Sagalana anjeun kantos hoyong terang ngeunaan reset sandi aman. Bagian 1

Kuring nembe ngagaduhan waktos mikir deui kumaha fitur reset sandi aman kedah dianggo, mimiti nalika kuring ngawangun fungsionalitas kana ASafaWeb, lajeng nalika anjeunna mantuan pikeun ngalakukeun hal sarupa jalma sejen. Dina kasus kadua, abdi hoyong masihan anjeunna link kana sumberdaya canonical kalayan sagala rinci palaksanaan aman tina fungsi reset. Nanging, masalahna nyaéta sumber daya sapertos kitu henteu aya, sahenteuna henteu aya anu ngajelaskeun sadayana anu sigana penting pikeun kuring. Ku kituna kuring mutuskeun pikeun nulis sorangan.

Anjeun ningali, dunya kecap akses anu hilap saleresna mangrupikeun misterius. Aya seueur sudut pandang anu béda-béda, anu tiasa ditampi sareng seueur anu bahaya. Chances anjeun geus encountered unggal sahijina sababaraha kali salaku pamaké tungtung; Janten kuring bakal nyobian nganggo conto ieu pikeun nunjukkeun saha anu ngalakukeun éta leres, saha anu henteu, sareng naon anu anjeun kedah difokuskeun pikeun kéngingkeun fitur anu leres dina aplikasi anjeun.

Panyimpen sandi: hashing, enkripsi sareng (oh!) téks polos

Kami henteu tiasa ngabahas naon anu kudu dilakukeun sareng kecap konci anu hilap sateuacan urang bahas kumaha disimpenna. Kecap akses disimpen dina pangkalan data dina salah sahiji tina tilu jinis utama:

1. téks polos. Aya kolom sareng kecap akses, anu disimpen dina téks polos.
2. énkripsi. Biasana nganggo énkripsi simetris (hiji konci dianggo pikeun énkripsi sareng dekripsi), sareng kecap konci énkripsi ogé disimpen dina kolom anu sami.
3. hashed. Prosés saarah (sandi tiasa di-hashed tapi henteu di-dehashed); sandi, mudah-mudahan, dituturkeun ku uyah, sarta masing-masing aya dina kolom sorangan.

Hayu urang nungkulan patarosan pangbasajanna langsung: pernah nyimpen kecap akses dina téks polos! moal pernah. Hiji kerentanan tunggal suntikan, hiji salinan cadangan anu teu kahaja atanapi salah sahiji tina puluhan kasalahan saderhana - sareng éta, gameover, sadaya kecap akses anjeun - nyaéta, punten, kecap akses pikeun sakabéh klien Anjeun bakal jadi milik umum. Tangtosna, ieu bakal hartosna kamungkinan anu ageung kabéh kecap akses maranéhanana ti sakabéh rekening maranéhanana dina sistem séjén. Sarta eta bakal lepat anjeun.

Énkripsi langkung saé, tapi ngagaduhan kalemahan. Masalah enkripsi nyaéta dekripsi; urang tiasa nyandak cipher anu katingali gila ieu sareng ngarobih deui kana téks polos, sareng nalika éta kajantenan urang balik deui kana kaayaan sandi anu tiasa dibaca ku manusa. Kumaha ieu kajadian? A cacad leutik asup kana kode nu ngadekrip sandi, sahingga sadia pikeun umum - ieu salah sahiji cara. Peretas kéngingkeun aksés kana mesin dimana data énkripsi disimpen - ieu mangrupikeun metode anu kadua. Cara anu sanés, deui, nyaéta maok cadangan pangkalan data sareng batur ogé nampi konci enkripsi, anu sering disimpen sacara teu aman.

Jeung nu brings kami ka hashing. Gagasan balik hashing téh nya éta dipigawé hiji cara; Hiji-hijina jalan pikeun ngabandingkeun kecap akses nu diasupkeun ku pamaké kalawan versi hash na nyaeta mun Hash sandi diasupkeun tur ngabandingkeun aranjeunna. Pikeun nyegah serangan nganggo alat sapertos tabel katumbiri, kami nganggo uyah pikeun nambihan acak kana prosésna (pikeun gambar lengkep, baca abdi pasang ngeunaan neundeun cryptographic). Pamustunganana, upami dilaksanakeun leres, urang aman tiasa nganggap yén kecap akses hashed moal janten téks polos deui (Kuring bakal ngabahas mangpaat algoritma hashing anu béda dina tulisan anu sanés).

Argumen gancang ngeunaan hashing sareng enkripsi: Hiji-hijina alesan anjeun kedah énkripsi tinimbang ngahash sandi nyaéta nalika anjeun kedah ningali kecap konci dina téks polos tinimbang Anjeun pernah kedah hoyong eta, sahenteuna dina kaayaan ramatloka baku. Upami anjeun peryogi ieu, maka paling dipikaresep anjeun ngalakukeun anu salah!

Awas!

Sakedik ka handap dina tulisan tulisan mangrupikeun bagian tina layar layar situs web porno AlotPorn. Éta dipotong rapih, janten teu aya anu teu tiasa ditingali di pantai, tapi upami éta masih nyababkeun masalah, tong gulung ka handap halamanna.

Salawasna ngareset sandi anjeun teu kungsi teu ngingetkeun anjeunna

Dupi anjeun kantos dipenta pikeun nyieun hiji fungsi pangeling-eling sandi? Candak léngkah deui sareng pikirkeun pamundut ieu tibalik: naha ieu "panginget" diperyogikeun? Kusabab pamaké geus poho sandi. Naon anu urang hoyong laksanakeun? Pitulung manéhna asup deui.

Kuring ngarti kecap "panginget" dipaké (sering) colloquially, tapi naon urang bener nyobian ngalakukeun nyaeta aman mantuan pamaké pikeun online deui. Kusabab urang peryogi kaamanan, aya dua alesan kunaon panginget (nyaéta ngirim kecap akses ka pangguna) henteu pantes:

1. Email mangrupikeun saluran anu teu aman. Sagampil urang moal ngirim nanaon rahasia ngaliwatan HTTP (urang kukituna make HTTPS), urang teu kudu ngirim nanaon ngaliwatan email sabab lapisan angkutan na teu aman. Nyatana, ieu langkung parah tibatan ngan ukur ngirim inpormasi dina protokol angkutan anu teu aman, sabab surat sering disimpen dina drive, sayogi pikeun pangurus sistem, diteruskeun sareng disebarkeun, sayogi pikeun malware, sareng sajabana. Surat anu teu énkripsi mangrupikeun saluran anu teu aman.
2. Anjeun teu kudu boga aksés ka sandi atoh. Maca deui bagian sateuacana ngeunaan neundeun - anjeun kedah gaduh kecap konci (kalayan uyah anu kuat), hartosna teu aya deui jalan anjeun kedah tiasa nimba sandi sareng kirimkeunana.

Hayu atuh demonstrate masalah kalayan conto usooutdoor.com: Ieu mangrupikeun halaman login anu biasa:

Jelas masalah kahiji nyaéta yén halaman login henteu dimuat dina HTTPS, tapi situs éta ogé nawiskeun pikeun ngirim kecap akses ("Kirim Sandi"). Panginten ieu mangrupikeun conto panggunaan basa sapopoe tina istilah anu disebatkeun di luhur, janten hayu urang saléngkah salajengna sareng tingali naon anu lumangsung:

Teu kasampak leuwih hadé, hanjakalna; sareng email negeskeun aya masalah:

Ieu nyarioskeun ka urang ngeunaan dua aspék penting tina usoutdoor.com:

1. Situs henteu gaduh kecap akses. Di pangalusna, aranjeunna énkripsi, tapi kamungkinan yén maranéhna disimpen dina téks polos; Simkuring ningali euweuh bukti sabalikna.
2. Situs ngirimkeun kecap akses jangka panjang (urang tiasa uih deui sareng dianggo deui) dina saluran anu teu aman.

Kalayan éta kaluar tina jalan, urang kedah parios upami prosés reset ngajalankeun dina cara anu aman. Hambalan munggaran pikeun ngalakukeun ieu nyaéta pikeun mastikeun yén requester ngabogaan hak pikeun ngalakukeun reset. Dina basa sejen, saméméh éta urang kudu dipariksa identitas; Hayu urang tingali naon anu lumangsung nalika idéntitas diverifikasi tanpa pariksa heula yén anu nyuhunkeun leres-leres anu gaduh akun.

Enumerasi ngaran pamaké sarta dampak na on anonymity

masalah ieu pangalusna digambarkeun visually. Masalah:

Tingali? Perhatikeun pesen "Teu aya pangguna anu kadaptar sareng alamat email ieu". masalahna écés timbul lamun situs sarupa confirms kasadiaan didaptarkeun sareng alamat e-mail sapertos pangguna. Bingo - anjeun nembé mendakan salaki anjeun / bos / jimat porno tatangga!

Tangtosna, porno mangrupikeun conto anu cukup kanonik ngeunaan pentingna privasi, tapi bahaya anu cocog sareng situs wéb anu khusus langkung ageung tibatan kaayaan anu berpotensi ngerakeun anu dijelaskeun di luhur. Hiji bahaya nyaéta rékayasa sosial; upami panyerang tiasa cocog sareng hiji jalma kana jasa, maka anjeunna bakal gaduh inpormasi anu tiasa dianggo. Contona, anjeunna bisa ngahubungan hiji jalma posing salaku wawakil ramatloka sarta menta informasi tambahan dina usaha pikeun spearphishing.

Prakték sapertos kitu ogé ningkatkeun bahaya "enumerasi nami pangguna", dimana anjeun tiasa mariksa ayana sadayana koleksi nami pangguna atanapi alamat email dina situs wéb ku patarosan bulk saderhana sareng mariksa réspon kana éta. Naha anjeun gaduh daptar alamat email sadaya karyawan sareng sababaraha menit kanggo nyerat naskah? Teras anjeun tingali naon masalahna!

Naon alternatifna? Kanyataanna, éta cukup basajan, sarta luar biasa dilaksanakeun dina Entropay:

Di dieu, Entropay henteu ngungkabkeun nanaon ngeunaan ayana alamat email dina sistemna. ka batur anu teu boga alamat ieu... Lamun anjeun milikna alamat sareng teu aya dina sistem, anjeun bakal nampi email sapertos kieu:

Tangtu, aya kaayaan ditarima dimana batur nyangkaanu didaptarkeun dina situs wéb. tapi ieu teu masalahna, atawa teu eta ti alamat surélék béda. Conto di luhur suksés nanganan duanana kaayaan. Jelas, upami alamatna cocog, maka anjeun bakal nampi email anu ngagampangkeun pikeun ngareset kecap konci anjeun.

The subtlety sahiji solusi dipilih ku Entropay éta verifikasi identitas dipigawé ku surélék saméméh sagala dipariksa online. Sababaraha situs naroskeun ka pangguna pikeun jawaban kana patarosan kaamanan (langkung seueur ngeunaan ieu di handap) ka kumaha reset bisa ngamimitian; kumaha oge, masalah jeung ieu nu kudu ngajawab patarosan bari nyadiakeun sababaraha bentuk idéntifikasi (email atawa ngaran pamaké), nu ngajadikeun eta gigireun teu mungkin mun ngajawab intuitif tanpa nembongkeun ayana hiji akun pamaké anonim.

Kalayan pendekatan ieu, aya leutik panurunan dina usability, sabab bisi tina usaha pikeun ngareset akun non-existent, euweuh eupan balik instan. Tangtosna, ieu mangrupikeun titik pikeun ngirim email, tapi tina sudut pandang pangguna akhir anu nyata, upami anjeunna salah ngetik alamatna, anjeunna ngan ukur terang ngeunaan éta pikeun pertama kalina nalika anjeunna nampi surat. Ieu bisa ngabalukarkeun sababaraha tegangan dina bagian na, tapi ieu téh mangrupa harga leutik pikeun bayar pikeun prosés langka sapertos.

Catetan sejen rada kaluar-topik: Login fungsi mantuan nu nembongkeun ngaran pamaké bener atawa alamat surélék boga masalah anu sarua. Salawasna ngabales pamaké kalawan pesen "Nami pamaké sarta sandi kombinasi teu valid", tinimbang sacara eksplisit confirming ayana informasi identitas (contona, "nami pamaké bener, tapi sandi teu bener").

Ngirim Reset Sandi vs Ngirim Reset URL

Konsep salajengna anu urang kedah bahas aya hubunganana sareng metode reset sandi. Aya dua solusi populér:

1. Ngahasilkeun kecap akses anyar dina server sareng ngirim ku email
2. Ngirim email sareng URL unik pikeun nyederhanakeun prosés reset

Sanaos loba pituduh, titik kahiji kedah pernah dipaké. Masalahna nya éta hartosna gaduh sandi disimpen, anu anjeun tiasa uih deui sareng dianggo deui iraha waé; ieu dikirimkeun ngaliwatan saluran teu aman tur tetep dina koropak anjeun. Aya kamungkinan yén koropak disingkronkeun sareng alat sélulér sareng klien email, ditambah aranjeunna tiasa disimpen online dina layanan email dumasar wéb pikeun waktos anu lami pisan. Intina nyaéta éta kotak surat teu bisa dianggap salaku sarana dipercaya pikeun neundeun jangka panjang.

Tapi sajaba ti ieu, paragraf kahiji boga masalah serius sejen - eta simplifies saloba mungkin meungpeuk akun kalawan niat jahat. Upami kuring terang alamat email jalma anu gaduh akun dina halaman wéb, maka kuring tiasa meungpeuk anjeunna iraha waé ku ngan ukur ngareset kecap konci na; éta panolakan tina serangan jasa dina platter pérak! Éta pisan sababna naha reset kudu dipigawé ngan sanggeus dipariksa suksés jeung requester pikeun hak eta.

Lamun urang ngobrol ngeunaan reset URL, urang hartosna alamat ramatloka, nu unik pikeun kasus husus ieu prosés reset. Tangtu, eta kudu acak, teu kudu gampang nebak, sarta teu kudu ngandung sagala rujukan éksternal kana akun nu matak ngamudahkeun pikeun ngareset. Contona, URL reset teu kudu ngan jadi jalur kawas "Reset /? Username = JohnSmith".

Kami hoyong nyiptakeun token unik anu tiasa dikirimkeun salaku URL reset teras dicocogkeun sareng catetan pangladén tina akun pangguna, ku kituna marios yén anu gaduh akun memang jalma anu sami anu nyobian ngareset sandi. . Salaku conto, token tiasa katingali sapertos "3ce7854015cd38c862cb9e14a1ae552b" sareng disimpen dina méja sareng ID pangguna ngareset sareng waktos generasi token (langkung seueur ngeunaan éta sakedap). Nalika email dikirim, éta ngandung URL sapertos "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b", sareng nalika pangguna ngamuat, halaman éta naroskeun ayana token, teras mastikeun inpormasi pangguna sareng ngamungkinkeun kecap konci pikeun dirobih.

Tangtu, saprak prosés di luhur (mudahan) ngamungkinkeun pamaké pikeun nyieun sandi anyar, urang kudu mastikeun yén URL dimuat ngaliwatan HTTPS. henteu, ngalirkeun salaku pamundut POST leuwih HTTPS teu cukup, URL ieu sareng token kedah nganggo kaamanan lapisan angkutan supados formulir éntri sandi énggal teu tiasa diserang MITM jeung sandi dijieun ku pamaké ieu dikirimkeun ngaliwatan sambungan aman.

Ogé, pikeun URL reset, anjeun kedah nambihan wates waktos token supados prosés reset tiasa réngsé dina interval anu tangtu, sebutkeun, dina sajam. Ieu ensures yén jandela waktu reset diteundeun sasingkat mungkin ku kituna panarima URL reset ieu ngan bisa meta dina jandela leutik pisan ieu. Tangtosna, panyerang tiasa ngamimitian prosés reset deui, tapi anjeunna kedah nampi URL ulang unik anu sanés.

Tungtungna, urang kedah mastikeun yén prosés ieu disposable. Saatos prosés reset parantos réngsé, token kedah dipupus supados URL reset henteu valid deui. Titik sateuacana diperyogikeun supados panyerang gaduh jandela anu alit nalika anjeunna tiasa ngamanipulasi URL reset. Tambih Deui, tangtosna, saatos parantosan suksés reset, token henteu diperyogikeun deui.

Sababaraha léngkah ieu mungkin sigana kaleuleuwihan, tapi maranéhna teu ngaganggu usability na nyatana ningkatkeun kasalametan, sanaos dina kaayaan anu urang ngarepkeun bakal jarang. Dina 99% kasus, pamaké bakal ngaktipkeun reset dina jangka waktu anu pohara pondok tur moal ngareset sandi deui dina mangsa nu bakal datang.

Peran CAPTCHA

Duh, CAPTCHA, ukuran kaamanan anu urang sadayana resep hate! Nyatana, CAPTCHA sanés mangrupikeun alat panyalindungan sapertos idéntifikasi - anjeun mangrupikeun jalma atanapi robot (atanapi naskah otomatis). Tujuanana nyaéta pikeun ngahindarkeun kiriman formulir otomatis, anu, tangtosna, bisa dipaké salaku usaha pikeun megatkeun panyalindungan. Dina konteks ngareset kecap akses, CAPTCHA hartina fungsi reset teu bisa brute-dipaksa boh spam pamaké atawa nyoba nangtukeun ayana akun (anu, tangtosna, moal mungkin lamun nuturkeun tips di bagian on. verifikasi identitas).

Tangtosna, CAPTCHA sorangan henteu sampurna; Aya loba precedents pikeun programmatically "hacked" jeung ngahontal tingkat kasuksésan cukup (60-70%). Ogé, aya solusi ditémbongkeun dina pos kuring ngeunaan CAPTCHA cracking ku jalma otomatis, dimana anjeun tiasa mayar jalma fraksi tina cent pikeun ngajawab unggal CAPTCHA tur meunangkeun 94% laju kasuksésan. Hartina, éta rentan, tapi (rada) raises halangan asupna.

Hayu urang tingali conto PayPal:

Dina hal ieu, prosés reset saukur teu bisa ngamimitian saméméh CAPTCHA direngsekeun, jadi dina tiori mustahil pikeun ngajadikeun otomatis prosésna. Dina tiori.

Sanajan kitu, pikeun kalolobaan aplikasi wéb ieu bakal overkill na leres pisan ngagambarkeun panurunan dina usability - jalma ngan teu resep CAPTCHAs! Salaku tambahan, CAPTCHA mangrupikeun hal anu anjeun tiasa uih deui upami diperyogikeun. Upami palayanan mimiti diserang (logging tiasa dianggo di dieu, tapi langkung seueur ngeunaan éta engké), teras nambihan CAPTCHA teu tiasa langkung gampang.

Patarosan rusiah sarta Jawaban

Kalayan sagala metode anu kami tingali, kami tiasa ngareset kecap konci, ngan ku gaduh aksés kana akun email. Kuring nyebutkeun "ngan", tapi tangtu, illegally gaining aksés ka akun mail batur kudu janten prosés kompléks. Sanajan kitu teu salawasna kitu.

Kanyataanna, link di luhur ngeunaan Sarah Palin urang Yahoo! boga dua tujuan; kahiji, eta illustrates kumaha gampang éta hack (sababaraha) akun surelek, sarta kadua, nembongkeun sabaraha patarosan kaamanan goréng bisa dipaké maliciously. Tapi urang bakal balik deui ka ieu engké.

Masalah sareng ngareset kecap akses anu XNUMX% gumantung kana email nyaéta integritas akun situs anu anjeun badé ngareset janten XNUMX% gumantung kana integritas akun email. Saha waé anu ngagaduhan aksés kana email anjeun boga aksés ka akun mana wae nu bisa ngareset ku saukur narima surelek. Pikeun akun sapertos kitu, email mangrupikeun "konci pikeun sadaya panto" dina kahirupan online anjeun.

Salah sahiji cara pikeun ngirangan résiko ieu nyaéta ngalaksanakeun patarosan kaamanan sareng pola jawaban. Mamang anjeun parantos ningali aranjeunna: pilih patarosan anu ngan ukur anjeun kudu nyaho jawaban, sanggeus éta, mun anjeun ngareset sandi anjeun, anjeun ditanya eta. Ieu nambihan kayakinan yén jalma anu nyobian ngareset éta leres anu gaduh akun.

Deui ka Sarah Palin, kasalahan éta yén jawaban kana patarosan / patarosan rusiah nya éta gampang pikeun manggihan. Utamana lamun anjeun jadi inohong publik badag, informasi ngeunaan ngaran maiden indung anjeun, sajarah sakola, atawa dimana batur bisa geus cicing di jaman baheula teu kabeh rusiah éta. Kanyataanna, lolobana eta bisa kapanggih ku ngan ngeunaan saha. Ieu kajadian ka Sarah.

Hacker David Kernell meunang aksés ka akun Palin ku manggihan rinci latar tukang nya, kayaning SMA jeung tanggal lahirna, lajeng ngagunakeun Yahoo!'s fitur recovery sandi akun leungit.

Ieu utamana kasalahan desain dina bagian tina Yahoo! - Ku nangtukeun patarosan basajan sapertos, pausahaan dasarna sabotaged nilai tina patarosan rusiah, sarta ku kituna panangtayungan sistem na. Tangtosna, ngareset kecap akses dina hiji akun surelek sok trickier, saprak anjeun teu bisa pariksa kapamilikan eta ku emailing nu boga (tanpa boga alamat kadua), tapi alhamdulillah aya teu loba kagunaan pikeun sistem sapertos kiwari.

Balik deui ka patarosan rusiah - aya hiji pilihan pikeun ngidinan pamaké pikeun nyieun patarosan sorangan. Masalahna nyaeta hasilna bakal jadi patarosan sangar atra:

Naon warna langit?

Patarosan nu nempatkeun jalma dina posisi uncomfortable lamun patarosan kaamanan ngagunakeun patarosan rusiah pikeun ngaidentipikasi jelema (contona, dina pusat telepon):

Saha anu kuring bobo dina Natal?

Atawa terus terang patarosan bodo:

Kumaha anjeun ngeja "sandi"?

Lamun datang ka patarosan kaamanan, pamaké kudu disimpen tina diri! Dina basa sejen, patarosan rusiah kudu nangtukeun situs sorangan, atawa malah hadé, nanya séri patarosan kaamanan ti mana pamaké bisa milih. Jeung ulah ngan milih один; ideally pamaké kudu milih dua atawa leuwih patarosan kaamanan dina waktu pendaptaran akun, nu lajeng bakal dipaké salaku saluran idéntifikasi kadua. Ngabogaan sababaraha patarosan ngaronjatkeun kapercayaan dina prosés verifikasi, sarta ogé nyadiakeun kamampuhan pikeun nambahkeun randomness (teu salawasna némbongkeun sual sarua), tambah nyadiakeun saeutik redundancy bisi pamaké sabenerna geus poho sandi.

Naon anu kedah janten patarosan kaamanan anu saé? Sababaraha faktor mangaruhan ieu:

1. Anjeunna kedah singket Patarosan kedah jelas tur unambiguous.
2. Jawabanana kudu spésifik — urang henteu peryogi patarosan anu tiasa dijawab ku hiji jalma ku cara anu béda
3. Jawaban anu mungkin kedahna rupa-rupa Naroskeun warna paporit batur masihan sawaréh sakedik jawaban anu mungkin.
4. Поиск jawaban kudu kompléks - lamun jawaban bisa gampang kapanggih sagala (Mikir jalma dina posisi luhur), mangka manéhna goréng
5. Jawabanana kudu permanén dina jangka waktu - mun anjeun nanya ka pilem karesep batur urang, lajeng sataun engké jawaban bisa jadi béda

Salaku kajadian, aya hiji ramatloka dedicated ka patarosan alus disebut GoodSecurityQuestions.com. Sababaraha patarosan sigana rada saé, anu sanés gagal sababaraha tés anu dijelaskeun di luhur, khususna tés "gampang milarian".

Hayu atuh nunjukkeun ka anjeun kumaha patarosan kaamanan dilaksanakeun di PayPal sareng, khususna, sabaraha usaha anu dilakukeun ku situs kana idéntifikasi. Kami ningali halaman ngamimitian prosés (kalayan CAPTCHA) di luhur, sareng di dieu kami nunjukkeun naon anu lumangsung saatos anjeun ngalebetkeun alamat email anjeun sareng ngajawab CAPTCHA:

Hasilna, pangguna nampi email ieu:

Sajauh jadi normal, tapi ieu naon balik URL reset ieu:

Ku kituna, patarosan rusiah datang kana antrian. Nyatana, PayPal ogé ngamungkinkeun anjeun ngareset kecap konci anjeun ku pariksa nomer kartu kiridit anjeun, janten aya saluran tambahan anu seueur situs anu henteu gaduh aksés. Kuring ngan teu bisa ngarobah sandi tanpa ngajawab boh patarosan rusiah (atanapi henteu terang nomer kartu). Sanaos aya anu ngabajak email abdi, aranjeunna moal tiasa ngareset kecap akses akun PayPal na kecuali aranjeunna terang sakedik inpormasi pribadi ngeunaan kuring. Inpormasi naon? Ieu pilihan pikeun patarosan kaamanan anu ditawarkeun ku PayPal:

Patarosan sakola sareng rumah sakit tiasa rada pikasieuneun dina hal gampang milarian, tapi anu sanésna henteu goréng. Sanajan kitu, pikeun ngaronjatkeun kaamanan, PayPal merlukeun idéntifikasi tambahan pikeun parobahan jawaban kana patarosan kaamanan:

PayPal mangrupikeun conto anu rada utopia tina reset sandi anu aman: éta ngalaksanakeun CAPTCHA pikeun ngirangan résiko kakuatan kasar, ngabutuhkeun dua patarosan kaamanan, teras meryogikeun deui jinis identitas anu béda-béda ngan ukur pikeun ngarobih jawaban - sareng éta saatos pangguna. geus asup. Tangtu, ieu téh kahayang urang diharepkeun bakal ti PayPal; eta mangrupakeun lembaga keuangan kaayaan sums badag duit. Ieu sanés hartosna yén unggal reset kecap konci kedah nuturkeun léngkah-léngkah ieu - éta overkill dina kalolobaan kasus - tapi éta conto anu saé pikeun kasus dimana kaamanan mangrupikeun bisnis anu serius.

Kaseueuran sistem patarosan kaamanan nyaéta upami anjeun henteu langsung ngalaksanakeunana, maka anjeun tiasa nambihanana engké upami tingkat panyalindungan sumber daya ngabutuhkeun. Conto anu saé nyaéta Apple, anu nembé dilaksanakeun mékanisme ieu. [artikel ditulis taun 2012]. Sakali kuring mimiti ngapdet aplikasi dina iPad, kuring ningali pamundut ieu:

Teras kuring ningali layar dimana kuring tiasa milih sababaraha pasang patarosan kaamanan sareng jawaban, ogé alamat email nyalametkeun:

Sedengkeun pikeun PayPal, patarosan anu tos dipilih sareng sababaraha di antarana saleresna saé:

Tiap tina tilu pasang patarosan sareng jawaban ngagambarkeun set anu béda tina patarosan anu mungkin, janten seueur cara pikeun ngonpigurasikeun akun.

Aspék séjén anu kedah dipertimbangkeun ngeunaan jawaban kana patarosan kaamanan nyaéta neundeun. Téks polos dina DB nyababkeun ancaman anu ampir sami sareng dina kasus kecap akses, nyaéta, ngalaan pangkalan data sacara instan ngungkabkeun nilai sareng nempatkeun henteu ngan ukur aplikasi dina résiko, tapi aplikasi anu berpotensi béda-béda ngagunakeun patarosan kaamanan anu sami (ieu deui. patarosan acai berry). Hiji pilihan nyaéta hashing aman (algoritma kuat sarta uyah cryptographically acak), tapi teu kawas kalolobaan kasus panyimpen sandi, meureun aya alesan alus pikeun respon muncul salaku téks polos. Skenario anu umum nyaéta verifikasi identitas ku operator telepon langsung. Tangtosna, hashing ogé lumaku dina hal ieu (operator ngan saukur bisa ngasupkeun jawaban ngaranna ku klien), tapi dina kasus awon, jawaban rusiah kudu di sababaraha tingkat gudang cryptographic, sanajan éta ngan enkripsi simetris. nyimpulkeun: ngubaran rusiah kawas rusiah!

Sareng aspék terakhir tina patarosan sareng jawaban rusiah nyaéta aranjeunna langkung rentan ka rékayasa sosial. Nyobian langsung nyuhunkeun kecap akses ka akun batur mangrupikeun hiji hal, tapi ngahalangan paguneman ngeunaan pendidikanna (patarosan rahasia anu populer) leres-leres béda. Kanyataanna, éta rada mungkin pikeun anjeun pikeun komunikasi sareng batur ngeunaan loba aspék kahirupan maranéhanana anu bisa mangrupakeun hiji patarosan rusiah, sarta tanpa arousing kacurigaan. Tangtosna, hakekat patarosan rusiah nyaéta yén éta aya hubunganana sareng pangalaman hirup batur, janten émut, sareng ieu tempatna masalahna - jalma resep ngobrol ngeunaan pangalaman hirup maranéhanana! Henteu seueur anu anjeun tiasa laksanakeun ngeunaan ieu kecuali anjeun milih pilihan patarosan kaamanan éta leuwih saeutik kamungkinan ditarik kaluar ku rékayasa sosial.

[Ngalajengkeun.]

salaku iklan

VDSina nawarkeun dipercaya server kalawan pangmayaran poean, unggal server disambungkeun ka saluran Internet 500 Mbps sarta ditangtayungan tina serangan DDoS haratis!

sumber: www.habr.com