaalin. Dhibka uu leeyahay tani waa in ay ka dhigan tahay in uu jiro erayga sirta ah ee kaydsan, kaas oo aad ku noqon karto oo aad isticmaali karto mar kale wakhti kasta; waxaa lagu soo diray kanaal aan ammaan ahayn oo waxay ku hadhaysaa sanduuqaaga. Fursadaha ayaa ah in sanduuqyada la isku dhejiyo dhammaan aaladaha mobilada iyo macmiilka iimaylka, oo lagu daray waxaa laga yaabaa in lagu kaydiyo onlayn adeegga iimaylka ee shabakadda muddo aad u dheer. Ujeedadu waa taas sanduuqa boostada looma tixgelin karo hab lagu kalsoonaan karo oo kaydinta muddada dheer ah.
Laakiin tan ka sokow, qodobka koowaad wuxuu leeyahay dhibaato kale oo halis ah - waa fududeeya inta ugu badan ee suurtogalka ah xannibidda akoon leh ujeedo xaasidnimo leh. Haddii aan ogaado ciwaanka emailka qof leh akoon ku leh website-ka, markaas waan xannibi karaa wakhti kasta aniga oo si fudud dib u dejinaya erayga sirta ah; Tani waa diidmada weerar adeeg oo loogu adeego saxan qalin ah! Tani waa sababta dib-u-habaynta ay tahay in la sameeyo oo kaliya ka dib markii si guul leh loo xaqiijiyo xuquuqda codsadaha.
Marka aan ka hadalno URL dib u dajin, waxaan ula jeednaa ciwaanka mareegaha kaas oo ah gaar ah kiiskan gaarka ah ee habka dib u dejinta. Dabcan, waa inay noqotaa mid aan kala sooc lahayn, waa inaanay fududayn in la qiyaaso, oo aanay ku jirin wax xidhiidhyo dibadeed oo xisaabta ah oo sahlaya in dib loo dajiyo. Tusaale ahaan, URL-ka dib-u-dejinta waa inuusan si fudud u noqon waddo la mid ah "Reset/?username=JohnSmith".
Waxaan rabnaa inaan abuurno calaamad gaar ah oo loo diri karo sidii URL dib-u-dejin, ka dibna la mid ah diiwaanka server-ka ee koontada isticmaalaha, sidaas darteed xaqiijinta in milkiilaha akoonku yahay, dhab ahaantii, isla qofka isku dayaya inuu dib u dejiyo erayga sirta ah. Tusaale ahaan, calaamaddu waxay noqon kartaa "3ce7854015cd38c862cb9e14a1ae552b" oo lagu kaydiyo miis ay la socoto aqoonsiga isticmaalaha dib u dajinta iyo wakhtiga calaamada la sameeyay (wax badan oo ku saabsan tan hoose). Marka iimaylka la diro, waxa uu ka kooban yahay URL sida βReset/?id=3ce7854015cd38c862cb9e14a1ae552bβ, iyo marka isticmaaluhu soo dejiyo, boggu wuxuu soo jeedinayaa jiritaanka calaamadda, ka dib waxay xaqiijinaysaa macluumaadka isticmaalaha waxayna u oggolaanaysaa inay beddelaan erayga sirta ah
Dabcan, maadaama habka kor ku xusan (rajo) uu u ogolaado isticmaalaha inuu abuuro erayga sirta ah ee cusub, waxaan u baahanahay inaan hubinno in URL-ka lagu shubo HTTPS. Maya, , URL calaamaddan waa in ay isticmaashaa ilaalinta lakabka gaadiidka si aan foomka sirta ah ee cusub aan loo weerarin iyo erayga sirta ah ee uu sameeyay isticmaaluhu waxa lagu gudbiyay xidhiidh sugan.
Sidoo kale URL-ka dib-u-dejinta waxaad u baahan tahay inaad ku darto calaamadda wakhtiga xaddidan si habka dib-u-dejinta loo dhammeeyo muddo cayiman gudahood, dheh saacad gudaheed. Tani waxay hubinaysaa in daaqada dib udajinta la hayo ugu yaraan si markaa qaataha URL-ka dib u dejintu uu kaliya u dhaqmo gudaha daaqada aadka u yar. Dabcan, weeraryahanku wuxuu bilaabi karaa habka dib u dejinta, laakiin waxay u baahan doonaan inay helaan URL kale oo dib u dejineed oo gaar ah.
Ugu dambeyntii, waxaan u baahanahay inaan hubinno in habkani yahay mid la tuuri karo. Marka habka dib u dajinta uu dhamaado, calaamada waa in meesha laga saaraa si URL-ka dib u dejintu aanu u shaqayn. Qodobka hore waa lagama maarmaan si loo hubiyo in weeraryahanku leeyahay daaqad aad u yar inta lagu jiro taas oo uu wax ka bedeli karo URL-ka dib u dejinta. Waxaa dheer, dabcan, marka dib u habeyntu ay guuleysato, calaamadda looma baahna.
Qaar ka mid ah tillaabooyinkan ayaa laga yaabaa inay u muuqdaan kuwo xad dhaaf ah, laakiin kuma farageliyaan isticmaalka iyo dhab ahaantii hagaajinta badbaadada, inkasta oo xaaladaha aan rajaynayno ay naadir yihiin. 99% kiisaska, isticmaaluhu wuxuu awood u siin doonaa dib u habeynta muddo aad u yar gudaheed mana dib u dejin doono erayga sirta ah mustaqbalka dhow.
Doorka CAPTCHA
Oh, CAPTCHA, qaabka amniga ee aan dhammaanteen jecelnahay inaan necbano! Dhab ahaantii, CAPTCHA maahan qalab ilaalineed ee waa qalab aqoonsi - haddii aad tahay qof ama robot (ama qoraal toos ah). Ujeeddadeedu waa in laga fogaado soo gudbinta foomka tooska ah, kaas oo, dabcan, awooddo loo isticmaalo isku day lagu jabinayo amniga. Marka la eego macnaha dib-u-dejinta erayga sirta ah, CAPTCHA waxay ka dhigan tahay in shaqada dib-u-dejinta aan lagu qasbi karin in la jebiyo isticmaalaha ama la isku dayo in la go'aamiyo jiritaanka xisaabaadka (taas oo, dabcan, suurtogal ma noqon doonto haddii aad raacdo talada qaybta xaqiijinta aqoonsiga).
Dabcan, CAPTCHA lafteedu maaha mid qumman; Waxaa jira waxyaabo badan oo horudhac u ah software-keeda "jabsiga" iyo gaaritaanka heerarka guusha ee ku filan (60-70%). Intaa waxaa dheer, waxaa jira xal lagu muujiyay qoraalkayga ku saabsan , halkaas oo aad dadka ku siin karto jajab boqolkiiba boqol ah si aad u xalliso CAPTCHA kasta oo aad gaadho heerka guusha ee 94%. Taasi waa, way nugul tahay, laakiin (wax yar) waxay kor u qaadaysaa xannibaadda gelitaanka.
Aan eegno tusaalaha PayPal:
Xaaladdan oo kale, habka dib u dejinta si fudud uma bilaabi karo ilaa CAPTCHA la xalliyo, sidaas darteed aragti ahaan waa wax aan suurtagal ahayn in si otomaatig ah loo sameeyo. Aragti ahaan.
Si kastaba ha ahaatee, inta badan codsiyada shabakada tani waxay noqon doontaa xad-dhaaf iyo gabi ahaanba sax ah waxay ka dhigan tahay hoos u dhaca isticmaalka - dadku ma jecla CAPTCHA! Intaa waxaa dheer, CAPTCHA waa shay aad si fudud ugu noqon karto haddii loo baahdo. Haddii adeeggu bilaabo inuu la kulmo weerar (tani waa meesha ay ku habboon tahay qorista, laakiin wax badan oo intaas ka dambeeya), markaa ku darista CAPTCHA ma fududaan karto.
Su'aalo iyo jawaabo sir ah
Dhammaan hababka aan tixgelinnay, waxaan awoodnay inaan dib u habeynno erayga sirta ah annaga oo galnay koontada iimaylka. Waxaan leeyahay "kaliya", laakiin, dabcan, waa sharci-darro in la galo emailka qof kale. waa noqo geedi socod adag. Si kastaba ha ahaatee .
Dhab ahaantii, xiriirka kore ee ku saabsan jabsiga Sarah Palin ee Yahoo! waxay u adeegtaa laba ujeedo; Marka hore, waxay muujineysaa sida ay u fududahay in la jabsado (qaar) xisaabaadka iimaylka, marka labaadna, waxay muujineysaa sida su'aalaha amniga xun loogu isticmaali karo ujeedo xun. Laakiin tan dib ayaan ku soo laaban doonaa.
Dhibaatada XNUMX% emaylka ku salaysan dib-u-dejinta erayga sirta ah ayaa ah in daacadnimada akoontiga goobta aad isku dayayso inaad dib u dejiso ay noqoto XNUMX% ku xidhan daacadnimada xisaabta iimaylka. Qof kasta oo geli kara iimaylkaga waxay marin u leedahay akoon kasta oo dib loo dajin karo iyadoo si fudud loo helo iimaylka. Xisaabaadka noocaas ah, iimaylka ayaa ah "furaha albaabada oo dhan" ee noloshaada onlaynka ah.
Hal dariiqo oo lagu dhimi karo khatartan waa in la hirgeliyo su'aal iyo qaab ka jawaabid ammaan. Shaki la'aan inaad hore u aragtay: dooro su'aal adiga keliya ka jawaabi karto waa ogow jawaabta, ka dibna markaad dib u dejiso eraygaaga sirta ah ayaa lagu weydiin doonaa. Tani waxay ku daraysaa kalsooni ah in qofka isku dayaya dib u dejintu uu dhab ahaantii yahay mulkiilaha akoontiga.
U laabo Sarah Palin: khaladku wuxuu ahaa in jawaabaha su'aalaheeda amniga si fudud loo heli karo. Gaar ahaan marka aad tahay qof caan ah oo dadwayne ah, macluumaadka ku saabsan magaca hooyadaa, taariikhda waxbarasho, ama meesha uu qof ku noolaa wakhti hore maahan wax sir ah oo dhan. Dhab ahaantii, inteeda badan waxaa laga heli karaa ku dhawaad ββqof kasta. Sidan ayay ku dhacday Sarah:
Hackers David Kernell waxa uu helay akoonka Palin isaga oo helay tafaasiil ku saabsan taariikhdeeda, sida jaamacadeeda iyo taariikhda ay dhalatay, ka dibna isticmaalaysa Yahoo!'s feature soo kabashada erayga sirta ah ee la iloobay.
Ugu horreyntii, tani waa qalad naqshadeynta qaybta Yahoo! - Iyadoo la qeexayo su'aalaha fudud ee noocan oo kale ah, shirkaddu waxay si dhab ah u burburisay qiimaha su'aasha amniga, sidaas darteed ilaalinta nidaamkeeda. Dabcan, dib u dajinta furaha sirta ah ee xisaabta iimaylka had iyo jeer aad ayey u adag tahay maadaama aadan cadeyn karin lahaanshaha adigoo iimayl u diraya milkiilaha (adigoon lahayn cinwaan labaad), laakiin nasiib wanaag ma jiraan waxyaabo badan oo loo adeegsado abuurista nidaamkan maanta.
Aan ku soo laabano su'aalaha amniga - waxaa jira ikhtiyaar lagu oggolaado isticmaaluhu inuu abuuro su'aalahooda. Dhibaatadu waxay tahay in tani ay keeni doonto su'aalo aad u muuqda:
cirku waa maxay midabka?
Su'aalaha dadka dhibsada marka su'aasha amniga loo isticmaalo in lagu aqoonsado qof (tusaale ahaan, xarunta wicitaanka):
Yaan la seexan jiray Christmas-ka?
Ama su'aalo nacasnimo ah:
Sidee loo higgaadiyaa "password"?
Marka ay timaado su'aalaha amniga, isticmaalayaashu waxay u baahan yihiin inay naftooda ka badbaadiyaan! Si kale haddii loo dhigo, su'aasha amniga waa in lagu go'aamiyaa goobta lafteeda, ama si ka sii fiican, weli, la waydiiyo taxane su'aalaha amniga ee isticmaaluhu ka dooran karo. Mana fududa in la doorto ΠΎΠ΄ΠΈΠ½; Sida habboon isticmaaluhu waa inuu doorto laba ama in ka badan su'aalaha amniga waqtiga diiwaangelinta xisaabta, kaas oo markaa loo isticmaali doono kanaal aqoonsi labaad. Haysashada su'aalo badan waxay kordhisaa kalsoonida habka xaqiijinta, waxayna sidoo kale bixisaa awooda lagu daro randomity (mar walba ma muujinayso su'aal isku mid ah), oo lagu daray waxay bixisaa waxoogaa dib u dhac ah haddii isticmaaluhu dhab ahaantii illoobay erayga sirta ah.
Waa maxay su'aal ammaan oo wanaagsan? Tan waxaa saameeya dhowr arrimood:
- Waa inuu noqdaa kooban - su'aashu waa inay noqotaa mid cad oo aan mugdi ku jirin.
- Jawaabtu waa inay noqotaa gaar ahaan β Uma baahnid su'aal uu hal qof si ka duwan uga jawaabi karo
- Jawaabaha suurtagalka ah waa inay noqdaan kala duwan - Weydiinta midabka uu qof jecel yahay waxay keenaysaa qayb aad u yar oo jawaabo suurtagal ah
- ΠΠΎΠΈΡΠΊ jawaabtu waa inay noqotaa mid adag - haddii jawaabta si fudud loo heli karo mid kasta (xusuus dadka xilalka sare haya), markaas wuu xun yahay
- Jawaabtu waa inay noqotaa joogto ah waqtiga - haddii aad weydiiso qof filimkiisa uu jecel yahay, markaas sanad ka dib jawaabtu way ka duwanaan kartaa
Sida ay dhacdo, waxaa jira shabakad u heellan in la weydiiyo su'aalo wanaagsan oo la yiraahdo . Qaar ka mid ah su'aalaha waxay u muuqdaan kuwo aad u wanaagsan, kuwa kalena ma gudbaan qaar ka mid ah imtixaannada kor lagu sharraxay, gaar ahaan "fududda raadinta" imtixaanka.
Aan muujiyo sida PayPal u fuliso su'aalaha amniga iyo, gaar ahaan, dadaalka goobta ay geliso xaqiijinta. Xagga sare waxaan ku aragnay bogga si loo bilaabo habka (CAPTCHA), oo halkan waxaan ku tusi doonaa waxa dhacaya ka dib markaad gasho cinwaankaaga iimaylka oo aad xalliso CAPTCHA:
Natiijo ahaan, isticmaaluhu wuxuu helayaa warqadda soo socota:
Ilaa hadda wax walba waa iska caadi, laakiin waa kan waxa ku qarsoon URL-kan dib-u-dejinta:
Markaa, su'aalaha amniga ayaa soo galaya. Dhab ahaantii, PayPal waxay sidoo kale kuu ogolaaneysaa inaad dib u dejiso eraygaaga sirta ah adoo xaqiijiya lambarkaaga kaarka deynta, markaa waxaa jira kanaal dheeraad ah oo aan goobo badan helin. Kaliya ma beddeli karo erayga sirta ah anigoon ka jawaabin labadaba su'aasha amniga (ama garan la'aanta lambarka kaarka). Xitaa haddii qof uu afduubo iimaylkayga, ma awoodi doonaan inay dib u dejiyaan erayga sirta ah ee akoonkayga PayPal ilaa ay ogaadaan xog gaar ah oo aniga igu saabsan mooyaane. Maxaa xog ah? Waa kuwan xulashooyinka su'aalaha amniga ee PayPal ay bixiso:
Su'aasha dugsiga iyo cusbitaalka waxa laga yaabaa in ay yara iffy marka la eego fududaynta raadinta, laakiin kuwa kale aad uma xuma. Si kastaba ha ahaatee, si kor loogu qaado ammaanka, PayPal waxay u baahan tahay aqoonsi dheeraad ah isbedel jawaabaha su'aalaha amniga:
PayPal waa tusaale qurux badan oo utopian ah oo dib u habeynta erayga sirta ah: waxay fulisaa CAPTCHA si loo yareeyo khatarta weerarrada xoogga ah, waxay u baahan tahay laba su'aalood oo ammaan ah, ka dibna waxay u baahan tahay nooc kale oo aqoonsi gebi ahaanba ka duwan si loo beddelo jawaabaha-iyo tan ka dib isticmaalaha hore ayuu u saxeexay. Dabcan, tani waa dhab ahaan waxa aan la filayo ka PayPal; waa hay'ad maaliyadeed oo ka shaqeysa lacag badan. Tani macnaheedu maaha in dib-u-dejin kasta oo sirta ah uu raacayo tillaabooyinkan - inta badan waa xad-dhaaf - laakiin waxay tusaale fiican u tahay kiisaska ammaanku yahay ganacsi halis ah.
Ku habboonaanta nidaamka su'aalaha amniga ayaa ah haddii aadan isla markiiba hirgelin, waxaad ku dari kartaa mar dambe haddii heerka ilaalinta kheyraadku u baahan yahay. Tusaalaha wanaagsan ee tan waa Apple, oo dhowaan hirgelisay habkan [maqaal ku qoran 2012]. Markii aan bilaabay cusboonaysiinta arjiga iPad-kayga, waxaan arkay codsigan soo socda:
Kadib waxaan arkay shaashad aan ka dooran karo dhowr lammaane oo su'aalo iyo jawaabo amniga ah, iyo sidoo kale ciwaanka iimaylka samatabbixinta:
Xagga PayPal, su'aalaha horay ayaa loo doortay oo qaarkood runtii aad bay u wanaagsan yihiin:
Mid kasta oo ka mid ah saddexda su'aal/lammaanaha jawaabaha waxay ka dhigan tahay su'aalo kala duwan oo suurtagal ah, markaa waxaa jira siyaabo badan oo loo habeeyo xisaab.
Arrin kale oo ay tahay in laga fiirsado oo ku saabsan ka jawaabista su'aashaada ammaan waa kaydinta. Haysashada xog qoraal ah oo cad oo ku jirta kaydka xogta waxay keenaysaa ku dhawaad ββkhataro la mid ah kan sirta ah, kuwaas oo soo bandhigaya xogta xogta isla markaaba daaha ka qaadaysa qiimaha oo aan khatar gelinayn arjiga oo keliya, laakiin suurtogalnimada gebi ahaanba codsiyo kala duwan oo isticmaalaya su'aalo isku mid ah oo amniga ah (halkaas mar kale ). Mid ka mid ah ikhtiyaarka ayaa ah hashing aamin ah (algorithm xooggan iyo cusbo qarsoodi ah oo qarsoodi ah), laakiin si ka duwan inta badan kiisaska kaydinta sirta ah, waxaa jiri kara sabab wanaagsan oo jawaabtu u muuqato qoraal cad. Xaaladda caadiga ah waa xaqiijinta aqoonsiga ee hawlwadeenka telefoonka tooska ah. Dabcan, xashiishku sidoo kale waa lagu dabaqi karaa kiiskan ( hawlwadeenku si fudud ayuu u geli karaa jawaabta uu magacaabay macmiilku), laakiin kiiska ugu xun, jawaabta sirta ah waa in ay ku taal heer ka mid ah kaydinta cryptographic, xitaa haddii ay tahay sireed sir ah. . Soo koob: ula dhaqan siraha sida siraha oo kale!
Mid ka mid ah dhinac ugu dambeeya ee su'aalaha iyo jawaabaha amniga ayaa ah inay aad ugu nugul yihiin injineernimada bulshada. Isku dayga in si toos ah looga saaro erayga sirta ah akoon qof kale waa hal shay, laakiin bilaabista wada hadalka ku saabsan samayntiisa (su'aasha amniga caanka ah) gabi ahaanba way ka duwan tahay. Dhab ahaantii, waxaad si fiican qof ula xiriiri kartaa dhinacyo badan oo noloshiisa ah kuwaas oo keeni kara su'aal sir ah iyada oo aan kicin shaki. Dabcan, qodobka ugu muhiimsan ee su'aasha amnigu waa in ay la xiriirto qof khibradiisa nololeed, markaa waa wax la xasuusto, halkaasna dhibku ka jiro - dadku waxay jecel yihiin inay ka hadlaan waaya-aragnimadooda nololeed! Waxaa jira wax yar oo aad ka qaban karto arrintan, kaliya haddii aad doorato su'aalaha amniga sida fursadaha si ay u noqdaan ka yar waxaa laga yaabaa in laga saaro injineernimada bulshada.
[In la sii wado.]Iidheh ahaan
VDSina waxay bixisaa la isku halayn karo , Server kastaa waxa uu ku xidhan yahay kanaalka Internetka ee 500 megabits waxana laga ilaaliyaa weerarada DDoS bilaasha ah!
Source: www.habr.com