సురక్షిత పాస్వర్డ్ రీసెట్ ఫీచర్ ఎలా పని చేస్తుందనే దాని గురించి మళ్లీ ఆలోచించడానికి నాకు ఇటీవల సమయం దొరికింది, మొదట నేను ఈ కార్యాచరణను రూపొందించినప్పుడు
మీరు చూడండి, మర్చిపోయిన పాస్వర్డ్ల ప్రపంచం నిజానికి చాలా రహస్యమైనది. చాలా భిన్నమైన, పూర్తిగా ఆమోదయోగ్యమైన అభిప్రాయాలు మరియు చాలా ప్రమాదకరమైనవి ఉన్నాయి. మీరు వాటిలో ప్రతి ఒక్కటి తుది వినియోగదారుగా అనేకసార్లు ఎదుర్కొన్న అవకాశాలు ఉన్నాయి; కాబట్టి ఎవరు సరిగ్గా చేస్తున్నారు, ఎవరు చేయరు మరియు మీ యాప్లో లక్షణాన్ని సరిగ్గా పొందడానికి మీరు దేనిపై దృష్టి పెట్టాలి అని చూపించడానికి నేను ఈ ఉదాహరణలను ఉపయోగించడానికి ప్రయత్నిస్తాను.
పాస్వర్డ్ నిల్వ: హ్యాషింగ్, ఎన్క్రిప్షన్ మరియు (గ్యాస్ప్!) సాదా వచనం
మర్చిపోయిన పాస్వర్డ్లను ఎలా నిల్వ చేయాలో చర్చించే ముందు వాటితో ఏమి చేయాలో మనం చర్చించలేము. పాస్వర్డ్లు మూడు ప్రధాన రకాల్లో ఒకదానిలో డేటాబేస్లో నిల్వ చేయబడతాయి:
- సాధారణ వచనం. పాస్వర్డ్ కాలమ్ ఉంది, ఇది సాదా వచన రూపంలో నిల్వ చేయబడుతుంది.
- ఎన్క్రిప్ట్ చేయబడింది. సాధారణంగా సిమెట్రిక్ ఎన్క్రిప్షన్ని ఉపయోగించడం (ఎన్క్రిప్షన్ మరియు డిక్రిప్షన్ రెండింటికీ ఒక కీ ఉపయోగించబడుతుంది), మరియు గుప్తీకరించిన పాస్వర్డ్లు కూడా అదే నిలువు వరుసలో నిల్వ చేయబడతాయి.
- హాషెడ్. వన్-వే ప్రక్రియ (పాస్వర్డ్ని హ్యాష్ చేయవచ్చు, కానీ డీహాష్ చేయడం సాధ్యం కాదు); పాస్వర్డ్, నేను ఆశిస్తున్నాను, తరువాత ఒక ఉప్పు, మరియు ప్రతి దాని స్వంత నిలువు వరుసలో ఉంటుంది.
సరళమైన ప్రశ్నకు నేరుగా వెళ్దాం: పాస్వర్డ్లను సాదా వచనంలో ఎప్పుడూ నిల్వ చేయవద్దు! ఎప్పుడూ. ఒకే ఒక్క దుర్బలత్వం
ఎన్క్రిప్షన్ ఉత్తమం, కానీ దాని బలహీనతలను కలిగి ఉంది. ఎన్క్రిప్షన్ సమస్య డీక్రిప్షన్; మేము ఈ వెర్రిగా కనిపించే సాంకేతికలిపిలను తీసుకొని వాటిని తిరిగి సాదా వచనానికి మార్చవచ్చు మరియు అది జరిగినప్పుడు మనం మానవులు చదవగలిగే పాస్వర్డ్ పరిస్థితికి తిరిగి వస్తాము. ఇది ఎలా జరుగుతుంది? పాస్వర్డ్ను డీక్రిప్ట్ చేసే కోడ్లో ఒక చిన్న లోపం ఏర్పడి, దానిని పబ్లిక్గా అందుబాటులో ఉంచుతుంది - ఇది ఒక మార్గం. గుప్తీకరించిన డేటా నిల్వ చేయబడిన మెషీన్కు హ్యాకర్లు యాక్సెస్ పొందుతారు - ఇది రెండవ పద్ధతి. మరొక మార్గం, మళ్ళీ, డేటాబేస్ బ్యాకప్ను దొంగిలించడం మరియు ఎవరైనా ఎన్క్రిప్షన్ కీని కూడా పొందుతారు, ఇది తరచుగా చాలా అసురక్షితంగా నిల్వ చేయబడుతుంది.
మరియు ఇది మనల్ని హ్యాషింగ్కు తీసుకువస్తుంది. హ్యాషింగ్ వెనుక ఉన్న ఆలోచన ఏమిటంటే ఇది వన్-వే; వినియోగదారు నమోదు చేసిన పాస్వర్డ్ను దాని హాష్ వెర్షన్తో పోల్చడానికి ఏకైక మార్గం ఇన్పుట్ను హాష్ చేయడం మరియు వాటిని సరిపోల్చడం. ఇంద్రధనస్సు పట్టికలు వంటి సాధనాల నుండి దాడులను నిరోధించడానికి, మేము ప్రక్రియను యాదృచ్ఛికతతో ఉప్పు చేస్తాము (నాది చదవండి
హ్యాషింగ్ వర్సెస్ ఎన్క్రిప్షన్ గురించి త్వరిత వాదన: మీరు పాస్వర్డ్ను హాష్ చేయడం కంటే గుప్తీకరించాల్సిన ఏకైక కారణం మీరు పాస్వర్డ్ను సాదా వచనంలో చూడవలసి వచ్చినప్పుడు మరియు మీరు దీన్ని ఎప్పుడూ కోరుకోకూడదు, కనీసం ప్రామాణిక వెబ్సైట్ పరిస్థితిలోనైనా. మీకు ఇది అవసరమైతే, చాలా మటుకు మీరు ఏదో తప్పు చేస్తున్నారు!
హెచ్చరిక
పోస్ట్ యొక్క టెక్స్ట్లో దిగువన అశ్లీల వెబ్సైట్ AlotPorn యొక్క స్క్రీన్షాట్ భాగం ఉంది. ఇది చక్కగా కత్తిరించబడింది కాబట్టి మీరు బీచ్లో చూడలేనిది ఏదీ లేదు, కానీ అది ఇంకా ఏవైనా సమస్యలను కలిగించే అవకాశం ఉంటే, క్రిందికి స్క్రోల్ చేయవద్దు.
ఎల్లప్పుడూ మీ పాస్వర్డ్ని రీసెట్ చేయండి ఎప్పుడూ అతనికి గుర్తు చేయవద్దు
మీరు ఎప్పుడైనా ఫంక్షన్ని సృష్టించమని అడిగారా రిమైండర్లు పాస్వర్డ్? ఒక అడుగు వెనక్కి వేసి, రివర్స్లో ఈ అభ్యర్థన గురించి ఆలోచించండి: ఈ “రిమైండర్” ఎందుకు అవసరం? ఎందుకంటే వినియోగదారు పాస్వర్డ్ను మర్చిపోయారు. మనం నిజంగా ఏమి చేయాలనుకుంటున్నాము? అతనికి మళ్లీ లాగిన్ చేయడంలో సహాయపడండి.
"రిమైండర్" అనే పదాన్ని వ్యావహారిక అర్థంలో (తరచుగా) ఉపయోగించారని నేను గ్రహించాను, కానీ మనం నిజంగా చేయడానికి ప్రయత్నిస్తున్నది వినియోగదారు మళ్లీ ఆన్లైన్లో ఉండటానికి సురక్షితంగా సహాయపడండి. మాకు భద్రత అవసరం కాబట్టి, రిమైండర్ (అంటే వినియోగదారుకు వారి పాస్వర్డ్ను పంపడం) సముచితం కాకపోవడానికి రెండు కారణాలు ఉన్నాయి:
- ఇమెయిల్ అసురక్షిత ఛానెల్. మేము HTTP (మేము HTTPSని ఉపయోగిస్తాము) ద్వారా సున్నితమైన ఏదీ పంపనట్లే, దాని రవాణా పొర అసురక్షితమైనందున మేము ఇమెయిల్ ద్వారా సున్నితమైన ఏదైనా పంపకూడదు. వాస్తవానికి, ఇది అసురక్షిత రవాణా ప్రోటోకాల్ ద్వారా సమాచారాన్ని పంపడం కంటే చాలా ఘోరంగా ఉంటుంది, ఎందుకంటే మెయిల్ తరచుగా నిల్వ పరికరంలో నిల్వ చేయబడుతుంది, సిస్టమ్ నిర్వాహకులకు అందుబాటులో ఉంటుంది, ఫార్వార్డ్ చేయబడుతుంది మరియు పంపిణీ చేయబడుతుంది, మాల్వేర్కు ప్రాప్యత చేయబడుతుంది మరియు మొదలైనవి. ఎన్క్రిప్ట్ చేయని ఇమెయిల్ చాలా అసురక్షిత ఛానెల్.
- ఏమైనప్పటికీ మీరు పాస్వర్డ్కి యాక్సెస్ కలిగి ఉండకూడదు. నిల్వపై మునుపటి విభాగాన్ని మళ్లీ చదవండి - మీరు పాస్వర్డ్ని (మంచి బలమైన ఉప్పుతో) కలిగి ఉండాలి, అంటే మీరు ఏ విధంగానూ పాస్వర్డ్ను సంగ్రహించి మెయిల్ ద్వారా పంపలేరు.
నేను ఒక ఉదాహరణతో సమస్యను ప్రదర్శిస్తాను
సహజంగానే, మొదటి సమస్య ఏమిటంటే, లాగిన్ పేజీ HTTPS ద్వారా లోడ్ చేయబడదు, కానీ సైట్ మిమ్మల్ని పాస్వర్డ్ను పంపమని కూడా అడుగుతుంది (“పాస్వర్డ్ని పంపు”). పైన పేర్కొన్న పదం యొక్క వ్యావహారిక ఉపయోగానికి ఇది ఒక ఉదాహరణ కావచ్చు, కాబట్టి దీనిని ఒక అడుగు ముందుకు వేసి ఏమి జరుగుతుందో చూద్దాం:
దురదృష్టవశాత్తు, ఇది చాలా మెరుగ్గా కనిపించడం లేదు; మరియు ఒక ఇమెయిల్ సమస్య ఉందని నిర్ధారిస్తుంది:
ఇది usoutdoor.com యొక్క రెండు ముఖ్యమైన అంశాలను మాకు తెలియజేస్తుంది:
- సైట్ పాస్వర్డ్లను హ్యాష్ చేయదు. ఉత్తమంగా, అవి గుప్తీకరించబడ్డాయి, కానీ అవి సాదా వచనంలో నిల్వ చేయబడే అవకాశం ఉంది; దీనికి విరుద్ధంగా మనకు ఎలాంటి ఆధారాలు కనిపించవు.
- సైట్ అసురక్షిత ఛానెల్ ద్వారా దీర్ఘకాలిక పాస్వర్డ్ను (మనం వెనక్కి వెళ్లి మళ్లీ మళ్లీ ఉపయోగించవచ్చు) పంపుతుంది.
ఇది మార్గం నుండి బయటపడటంతో, రీసెట్ ప్రక్రియ సురక్షితమైన పద్ధతిలో జరిగిందో లేదో మనం తనిఖీ చేయాలి. రీసెట్ చేయడానికి అభ్యర్థికి హక్కు ఉందని నిర్ధారించుకోవడం దీన్ని చేయడానికి మొదటి దశ. మరో మాటలో చెప్పాలంటే, దీనికి ముందు మనకు గుర్తింపు తనిఖీ అవసరం; అభ్యర్థి ఖాతా యజమాని అని మొదట ధృవీకరించకుండా గుర్తింపు ధృవీకరించబడినప్పుడు ఏమి జరుగుతుందో చూద్దాం.
వినియోగదారు పేర్లను జాబితా చేయడం మరియు అనామకత్వంపై దాని ప్రభావం
ఈ సమస్య దృశ్యమానంగా ఉత్తమంగా వివరించబడింది. సమస్య:
మీరు చూస్తారా? "ఈ ఇమెయిల్ చిరునామాతో నమోదు చేయబడిన వినియోగదారు ఎవరూ లేరు" అనే సందేశానికి శ్రద్ధ వహించండి. అటువంటి సైట్ నిర్ధారించినట్లయితే సమస్య స్పష్టంగా తలెత్తుతుంది లభ్యత అటువంటి ఇమెయిల్ చిరునామాతో నమోదు చేసుకున్న వినియోగదారు. బింగో - మీరు ఇప్పుడే మీ భర్త/బాస్/పొరుగువారి పోర్న్ ఫెటిష్ని కనుగొన్నారు!
వాస్తవానికి, పోర్న్ అనేది గోప్యత యొక్క ప్రాముఖ్యతకు చాలా ఐకానిక్ ఉదాహరణ, అయితే ఒక నిర్దిష్ట వెబ్సైట్తో ఒక వ్యక్తిని అనుబంధించడం వల్ల కలిగే ప్రమాదాలు పైన వివరించిన సంభావ్య ఇబ్బందికరమైన పరిస్థితి కంటే చాలా విస్తృతమైనవి. ఒక ప్రమాదం సామాజిక ఇంజనీరింగ్; దాడి చేసే వ్యక్తి సేవతో ఒక వ్యక్తిని సరిపోల్చగలిగితే, అతను ఉపయోగించడం ప్రారంభించగల సమాచారాన్ని కలిగి ఉంటాడు. ఉదాహరణకు, అతను వెబ్సైట్కి ప్రతినిధిగా నటిస్తూ ఒక వ్యక్తిని సంప్రదించవచ్చు మరియు కట్టుబడి ఉండే ప్రయత్నంలో అదనపు సమాచారాన్ని అభ్యర్థించవచ్చు
ఇటువంటి పద్ధతులు "యూజర్నేమ్ ఎన్యూమరేషన్" ప్రమాదాన్ని కూడా పెంచుతాయి, దీని ద్వారా ఒక వెబ్సైట్లో సమూహ ప్రశ్నలను నిర్వహించడం మరియు వాటికి ప్రతిస్పందనలను పరిశీలించడం ద్వారా మొత్తం వినియోగదారు పేర్లు లేదా ఇమెయిల్ చిరునామాల ఉనికిని ధృవీకరించవచ్చు. మీ వద్ద ఉద్యోగులందరి ఇమెయిల్ చిరునామాల జాబితా మరియు స్క్రిప్ట్ రాయడానికి కొన్ని నిమిషాలు ఉన్నాయా? అప్పుడు సమస్య ఏమిటో మీరే చూడండి!
ప్రత్యామ్నాయం ఏమిటి? నిజానికి, ఇది చాలా సులభం మరియు అద్భుతంగా అమలు చేయబడింది
ఇక్కడ Entropay దాని సిస్టమ్లో ఇమెయిల్ చిరునామా ఉనికి గురించి ఖచ్చితంగా ఏమీ వెల్లడించలేదు ఈ చిరునామా లేని వ్యక్తికి... ఒకవేళ నువ్వు స్వంతం ఈ చిరునామా మరియు ఇది సిస్టమ్లో లేదు, అప్పుడు మీరు ఇలాంటి ఇమెయిల్ను అందుకుంటారు:
వాస్తవానికి, ఎవరైనా ఆమోదయోగ్యమైన పరిస్థితులు ఉండవచ్చు అనుకుంటాడుమీరు వెబ్సైట్లో నమోదు చేసుకున్నారని. కానీ ఇది అలా కాదు లేదా నేను వేరే ఇమెయిల్ చిరునామా నుండి చేసాను. పైన చూపిన ఉదాహరణ రెండు పరిస్థితులను చక్కగా నిర్వహిస్తుంది. సహజంగానే, చిరునామా సరిపోలితే, మీ పాస్వర్డ్ని రీసెట్ చేయడాన్ని సులభతరం చేసే ఇమెయిల్ను మీరు అందుకుంటారు.
ఎంట్రోపే ద్వారా ఎంపిక చేయబడిన పరిష్కారం యొక్క సూక్ష్మత ఏమిటంటే గుర్తింపు ధృవీకరణ ప్రకారం నిర్వహించబడుతుంది ఇ-మెయిల్ ఏదైనా ఆన్లైన్ ధృవీకరణకు ముందు. కొన్ని సైట్లు భద్రతా ప్రశ్నకు సమాధానం కోసం వినియోగదారులను అడుగుతాయి (దీనిపై మరింత దిగువన) కు రీసెట్ ఎలా ప్రారంభమవుతుంది; అయితే, దీనితో సమస్య ఏమిటంటే, మీరు ఏదో ఒక రకమైన గుర్తింపును (ఇమెయిల్ లేదా వినియోగదారు పేరు) అందించేటప్పుడు తప్పనిసరిగా ప్రశ్నకు సమాధానం ఇవ్వాలి, ఇది అనామక వినియోగదారు ఖాతా ఉనికిని బహిర్గతం చేయకుండా అకారణంగా సమాధానం ఇవ్వడం దాదాపు అసాధ్యం.
ఈ విధానంతో ఉంది చిన్నది వినియోగం తగ్గింది ఎందుకంటే మీరు ఉనికిలో లేని ఖాతాను రీసెట్ చేయడానికి ప్రయత్నిస్తే, తక్షణ ఫీడ్బ్యాక్ ఉండదు. వాస్తవానికి, ఇది ఇమెయిల్ను పంపడం యొక్క మొత్తం పాయింట్, కానీ నిజమైన తుది వినియోగదారు దృక్కోణం నుండి, వారు తప్పు చిరునామాను నమోదు చేస్తే, వారు ఇమెయిల్ను స్వీకరించినప్పుడు మాత్రమే వారికి మొదటిసారి తెలుస్తుంది. ఇది అతని వైపు కొంత ఉద్రిక్తతను కలిగిస్తుంది, కానీ అలాంటి అరుదైన ప్రక్రియ కోసం చెల్లించాల్సిన చిన్న ధర ఇది.
మరొక గమనిక, టాపిక్కు కొద్దిగా దూరంగా ఉంది: వినియోగదారు పేరు లేదా ఇమెయిల్ చిరునామా సరైనదేనా అని వెల్లడించే లాగిన్ సహాయ విధులు కూడా అదే సమస్యను కలిగి ఉన్నాయి. క్రెడెన్షియల్ల ఉనికిని స్పష్టంగా నిర్ధారించే బదులు "మీ వినియోగదారు పేరు మరియు పాస్వర్డ్ కలయిక చెల్లదు" అనే సందేశంతో ఎల్లప్పుడూ వినియోగదారుకు ప్రతిస్పందించండి (ఉదాహరణకు, "వినియోగదారు పేరు సరైనది, కానీ పాస్వర్డ్ తప్పు").
రీసెట్ పాస్వర్డ్ను పంపడం vs రీసెట్ URLని పంపడం
మేము చర్చించవలసిన తదుపరి కాన్సెప్ట్ మీ పాస్వర్డ్ను ఎలా రీసెట్ చేయాలి. రెండు ప్రసిద్ధ పరిష్కారాలు ఉన్నాయి:
- సర్వర్లో కొత్త పాస్వర్డ్ను రూపొందించడం మరియు ఇమెయిల్ ద్వారా పంపడం
- రీసెట్ ప్రక్రియను సులభతరం చేయడానికి ప్రత్యేకమైన URLతో ఇమెయిల్ను పంపండి
ఉన్నప్పటికీ
కానీ ఇది కాకుండా, మొదటి పాయింట్ మరొక తీవ్రమైన సమస్యను కలిగి ఉంది - ఇది వీలైనంత సులభతరం చేస్తుంది హానికరమైన ఉద్దేశ్యంతో ఖాతాను బ్లాక్ చేయడం. వెబ్సైట్లో ఖాతాను కలిగి ఉన్న వారి ఇమెయిల్ చిరునామా నాకు తెలిస్తే, నేను వారి పాస్వర్డ్ను రీసెట్ చేయడం ద్వారా ఎప్పుడైనా వారిని బ్లాక్ చేయవచ్చు; ఇది వెండి పళ్ళెంలో అందించిన సేవా నిరాకరణ దాడి! అందుకే అభ్యర్థనదారుడి హక్కులను విజయవంతంగా ధృవీకరించిన తర్వాత మాత్రమే రీసెట్ చేయాలి.
మేము రీసెట్ URL గురించి మాట్లాడినప్పుడు, మేము వెబ్సైట్ చిరునామా అని అర్థం రీసెట్ ప్రక్రియ యొక్క ఈ ప్రత్యేక సందర్భంలో ప్రత్యేకంగా ఉంటుంది. వాస్తవానికి, ఇది యాదృచ్ఛికంగా ఉండాలి, ఊహించడం సులభం కాకూడదు మరియు రీసెట్ చేయడాన్ని సులభతరం చేసే ఖాతాకు ఎలాంటి బాహ్య లింక్లు ఉండకూడదు. ఉదాహరణకు, రీసెట్ URL కేవలం "Reset/?username=JohnSmith" వంటి మార్గంగా ఉండకూడదు.
మేము రీసెట్ URLగా మెయిల్ చేయగలిగే ప్రత్యేకమైన టోకెన్ని సృష్టించాలనుకుంటున్నాము, ఆపై వినియోగదారు ఖాతా యొక్క సర్వర్ రికార్డ్తో సరిపోలాలి, ఆ విధంగా ఖాతా యజమాని పాస్వర్డ్ని రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి అని నిర్ధారిస్తుంది . ఉదాహరణకు, ఒక టోకెన్ "3ce7854015cd38c862cb9e14a1ae552b" అయి ఉండవచ్చు మరియు రీసెట్ చేస్తున్న వినియోగదారు యొక్క ID మరియు టోకెన్ రూపొందించబడిన సమయంతో పాటు పట్టికలో నిల్వ చేయబడుతుంది (దీనిపై మరింత దిగువన). ఇమెయిల్ పంపబడినప్పుడు, అది “Reset/?id=3ce7854015cd38c862cb9e14a1ae552b” వంటి URLని కలిగి ఉంటుంది మరియు వినియోగదారు దానిని డౌన్లోడ్ చేసినప్పుడు, పేజీ టోకెన్ ఉనికిని అడుగుతుంది, ఆ తర్వాత అది వినియోగదారు సమాచారాన్ని నిర్ధారిస్తుంది మరియు వాటిని మార్చడానికి వారిని అనుమతిస్తుంది పాస్వర్డ్.
వాస్తవానికి, పైన ఉన్న ప్రక్రియ (ఆశాజనక) కొత్త పాస్వర్డ్ను సృష్టించడానికి వినియోగదారుని అనుమతిస్తుంది కాబట్టి, మేము URL HTTPS ద్వారా లోడ్ చేయబడిందని నిర్ధారించుకోవాలి. కాదు,
అలాగే రీసెట్ URL కోసం మీరు టోకెన్ సమయ పరిమితిని జోడించాలి, తద్వారా రీసెట్ ప్రాసెస్ నిర్దిష్ట వ్యవధిలో పూర్తవుతుంది, ఒక గంటలోపు చెప్పండి. రీసెట్ టైమ్ విండో కనిష్టంగా ఉంచబడిందని ఇది నిర్ధారిస్తుంది, తద్వారా రీసెట్ URL గ్రహీత చాలా చిన్న విండోలో మాత్రమే పని చేయగలడు. వాస్తవానికి, దాడి చేసే వ్యక్తి రీసెట్ ప్రక్రియను మళ్లీ ప్రారంభించవచ్చు, కానీ వారు మరొక ప్రత్యేకమైన రీసెట్ URLని పొందవలసి ఉంటుంది.
చివరగా, ఈ ప్రక్రియ పునర్వినియోగపరచదగినదని మేము నిర్ధారించుకోవాలి. రీసెట్ ప్రక్రియ పూర్తయిన తర్వాత, టోకెన్ తప్పనిసరిగా తీసివేయబడాలి, తద్వారా రీసెట్ URL ఇకపై పని చేయదు. దాడి చేసే వ్యక్తి చాలా చిన్న విండోను కలిగి ఉన్నాడని నిర్ధారించుకోవడానికి మునుపటి పాయింట్ అవసరం, ఆ సమయంలో అతను రీసెట్ URLని మార్చవచ్చు. అదనంగా, రీసెట్ విజయవంతం అయిన తర్వాత, టోకెన్ అవసరం లేదు.
ఈ దశల్లో కొన్ని అతిగా అనవసరంగా అనిపించవచ్చు, కానీ అవి వినియోగానికి అంతరాయం కలిగించవు మరియు నిజానికి భద్రతను మెరుగుపరుస్తుంది, అయినప్పటికీ మేము అరుదుగా ఉంటామని ఆశిస్తున్నాము. 99% కేసులలో, వినియోగదారు చాలా తక్కువ వ్యవధిలో రీసెట్ను ప్రారంభిస్తారు మరియు సమీప భవిష్యత్తులో పాస్వర్డ్ను మళ్లీ రీసెట్ చేయరు.
CAPTCHA పాత్ర
ఓహ్, CAPTCHA, మనమందరం అసహ్యించుకోవడానికి ఇష్టపడే సెక్యూరిటీ ఫీచర్! నిజానికి, CAPTCHA అనేది ఒక గుర్తింపు సాధనం కాబట్టి రక్షణ సాధనం కాదు - మీరు వ్యక్తి అయినా లేదా రోబో అయినా (లేదా ఆటోమేటెడ్ స్క్రిప్ట్). స్వయంచాలక ఫారమ్ సమర్పణను నివారించడం దీని ఉద్దేశ్యం, అయితే, చెయ్యవచ్చు భద్రతను విచ్ఛిన్నం చేసే ప్రయత్నంగా ఉపయోగించబడుతుంది. పాస్వర్డ్ రీసెట్ల సందర్భంలో, CAPTCHA అంటే రీసెట్ ఫంక్షన్ వినియోగదారుని స్పామ్ చేయడానికి లేదా ఖాతాల ఉనికిని గుర్తించడానికి ప్రయత్నించడానికి క్రూరంగా బలవంతం చేయబడదని అర్థం (మీరు విభాగంలోని సలహాను అనుసరించినట్లయితే ఇది సాధ్యం కాదు. గుర్తింపులను ధృవీకరించడం).
వాస్తవానికి, CAPTCHA కూడా పరిపూర్ణమైనది కాదు; దాని సాఫ్ట్వేర్ "హ్యాకింగ్" మరియు తగినంత విజయవంతమైన రేట్లను (60-70%) సాధించడానికి చాలా పూర్వజన్మలు ఉన్నాయి. అదనంగా, నా పోస్ట్లో దీని గురించిన పరిష్కారం చూపబడింది
PayPal ఉదాహరణను పరిశీలిద్దాం:
ఈ సందర్భంలో, CAPTCHA పరిష్కరించబడే వరకు రీసెట్ ప్రక్రియ ప్రారంభించబడదు సిద్ధాంతపరంగా ప్రక్రియను ఆటోమేట్ చేయడం అసాధ్యం. సిద్ధాంత పరంగా.
అయినప్పటికీ, చాలా వెబ్ అప్లికేషన్లకు ఇది ఓవర్ కిల్ మరియు కచ్చితముగా వినియోగంలో తగ్గుదలని సూచిస్తుంది - ప్రజలు కేవలం CAPTCHAను ఇష్టపడరు! అదనంగా, CAPTCHA అనేది అవసరమైతే మీరు సులభంగా తిరిగి పొందవచ్చు. సేవ దాడికి గురైతే (ఇక్కడే లాగింగ్ ఉపయోగపడుతుంది, కానీ తర్వాత మరింత ఎక్కువ), అప్పుడు CAPTCHAని జోడించడం సులభం కాదు.
రహస్య ప్రశ్నలు మరియు సమాధానాలు
మేము పరిగణించిన అన్ని పద్ధతులతో, మేము ఇమెయిల్ ఖాతాకు ప్రాప్యతను కలిగి ఉండటం ద్వారా పాస్వర్డ్ను రీసెట్ చేయగలిగాము. నేను “కేవలం” అంటాను, అయితే, వేరొకరి ఇమెయిల్ ఖాతాకు యాక్సెస్ పొందడం చట్టవిరుద్ధం. తప్పక ఒక క్లిష్టమైన ప్రక్రియ. అయితే
నిజానికి, సారా పాలిన్ యొక్క Yahoo! హ్యాకింగ్ గురించి పై లింక్ రెండు ప్రయోజనాల కోసం పనిచేస్తుంది; ముందుగా, ఇది (కొన్ని) ఇమెయిల్ ఖాతాలను హ్యాక్ చేయడం ఎంత సులభమో వివరిస్తుంది మరియు రెండవది, హానికరమైన ఉద్దేశ్యంతో చెడు భద్రతా ప్రశ్నలను ఎలా ఉపయోగించవచ్చో చూపిస్తుంది. కానీ మేము దీని తరువాత తిరిగి వస్తాము.
XNUMX% ఇమెయిల్ ఆధారిత పాస్వర్డ్ రీసెట్లతో సమస్య ఏమిటంటే, మీరు రీసెట్ చేయడానికి ప్రయత్నిస్తున్న సైట్ యొక్క ఖాతా యొక్క సమగ్రత ఇమెయిల్ ఖాతా యొక్క సమగ్రతపై XNUMX% ఆధారపడి ఉంటుంది. మీ ఇమెయిల్కి యాక్సెస్ ఉన్న ఎవరైనా కేవలం ఇమెయిల్ను స్వీకరించడం ద్వారా రీసెట్ చేయగల ఏదైనా ఖాతాకు ప్రాప్యతను కలిగి ఉంది. అటువంటి ఖాతాల కోసం, ఇమెయిల్ మీ ఆన్లైన్ జీవితానికి “అన్ని తలుపులకు కీ”.
ఈ ప్రమాదాన్ని తగ్గించడానికి ఒక మార్గం భద్రతా ప్రశ్న మరియు సమాధానాల నమూనాను అమలు చేయడం. మీరు వాటిని ఇప్పటికే చూశారనడంలో సందేహం లేదు: మీరు మాత్రమే సమాధానం చెప్పగల ప్రశ్నను ఎంచుకోండి తప్పక సమాధానాన్ని తెలుసుకోండి, ఆపై మీరు మీ పాస్వర్డ్ని రీసెట్ చేసినప్పుడు దాని కోసం మిమ్మల్ని అడుగుతారు. రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి నిజంగా ఖాతా యజమాని అని ఇది విశ్వాసాన్ని జోడిస్తుంది.
తిరిగి సారా పాలిన్కి: పొరపాటు ఏమిటంటే ఆమె భద్రతా ప్రశ్న/ప్రశ్నలకు సమాధానాలు సులభంగా కనుగొనబడతాయి. ప్రత్యేకించి మీరు చాలా ముఖ్యమైన పబ్లిక్ ఫిగర్ అయినప్పుడు, మీ తల్లి యొక్క మొదటి పేరు, విద్యా చరిత్ర లేదా ఎవరైనా గతంలో ఎక్కడ నివసించారనేది అంత రహస్యం కాదు. నిజానికి, చాలా వరకు దాదాపు ఎవరైనా కనుగొనవచ్చు. సారా విషయంలో ఇది జరిగింది:
హ్యాకర్ డేవిడ్ కెర్నెల్ ఆమె విశ్వవిద్యాలయం మరియు పుట్టిన తేదీ వంటి ఆమె నేపథ్యం గురించి వివరాలను కనుగొనడం ద్వారా పాలిన్ ఖాతాకు యాక్సెస్ని పొందారు, ఆపై Yahoo! యొక్క మర్చిపోయిన పాస్వర్డ్ రికవరీ ఫీచర్ని ఉపయోగించడం ద్వారా.
అన్నింటిలో మొదటిది, ఇది Yahoo! యొక్క రూపకల్పన లోపం! - అటువంటి సాధారణ ప్రశ్నలను పేర్కొనడం ద్వారా, కంపెనీ తప్పనిసరిగా భద్రతా ప్రశ్న యొక్క విలువను మరియు దాని వ్యవస్థ యొక్క రక్షణను నాశనం చేసింది. వాస్తవానికి, ఇమెయిల్ ఖాతా కోసం పాస్వర్డ్లను రీసెట్ చేయడం ఎల్లప్పుడూ చాలా కష్టం, ఎందుకంటే మీరు యజమానికి ఇమెయిల్ పంపడం ద్వారా యాజమాన్యాన్ని నిరూపించలేరు (రెండవ చిరునామా లేకుండా), కానీ అదృష్టవశాత్తూ ఈ రోజు అటువంటి సిస్టమ్ను రూపొందించడం వల్ల ఎక్కువ ఉపయోగాలు లేవు.
భద్రతా ప్రశ్నలకు తిరిగి వెళ్దాం - వినియోగదారు వారి స్వంత ప్రశ్నలను సృష్టించడానికి అనుమతించే ఎంపిక ఉంది. సమస్య ఏమిటంటే ఇది భయంకరమైన స్పష్టమైన ప్రశ్నలకు దారి తీస్తుంది:
ఆకాశం ఏ రంగులో ఉంటుంది?
గుర్తించడానికి భద్రతా ప్రశ్న ఉపయోగించినప్పుడు వ్యక్తులు అసౌకర్యానికి గురి చేసే ప్రశ్నలు ప్రజలు (ఉదాహరణకు, కాల్ సెంటర్లో):
క్రిస్మస్ సందర్భంగా నేను ఎవరితో పడుకున్నాను?
లేదా స్పష్టంగా తెలివితక్కువ ప్రశ్నలు:
మీరు "పాస్వర్డ్" ను ఎలా ఉచ్చరిస్తారు?
భద్రతా ప్రశ్నల విషయానికి వస్తే, వినియోగదారులు వారి నుండి రక్షించబడాలి! మరో మాటలో చెప్పాలంటే, భద్రతా ప్రశ్న సైట్ ద్వారానే నిర్ణయించబడాలి లేదా ఇంకా మెరుగ్గా అడగబడాలి సిరీస్ వినియోగదారు ఎంచుకోగల భద్రతా ప్రశ్నలు. మరియు ఎంచుకోవడం సులభం కాదు один; వినియోగదారు రెండు లేదా అంతకంటే ఎక్కువ భద్రతా ప్రశ్నలను ఎంచుకోవాలి ఖాతా నమోదు సమయంలో, ఇది రెండవ గుర్తింపు ఛానెల్గా ఉపయోగించబడుతుంది. బహుళ ప్రశ్నలను కలిగి ఉండటం ధృవీకరణ ప్రక్రియపై విశ్వాసాన్ని పెంచుతుంది మరియు యాదృచ్ఛికతను జోడించే సామర్థ్యాన్ని కూడా అందిస్తుంది (ఎల్లప్పుడూ ఒకే ప్రశ్నను చూపడం లేదు), అంతేకాకుండా అసలు వినియోగదారు పాస్వర్డ్ను మరచిపోయిన సందర్భంలో కొంత రిడెండెన్సీని అందిస్తుంది.
మంచి భద్రతా ప్రశ్న ఏమిటి? ఇది అనేక కారకాలచే ప్రభావితమవుతుంది:
- అది ఉండాలి క్లుప్తంగా - ప్రశ్న స్పష్టంగా మరియు అస్పష్టంగా ఉండాలి.
- సమాధానం ఉండాలి నిర్దిష్ట — ఒక వ్యక్తి భిన్నంగా సమాధానం చెప్పగల ప్రశ్న మనకు అవసరం లేదు
- సాధ్యమైన సమాధానాలు ఉండాలి విభిన్న - ఎవరికైనా ఇష్టమైన రంగును అడగడం వల్ల సాధ్యమయ్యే సమాధానాల యొక్క చాలా చిన్న ఉపసమితి లభిస్తుంది
- Поиск సమాధానం సంక్లిష్టంగా ఉండాలి - సమాధానం సులభంగా కనుగొనగలిగితే ఏ (ఉన్నత స్థానాలలో ఉన్న వ్యక్తులను గుర్తుంచుకోండి), అప్పుడు అతను చెడ్డవాడు
- సమాధానం ఉండాలి శాశ్వత సమయానికి - మీరు ఎవరికైనా ఇష్టమైన సినిమాని అడిగితే, ఒక సంవత్సరం తర్వాత సమాధానం భిన్నంగా ఉండవచ్చు
ఇది జరిగినప్పుడు, మంచి ప్రశ్నలను అడగడానికి అంకితమైన వెబ్సైట్ ఉంది
PayPal భద్రతా ప్రశ్నలను ఎలా అమలు చేస్తుందో మరియు ప్రత్యేకించి, ప్రామాణీకరణ కోసం సైట్ చేసే ప్రయత్నాన్ని నేను ప్రదర్శిస్తాను. పైన మేము ప్రాసెస్ను ప్రారంభించడానికి పేజీని చూశాము (CAPTCHAతో), మరియు మీరు మీ ఇమెయిల్ చిరునామాను నమోదు చేసి, CAPTCHAని పరిష్కరించిన తర్వాత ఏమి జరుగుతుందో మేము ఇక్కడ చూపుతాము:
ఫలితంగా, వినియోగదారు కింది లేఖను అందుకుంటారు:
ఇప్పటివరకు ప్రతిదీ చాలా సాధారణమైనది, అయితే ఈ రీసెట్ URL వెనుక దాగి ఉన్నది ఇక్కడ ఉంది:
కాబట్టి, భద్రతా ప్రశ్నలు అమలులోకి వస్తాయి. నిజానికి, PayPal మీ క్రెడిట్ కార్డ్ నంబర్ను ధృవీకరించడం ద్వారా మీ పాస్వర్డ్ను రీసెట్ చేయడానికి కూడా మిమ్మల్ని అనుమతిస్తుంది, కాబట్టి అనేక సైట్లకు యాక్సెస్ లేని అదనపు ఛానెల్ ఉంది. నేను సమాధానం ఇవ్వకుండా నా పాస్వర్డ్ని మార్చలేను రెండు భద్రతా ప్రశ్న (లేదా కార్డ్ నంబర్ తెలియకపోవడం). ఎవరైనా నా ఇమెయిల్ను హైజాక్ చేసినప్పటికీ, నా గురించి మరికొంత వ్యక్తిగత సమాచారం తెలిస్తే తప్ప వారు నా PayPal ఖాతా పాస్వర్డ్ని రీసెట్ చేయలేరు. ఏ సమాచారం? PayPal అందించే భద్రతా ప్రశ్న ఎంపికలు ఇక్కడ ఉన్నాయి:
శోధన సౌలభ్యం పరంగా పాఠశాల మరియు ఆసుపత్రి ప్రశ్న కొద్దిగా ఇబ్బందికరంగా ఉండవచ్చు, కానీ మిగిలినవి చాలా చెడ్డవి కావు. అయితే, భద్రతను మెరుగుపరచడానికి, PayPalకి అదనపు గుర్తింపు అవసరం మార్పులు భద్రతా ప్రశ్నలకు సమాధానాలు:
సురక్షిత పాస్వర్డ్ రీసెట్లకు PayPal ఒక అందమైన ఆదర్శధామ ఉదాహరణ: ఇది బ్రూట్-ఫోర్స్ దాడుల ప్రమాదాన్ని తగ్గించడానికి CAPTCHAను అమలు చేస్తుంది, రెండు భద్రతా ప్రశ్నలు అవసరం, ఆపై సమాధానాలను మార్చడానికి మరొక రకమైన పూర్తిగా భిన్నమైన గుర్తింపు అవసరం-మరియు ఇది వినియోగదారు తర్వాత ఇప్పటికే సైన్ ఇన్ చేసారు. వాస్తవానికి, ఇది ఖచ్చితంగా మేము ఊహించబడింది PayPal నుండి; పెద్ద మొత్తంలో డబ్బుతో వ్యవహరించే ఆర్థిక సంస్థ. ప్రతి పాస్వర్డ్ రీసెట్ ఈ దశలను అనుసరించాలని దీనర్థం కాదు-చాలా సమయం ఓవర్కిల్-కాని భద్రత తీవ్రమైన వ్యాపారం అయిన సందర్భాల్లో ఇది మంచి ఉదాహరణ.
భద్రతా ప్రశ్న వ్యవస్థ యొక్క సౌలభ్యం ఏమిటంటే, మీరు దీన్ని వెంటనే అమలు చేయకపోతే, వనరుల రక్షణ స్థాయికి అవసరమైతే మీరు దానిని తర్వాత జోడించవచ్చు. దీనికి మంచి ఉదాహరణ ఆపిల్, ఇది ఇటీవలే ఈ విధానాన్ని అమలు చేసింది [2012లో వ్రాసిన వ్యాసం]. నేను నా iPadలో అప్లికేషన్ను నవీకరించడం ప్రారంభించిన తర్వాత, నేను ఈ క్రింది అభ్యర్థనను చూశాను:
అప్పుడు నేను అనేక జతల భద్రతా ప్రశ్నలు మరియు సమాధానాలను, అలాగే రెస్క్యూ ఇమెయిల్ చిరునామాను ఎంచుకోగలిగే స్క్రీన్ను చూశాను:
PayPal కొరకు, ప్రశ్నలు ముందుగా ఎంపిక చేయబడ్డాయి మరియు వాటిలో కొన్ని చాలా మంచివి:
మూడు ప్రశ్న/జవాబు జతలలో ప్రతి ఒక్కటి విభిన్న సాధ్యమైన ప్రశ్నలను సూచిస్తాయి, కాబట్టి ఖాతాను కాన్ఫిగర్ చేయడానికి చాలా మార్గాలు ఉన్నాయి.
మీ భద్రతా ప్రశ్నకు సమాధానమివ్వడానికి సంబంధించి పరిగణించవలసిన మరో అంశం నిల్వ. డేటాబేస్లో సాదా టెక్స్ట్ డేటాబేస్ను కలిగి ఉండటం పాస్వర్డ్కు దాదాపు ఒకే రకమైన బెదిరింపులను కలిగిస్తుంది, అంటే డేటాబేస్ను బహిర్గతం చేయడం వల్ల తక్షణమే విలువను వెల్లడిస్తుంది మరియు అప్లికేషన్ను ప్రమాదంలో పడేస్తుంది, కానీ అదే భద్రతా ప్రశ్నలను ఉపయోగించి పూర్తిగా భిన్నమైన అప్లికేషన్లను కలిగి ఉంటుంది (మళ్ళీ ఉన్నాయి.
భద్రతా ప్రశ్నలు మరియు సమాధానాల యొక్క చివరి అంశం ఏమిటంటే అవి సోషల్ ఇంజనీరింగ్కు ఎక్కువ హాని కలిగిస్తాయి. వేరొకరి ఖాతాకు నేరుగా పాస్వర్డ్ను సంగ్రహించడానికి ప్రయత్నించడం ఒక విషయం, కానీ దాని నిర్మాణం గురించి సంభాషణను ప్రారంభించడం (ఒక ప్రముఖ భద్రతా ప్రశ్న) పూర్తిగా భిన్నంగా ఉంటుంది. వాస్తవానికి, మీరు ఎవరితోనైనా వారి జీవితంలోని అనేక అంశాల గురించి బాగా కమ్యూనికేట్ చేయవచ్చు, అది అనుమానం కలిగించకుండా రహస్య ప్రశ్నను అడగవచ్చు. వాస్తవానికి, భద్రతా ప్రశ్న యొక్క ప్రధాన విషయం ఏమిటంటే ఇది ఒకరి జీవిత అనుభవానికి సంబంధించినది, కాబట్టి ఇది చిరస్మరణీయమైనది మరియు ఇక్కడే సమస్య ఉంది - ప్రజలు తమ జీవిత అనుభవాల గురించి మాట్లాడటానికి ఇష్టపడతారు! మీరు అలాంటి భద్రతా ప్రశ్న ఎంపికలను ఎంచుకుంటే మాత్రమే, దీని గురించి మీరు చేయగలిగేది చాలా తక్కువ తక్కువ బహుశా సోషల్ ఇంజనీరింగ్ ద్వారా తీసివేయబడవచ్చు.
[కొనసాగుతుంది.]ప్రకటనల హక్కులపై
VDSina నమ్మదగిన అందిస్తుంది
మూలం: www.habr.com