సురక్షిత పాస్‌వర్డ్ రీసెట్ గురించి మీరు ఎప్పుడైనా తెలుసుకోవాలనుకున్న ప్రతిదీ. పార్ట్ 1

సురక్షిత పాస్‌వర్డ్ రీసెట్ ఫీచర్ ఎలా పని చేస్తుందనే దాని గురించి మళ్లీ ఆలోచించడానికి నాకు ఇటీవల సమయం దొరికింది, మొదట నేను ఈ కార్యాచరణను రూపొందించినప్పుడు ASafaWeb, ఆపై అతను మరొక వ్యక్తికి అలాంటిదే సహాయం చేసినప్పుడు. రెండవ సందర్భంలో, రీసెట్ ఫంక్షన్‌ను సురక్షితంగా ఎలా అమలు చేయాలనే దాని గురించిన అన్ని వివరాలతో నేను అతనికి కానానికల్ రిసోర్స్‌కి లింక్‌ను ఇవ్వాలనుకుంటున్నాను. అయితే, సమస్య ఏమిటంటే, అటువంటి వనరు ఉనికిలో లేదు, కనీసం నాకు ముఖ్యమైనదిగా అనిపించే ప్రతిదాన్ని వివరించేది కాదు. కాబట్టి నేనే రాయాలని నిర్ణయించుకున్నాను.

మీరు చూడండి, మర్చిపోయిన పాస్‌వర్డ్‌ల ప్రపంచం నిజానికి చాలా రహస్యమైనది. చాలా భిన్నమైన, పూర్తిగా ఆమోదయోగ్యమైన అభిప్రాయాలు మరియు చాలా ప్రమాదకరమైనవి ఉన్నాయి. మీరు వాటిలో ప్రతి ఒక్కటి తుది వినియోగదారుగా అనేకసార్లు ఎదుర్కొన్న అవకాశాలు ఉన్నాయి; కాబట్టి ఎవరు సరిగ్గా చేస్తున్నారు, ఎవరు చేయరు మరియు మీ యాప్‌లో లక్షణాన్ని సరిగ్గా పొందడానికి మీరు దేనిపై దృష్టి పెట్టాలి అని చూపించడానికి నేను ఈ ఉదాహరణలను ఉపయోగించడానికి ప్రయత్నిస్తాను.

పాస్‌వర్డ్ నిల్వ: హ్యాషింగ్, ఎన్‌క్రిప్షన్ మరియు (గ్యాస్ప్!) సాదా వచనం

మర్చిపోయిన పాస్‌వర్డ్‌లను ఎలా నిల్వ చేయాలో చర్చించే ముందు వాటితో ఏమి చేయాలో మనం చర్చించలేము. పాస్‌వర్డ్‌లు మూడు ప్రధాన రకాల్లో ఒకదానిలో డేటాబేస్‌లో నిల్వ చేయబడతాయి:

1. సాధారణ వచనం. పాస్‌వర్డ్ కాలమ్ ఉంది, ఇది సాదా వచన రూపంలో నిల్వ చేయబడుతుంది.
2. ఎన్‌క్రిప్ట్ చేయబడింది. సాధారణంగా సిమెట్రిక్ ఎన్‌క్రిప్షన్‌ని ఉపయోగించడం (ఎన్‌క్రిప్షన్ మరియు డిక్రిప్షన్ రెండింటికీ ఒక కీ ఉపయోగించబడుతుంది), మరియు గుప్తీకరించిన పాస్‌వర్డ్‌లు కూడా అదే నిలువు వరుసలో నిల్వ చేయబడతాయి.
3. హాషెడ్. వన్-వే ప్రక్రియ (పాస్‌వర్డ్‌ని హ్యాష్ చేయవచ్చు, కానీ డీహాష్ చేయడం సాధ్యం కాదు); పాస్వర్డ్, నేను ఆశిస్తున్నాను, తరువాత ఒక ఉప్పు, మరియు ప్రతి దాని స్వంత నిలువు వరుసలో ఉంటుంది.

సరళమైన ప్రశ్నకు నేరుగా వెళ్దాం: పాస్‌వర్డ్‌లను సాదా వచనంలో ఎప్పుడూ నిల్వ చేయవద్దు! ఎప్పుడూ. ఒకే ఒక్క దుర్బలత్వం ఇంజెక్షన్లు, ఒక అజాగ్రత్త బ్యాకప్ లేదా డజన్ల కొద్దీ ఇతర సాధారణ తప్పులలో ఒకటి - అంతే, గేమ్‌ఓవర్, మీ పాస్‌వర్డ్‌లు అన్నీ - అంటే, క్షమించండి, మీ ఖాతాదారులందరి పాస్‌వర్డ్‌లు పబ్లిక్ డొమైన్ అవుతుంది. వాస్తవానికి, ఇది భారీ సంభావ్యతను సూచిస్తుంది వారి అన్ని పాస్‌వర్డ్‌లు ఇతర సిస్టమ్‌లలోని వారి అన్ని ఖాతాల నుండి. మరియు అది మీ తప్పు అవుతుంది.

ఎన్క్రిప్షన్ ఉత్తమం, కానీ దాని బలహీనతలను కలిగి ఉంది. ఎన్క్రిప్షన్ సమస్య డీక్రిప్షన్; మేము ఈ వెర్రిగా కనిపించే సాంకేతికలిపిలను తీసుకొని వాటిని తిరిగి సాదా వచనానికి మార్చవచ్చు మరియు అది జరిగినప్పుడు మనం మానవులు చదవగలిగే పాస్‌వర్డ్ పరిస్థితికి తిరిగి వస్తాము. ఇది ఎలా జరుగుతుంది? పాస్‌వర్డ్‌ను డీక్రిప్ట్ చేసే కోడ్‌లో ఒక చిన్న లోపం ఏర్పడి, దానిని పబ్లిక్‌గా అందుబాటులో ఉంచుతుంది - ఇది ఒక మార్గం. గుప్తీకరించిన డేటా నిల్వ చేయబడిన మెషీన్‌కు హ్యాకర్లు యాక్సెస్ పొందుతారు - ఇది రెండవ పద్ధతి. మరొక మార్గం, మళ్ళీ, డేటాబేస్ బ్యాకప్‌ను దొంగిలించడం మరియు ఎవరైనా ఎన్‌క్రిప్షన్ కీని కూడా పొందుతారు, ఇది తరచుగా చాలా అసురక్షితంగా నిల్వ చేయబడుతుంది.

మరియు ఇది మనల్ని హ్యాషింగ్‌కు తీసుకువస్తుంది. హ్యాషింగ్ వెనుక ఉన్న ఆలోచన ఏమిటంటే ఇది వన్-వే; వినియోగదారు నమోదు చేసిన పాస్‌వర్డ్‌ను దాని హాష్ వెర్షన్‌తో పోల్చడానికి ఏకైక మార్గం ఇన్‌పుట్‌ను హాష్ చేయడం మరియు వాటిని సరిపోల్చడం. ఇంద్రధనస్సు పట్టికలు వంటి సాధనాల నుండి దాడులను నిరోధించడానికి, మేము ప్రక్రియను యాదృచ్ఛికతతో ఉప్పు చేస్తాము (నాది చదవండి పోస్ట్ క్రిప్టోగ్రాఫిక్ నిల్వ గురించి). అంతిమంగా, సరిగ్గా అమలు చేయబడితే, హ్యాష్ చేసిన పాస్‌వర్డ్‌లు మళ్లీ సాదా వచనంగా మారవని మేము విశ్వసించగలము (నేను మరొక పోస్ట్‌లో విభిన్న హ్యాషింగ్ అల్గారిథమ్‌ల ప్రయోజనాల గురించి మాట్లాడుతాను).

హ్యాషింగ్ వర్సెస్ ఎన్‌క్రిప్షన్ గురించి త్వరిత వాదన: మీరు పాస్‌వర్డ్‌ను హాష్ చేయడం కంటే గుప్తీకరించాల్సిన ఏకైక కారణం మీరు పాస్‌వర్డ్‌ను సాదా వచనంలో చూడవలసి వచ్చినప్పుడు మరియు మీరు దీన్ని ఎప్పుడూ కోరుకోకూడదు, కనీసం ప్రామాణిక వెబ్‌సైట్ పరిస్థితిలోనైనా. మీకు ఇది అవసరమైతే, చాలా మటుకు మీరు ఏదో తప్పు చేస్తున్నారు!

హెచ్చరిక

పోస్ట్ యొక్క టెక్స్ట్‌లో దిగువన అశ్లీల వెబ్‌సైట్ AlotPorn యొక్క స్క్రీన్‌షాట్ భాగం ఉంది. ఇది చక్కగా కత్తిరించబడింది కాబట్టి మీరు బీచ్‌లో చూడలేనిది ఏదీ లేదు, కానీ అది ఇంకా ఏవైనా సమస్యలను కలిగించే అవకాశం ఉంటే, క్రిందికి స్క్రోల్ చేయవద్దు.

ఎల్లప్పుడూ మీ పాస్‌వర్డ్‌ని రీసెట్ చేయండి ఎప్పుడూ అతనికి గుర్తు చేయవద్దు

మీరు ఎప్పుడైనా ఫంక్షన్‌ని సృష్టించమని అడిగారా రిమైండర్లు పాస్వర్డ్? ఒక అడుగు వెనక్కి వేసి, రివర్స్‌లో ఈ అభ్యర్థన గురించి ఆలోచించండి: ఈ “రిమైండర్” ఎందుకు అవసరం? ఎందుకంటే వినియోగదారు పాస్‌వర్డ్‌ను మర్చిపోయారు. మనం నిజంగా ఏమి చేయాలనుకుంటున్నాము? అతనికి మళ్లీ లాగిన్ చేయడంలో సహాయపడండి.

"రిమైండర్" అనే పదాన్ని వ్యావహారిక అర్థంలో (తరచుగా) ఉపయోగించారని నేను గ్రహించాను, కానీ మనం నిజంగా చేయడానికి ప్రయత్నిస్తున్నది వినియోగదారు మళ్లీ ఆన్‌లైన్‌లో ఉండటానికి సురక్షితంగా సహాయపడండి. మాకు భద్రత అవసరం కాబట్టి, రిమైండర్ (అంటే వినియోగదారుకు వారి పాస్‌వర్డ్‌ను పంపడం) సముచితం కాకపోవడానికి రెండు కారణాలు ఉన్నాయి:

1. ఇమెయిల్ అసురక్షిత ఛానెల్. మేము HTTP (మేము HTTPSని ఉపయోగిస్తాము) ద్వారా సున్నితమైన ఏదీ పంపనట్లే, దాని రవాణా పొర అసురక్షితమైనందున మేము ఇమెయిల్ ద్వారా సున్నితమైన ఏదైనా పంపకూడదు. వాస్తవానికి, ఇది అసురక్షిత రవాణా ప్రోటోకాల్ ద్వారా సమాచారాన్ని పంపడం కంటే చాలా ఘోరంగా ఉంటుంది, ఎందుకంటే మెయిల్ తరచుగా నిల్వ పరికరంలో నిల్వ చేయబడుతుంది, సిస్టమ్ నిర్వాహకులకు అందుబాటులో ఉంటుంది, ఫార్వార్డ్ చేయబడుతుంది మరియు పంపిణీ చేయబడుతుంది, మాల్వేర్‌కు ప్రాప్యత చేయబడుతుంది మరియు మొదలైనవి. ఎన్‌క్రిప్ట్ చేయని ఇమెయిల్ చాలా అసురక్షిత ఛానెల్.
2. ఏమైనప్పటికీ మీరు పాస్‌వర్డ్‌కి యాక్సెస్ కలిగి ఉండకూడదు. నిల్వపై మునుపటి విభాగాన్ని మళ్లీ చదవండి - మీరు పాస్‌వర్డ్‌ని (మంచి బలమైన ఉప్పుతో) కలిగి ఉండాలి, అంటే మీరు ఏ విధంగానూ పాస్‌వర్డ్‌ను సంగ్రహించి మెయిల్ ద్వారా పంపలేరు.

నేను ఒక ఉదాహరణతో సమస్యను ప్రదర్శిస్తాను usoutdoor.com: ఇక్కడ ఒక సాధారణ లాగిన్ పేజీ ఉంది:

సహజంగానే, మొదటి సమస్య ఏమిటంటే, లాగిన్ పేజీ HTTPS ద్వారా లోడ్ చేయబడదు, కానీ సైట్ మిమ్మల్ని పాస్‌వర్డ్‌ను పంపమని కూడా అడుగుతుంది (“పాస్‌వర్డ్‌ని పంపు”). పైన పేర్కొన్న పదం యొక్క వ్యావహారిక ఉపయోగానికి ఇది ఒక ఉదాహరణ కావచ్చు, కాబట్టి దీనిని ఒక అడుగు ముందుకు వేసి ఏమి జరుగుతుందో చూద్దాం:

దురదృష్టవశాత్తు, ఇది చాలా మెరుగ్గా కనిపించడం లేదు; మరియు ఒక ఇమెయిల్ సమస్య ఉందని నిర్ధారిస్తుంది:

ఇది usoutdoor.com యొక్క రెండు ముఖ్యమైన అంశాలను మాకు తెలియజేస్తుంది:

1. సైట్ పాస్‌వర్డ్‌లను హ్యాష్ చేయదు. ఉత్తమంగా, అవి గుప్తీకరించబడ్డాయి, కానీ అవి సాదా వచనంలో నిల్వ చేయబడే అవకాశం ఉంది; దీనికి విరుద్ధంగా మనకు ఎలాంటి ఆధారాలు కనిపించవు.
2. సైట్ అసురక్షిత ఛానెల్ ద్వారా దీర్ఘకాలిక పాస్‌వర్డ్‌ను (మనం వెనక్కి వెళ్లి మళ్లీ మళ్లీ ఉపయోగించవచ్చు) పంపుతుంది.

ఇది మార్గం నుండి బయటపడటంతో, రీసెట్ ప్రక్రియ సురక్షితమైన పద్ధతిలో జరిగిందో లేదో మనం తనిఖీ చేయాలి. రీసెట్ చేయడానికి అభ్యర్థికి హక్కు ఉందని నిర్ధారించుకోవడం దీన్ని చేయడానికి మొదటి దశ. మరో మాటలో చెప్పాలంటే, దీనికి ముందు మనకు గుర్తింపు తనిఖీ అవసరం; అభ్యర్థి ఖాతా యజమాని అని మొదట ధృవీకరించకుండా గుర్తింపు ధృవీకరించబడినప్పుడు ఏమి జరుగుతుందో చూద్దాం.

వినియోగదారు పేర్లను జాబితా చేయడం మరియు అనామకత్వంపై దాని ప్రభావం

ఈ సమస్య దృశ్యమానంగా ఉత్తమంగా వివరించబడింది. సమస్య:

మీరు చూస్తారా? "ఈ ఇమెయిల్ చిరునామాతో నమోదు చేయబడిన వినియోగదారు ఎవరూ లేరు" అనే సందేశానికి శ్రద్ధ వహించండి. అటువంటి సైట్ నిర్ధారించినట్లయితే సమస్య స్పష్టంగా తలెత్తుతుంది లభ్యత అటువంటి ఇమెయిల్ చిరునామాతో నమోదు చేసుకున్న వినియోగదారు. బింగో - మీరు ఇప్పుడే మీ భర్త/బాస్/పొరుగువారి పోర్న్ ఫెటిష్‌ని కనుగొన్నారు!

వాస్తవానికి, పోర్న్ అనేది గోప్యత యొక్క ప్రాముఖ్యతకు చాలా ఐకానిక్ ఉదాహరణ, అయితే ఒక నిర్దిష్ట వెబ్‌సైట్‌తో ఒక వ్యక్తిని అనుబంధించడం వల్ల కలిగే ప్రమాదాలు పైన వివరించిన సంభావ్య ఇబ్బందికరమైన పరిస్థితి కంటే చాలా విస్తృతమైనవి. ఒక ప్రమాదం సామాజిక ఇంజనీరింగ్; దాడి చేసే వ్యక్తి సేవతో ఒక వ్యక్తిని సరిపోల్చగలిగితే, అతను ఉపయోగించడం ప్రారంభించగల సమాచారాన్ని కలిగి ఉంటాడు. ఉదాహరణకు, అతను వెబ్‌సైట్‌కి ప్రతినిధిగా నటిస్తూ ఒక వ్యక్తిని సంప్రదించవచ్చు మరియు కట్టుబడి ఉండే ప్రయత్నంలో అదనపు సమాచారాన్ని అభ్యర్థించవచ్చు స్పియర్ ఫిషింగ్.

ఇటువంటి పద్ధతులు "యూజర్‌నేమ్ ఎన్యూమరేషన్" ప్రమాదాన్ని కూడా పెంచుతాయి, దీని ద్వారా ఒక వెబ్‌సైట్‌లో సమూహ ప్రశ్నలను నిర్వహించడం మరియు వాటికి ప్రతిస్పందనలను పరిశీలించడం ద్వారా మొత్తం వినియోగదారు పేర్లు లేదా ఇమెయిల్ చిరునామాల ఉనికిని ధృవీకరించవచ్చు. మీ వద్ద ఉద్యోగులందరి ఇమెయిల్ చిరునామాల జాబితా మరియు స్క్రిప్ట్ రాయడానికి కొన్ని నిమిషాలు ఉన్నాయా? అప్పుడు సమస్య ఏమిటో మీరే చూడండి!

ప్రత్యామ్నాయం ఏమిటి? నిజానికి, ఇది చాలా సులభం మరియు అద్భుతంగా అమలు చేయబడింది Entropay:

ఇక్కడ Entropay దాని సిస్టమ్‌లో ఇమెయిల్ చిరునామా ఉనికి గురించి ఖచ్చితంగా ఏమీ వెల్లడించలేదు ఈ చిరునామా లేని వ్యక్తికి... ఒకవేళ నువ్వు స్వంతం ఈ చిరునామా మరియు ఇది సిస్టమ్‌లో లేదు, అప్పుడు మీరు ఇలాంటి ఇమెయిల్‌ను అందుకుంటారు:

వాస్తవానికి, ఎవరైనా ఆమోదయోగ్యమైన పరిస్థితులు ఉండవచ్చు అనుకుంటాడుమీరు వెబ్‌సైట్‌లో నమోదు చేసుకున్నారని. కానీ ఇది అలా కాదు లేదా నేను వేరే ఇమెయిల్ చిరునామా నుండి చేసాను. పైన చూపిన ఉదాహరణ రెండు పరిస్థితులను చక్కగా నిర్వహిస్తుంది. సహజంగానే, చిరునామా సరిపోలితే, మీ పాస్‌వర్డ్‌ని రీసెట్ చేయడాన్ని సులభతరం చేసే ఇమెయిల్‌ను మీరు అందుకుంటారు.

ఎంట్రోపే ద్వారా ఎంపిక చేయబడిన పరిష్కారం యొక్క సూక్ష్మత ఏమిటంటే గుర్తింపు ధృవీకరణ ప్రకారం నిర్వహించబడుతుంది ఇ-మెయిల్ ఏదైనా ఆన్‌లైన్ ధృవీకరణకు ముందు. కొన్ని సైట్‌లు భద్రతా ప్రశ్నకు సమాధానం కోసం వినియోగదారులను అడుగుతాయి (దీనిపై మరింత దిగువన) కు రీసెట్ ఎలా ప్రారంభమవుతుంది; అయితే, దీనితో సమస్య ఏమిటంటే, మీరు ఏదో ఒక రకమైన గుర్తింపును (ఇమెయిల్ లేదా వినియోగదారు పేరు) అందించేటప్పుడు తప్పనిసరిగా ప్రశ్నకు సమాధానం ఇవ్వాలి, ఇది అనామక వినియోగదారు ఖాతా ఉనికిని బహిర్గతం చేయకుండా అకారణంగా సమాధానం ఇవ్వడం దాదాపు అసాధ్యం.

ఈ విధానంతో ఉంది చిన్నది వినియోగం తగ్గింది ఎందుకంటే మీరు ఉనికిలో లేని ఖాతాను రీసెట్ చేయడానికి ప్రయత్నిస్తే, తక్షణ ఫీడ్‌బ్యాక్ ఉండదు. వాస్తవానికి, ఇది ఇమెయిల్‌ను పంపడం యొక్క మొత్తం పాయింట్, కానీ నిజమైన తుది వినియోగదారు దృక్కోణం నుండి, వారు తప్పు చిరునామాను నమోదు చేస్తే, వారు ఇమెయిల్‌ను స్వీకరించినప్పుడు మాత్రమే వారికి మొదటిసారి తెలుస్తుంది. ఇది అతని వైపు కొంత ఉద్రిక్తతను కలిగిస్తుంది, కానీ అలాంటి అరుదైన ప్రక్రియ కోసం చెల్లించాల్సిన చిన్న ధర ఇది.

మరొక గమనిక, టాపిక్‌కు కొద్దిగా దూరంగా ఉంది: వినియోగదారు పేరు లేదా ఇమెయిల్ చిరునామా సరైనదేనా అని వెల్లడించే లాగిన్ సహాయ విధులు కూడా అదే సమస్యను కలిగి ఉన్నాయి. క్రెడెన్షియల్‌ల ఉనికిని స్పష్టంగా నిర్ధారించే బదులు "మీ వినియోగదారు పేరు మరియు పాస్‌వర్డ్ కలయిక చెల్లదు" అనే సందేశంతో ఎల్లప్పుడూ వినియోగదారుకు ప్రతిస్పందించండి (ఉదాహరణకు, "వినియోగదారు పేరు సరైనది, కానీ పాస్‌వర్డ్ తప్పు").

రీసెట్ పాస్‌వర్డ్‌ను పంపడం vs రీసెట్ URLని పంపడం

మేము చర్చించవలసిన తదుపరి కాన్సెప్ట్ మీ పాస్‌వర్డ్‌ను ఎలా రీసెట్ చేయాలి. రెండు ప్రసిద్ధ పరిష్కారాలు ఉన్నాయి:

1. సర్వర్‌లో కొత్త పాస్‌వర్డ్‌ను రూపొందించడం మరియు ఇమెయిల్ ద్వారా పంపడం
2. రీసెట్ ప్రక్రియను సులభతరం చేయడానికి ప్రత్యేకమైన URLతో ఇమెయిల్‌ను పంపండి

ఉన్నప్పటికీ అనేక మార్గదర్శకులు, మొదటి పాయింట్ ఎప్పుడూ ఉపయోగించరాదు. ఇందులో సమస్య ఏంటంటే ఉంది అంటే నిల్వ చేయబడిన పాస్వర్డ్, మీరు ఎప్పుడైనా తిరిగి మరియు మళ్లీ ఉపయోగించవచ్చు; ఇది అసురక్షిత ఛానెల్ ద్వారా పంపబడింది మరియు మీ ఇన్‌బాక్స్‌లో అలాగే ఉంటుంది. మొబైల్ పరికరాలు మరియు ఇమెయిల్ క్లయింట్‌లో ఇన్‌బాక్స్‌లు సమకాలీకరించబడే అవకాశాలు ఉన్నాయి, అంతేకాకుండా అవి చాలా కాలం పాటు వెబ్ ఇమెయిల్ సేవలో ఆన్‌లైన్‌లో నిల్వ చేయబడవచ్చు. విషయం ఏమిటంటే మెయిల్‌బాక్స్‌ను దీర్ఘకాలిక నిల్వకు నమ్మదగిన సాధనంగా పరిగణించలేము.

కానీ ఇది కాకుండా, మొదటి పాయింట్ మరొక తీవ్రమైన సమస్యను కలిగి ఉంది - ఇది వీలైనంత సులభతరం చేస్తుంది హానికరమైన ఉద్దేశ్యంతో ఖాతాను బ్లాక్ చేయడం. వెబ్‌సైట్‌లో ఖాతాను కలిగి ఉన్న వారి ఇమెయిల్ చిరునామా నాకు తెలిస్తే, నేను వారి పాస్‌వర్డ్‌ను రీసెట్ చేయడం ద్వారా ఎప్పుడైనా వారిని బ్లాక్ చేయవచ్చు; ఇది వెండి పళ్ళెంలో అందించిన సేవా నిరాకరణ దాడి! అందుకే అభ్యర్థనదారుడి హక్కులను విజయవంతంగా ధృవీకరించిన తర్వాత మాత్రమే రీసెట్ చేయాలి.

మేము రీసెట్ URL గురించి మాట్లాడినప్పుడు, మేము వెబ్‌సైట్ చిరునామా అని అర్థం రీసెట్ ప్రక్రియ యొక్క ఈ ప్రత్యేక సందర్భంలో ప్రత్యేకంగా ఉంటుంది. వాస్తవానికి, ఇది యాదృచ్ఛికంగా ఉండాలి, ఊహించడం సులభం కాకూడదు మరియు రీసెట్ చేయడాన్ని సులభతరం చేసే ఖాతాకు ఎలాంటి బాహ్య లింక్‌లు ఉండకూడదు. ఉదాహరణకు, రీసెట్ URL కేవలం "Reset/?username=JohnSmith" వంటి మార్గంగా ఉండకూడదు.

మేము రీసెట్ URLగా మెయిల్ చేయగలిగే ప్రత్యేకమైన టోకెన్‌ని సృష్టించాలనుకుంటున్నాము, ఆపై వినియోగదారు ఖాతా యొక్క సర్వర్ రికార్డ్‌తో సరిపోలాలి, ఆ విధంగా ఖాతా యజమాని పాస్‌వర్డ్‌ని రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి అని నిర్ధారిస్తుంది . ఉదాహరణకు, ఒక టోకెన్ "3ce7854015cd38c862cb9e14a1ae552b" అయి ఉండవచ్చు మరియు రీసెట్ చేస్తున్న వినియోగదారు యొక్క ID మరియు టోకెన్ రూపొందించబడిన సమయంతో పాటు పట్టికలో నిల్వ చేయబడుతుంది (దీనిపై మరింత దిగువన). ఇమెయిల్ పంపబడినప్పుడు, అది “Reset/?id=3ce7854015cd38c862cb9e14a1ae552b” వంటి URLని కలిగి ఉంటుంది మరియు వినియోగదారు దానిని డౌన్‌లోడ్ చేసినప్పుడు, పేజీ టోకెన్ ఉనికిని అడుగుతుంది, ఆ తర్వాత అది వినియోగదారు సమాచారాన్ని నిర్ధారిస్తుంది మరియు వాటిని మార్చడానికి వారిని అనుమతిస్తుంది పాస్వర్డ్.

వాస్తవానికి, పైన ఉన్న ప్రక్రియ (ఆశాజనక) కొత్త పాస్‌వర్డ్‌ను సృష్టించడానికి వినియోగదారుని అనుమతిస్తుంది కాబట్టి, మేము URL HTTPS ద్వారా లోడ్ చేయబడిందని నిర్ధారించుకోవాలి. కాదు, దీన్ని HTTPS ద్వారా POST అభ్యర్థనతో పంపడం సరిపోదు, ఈ టోకెన్ URL తప్పనిసరిగా రవాణా లేయర్ భద్రతను ఉపయోగించాలి, తద్వారా కొత్త పాస్‌వర్డ్ ఫారమ్‌పై దాడి జరగదు MITM మరియు వినియోగదారు సృష్టించిన పాస్‌వర్డ్ సురక్షిత కనెక్షన్ ద్వారా ప్రసారం చేయబడింది.

అలాగే రీసెట్ URL కోసం మీరు టోకెన్ సమయ పరిమితిని జోడించాలి, తద్వారా రీసెట్ ప్రాసెస్ నిర్దిష్ట వ్యవధిలో పూర్తవుతుంది, ఒక గంటలోపు చెప్పండి. రీసెట్ టైమ్ విండో కనిష్టంగా ఉంచబడిందని ఇది నిర్ధారిస్తుంది, తద్వారా రీసెట్ URL గ్రహీత చాలా చిన్న విండోలో మాత్రమే పని చేయగలడు. వాస్తవానికి, దాడి చేసే వ్యక్తి రీసెట్ ప్రక్రియను మళ్లీ ప్రారంభించవచ్చు, కానీ వారు మరొక ప్రత్యేకమైన రీసెట్ URLని పొందవలసి ఉంటుంది.

చివరగా, ఈ ప్రక్రియ పునర్వినియోగపరచదగినదని మేము నిర్ధారించుకోవాలి. రీసెట్ ప్రక్రియ పూర్తయిన తర్వాత, టోకెన్ తప్పనిసరిగా తీసివేయబడాలి, తద్వారా రీసెట్ URL ఇకపై పని చేయదు. దాడి చేసే వ్యక్తి చాలా చిన్న విండోను కలిగి ఉన్నాడని నిర్ధారించుకోవడానికి మునుపటి పాయింట్ అవసరం, ఆ సమయంలో అతను రీసెట్ URLని మార్చవచ్చు. అదనంగా, రీసెట్ విజయవంతం అయిన తర్వాత, టోకెన్ అవసరం లేదు.

ఈ దశల్లో కొన్ని అతిగా అనవసరంగా అనిపించవచ్చు, కానీ అవి వినియోగానికి అంతరాయం కలిగించవు మరియు నిజానికి భద్రతను మెరుగుపరుస్తుంది, అయినప్పటికీ మేము అరుదుగా ఉంటామని ఆశిస్తున్నాము. 99% కేసులలో, వినియోగదారు చాలా తక్కువ వ్యవధిలో రీసెట్‌ను ప్రారంభిస్తారు మరియు సమీప భవిష్యత్తులో పాస్‌వర్డ్‌ను మళ్లీ రీసెట్ చేయరు.

CAPTCHA పాత్ర

ఓహ్, CAPTCHA, మనమందరం అసహ్యించుకోవడానికి ఇష్టపడే సెక్యూరిటీ ఫీచర్! నిజానికి, CAPTCHA అనేది ఒక గుర్తింపు సాధనం కాబట్టి రక్షణ సాధనం కాదు - మీరు వ్యక్తి అయినా లేదా రోబో అయినా (లేదా ఆటోమేటెడ్ స్క్రిప్ట్). స్వయంచాలక ఫారమ్ సమర్పణను నివారించడం దీని ఉద్దేశ్యం, అయితే, చెయ్యవచ్చు భద్రతను విచ్ఛిన్నం చేసే ప్రయత్నంగా ఉపయోగించబడుతుంది. పాస్‌వర్డ్ రీసెట్‌ల సందర్భంలో, CAPTCHA అంటే రీసెట్ ఫంక్షన్ వినియోగదారుని స్పామ్ చేయడానికి లేదా ఖాతాల ఉనికిని గుర్తించడానికి ప్రయత్నించడానికి క్రూరంగా బలవంతం చేయబడదని అర్థం (మీరు విభాగంలోని సలహాను అనుసరించినట్లయితే ఇది సాధ్యం కాదు. గుర్తింపులను ధృవీకరించడం).

వాస్తవానికి, CAPTCHA కూడా పరిపూర్ణమైనది కాదు; దాని సాఫ్ట్‌వేర్ "హ్యాకింగ్" మరియు తగినంత విజయవంతమైన రేట్లను (60-70%) సాధించడానికి చాలా పూర్వజన్మలు ఉన్నాయి. అదనంగా, నా పోస్ట్‌లో దీని గురించిన పరిష్కారం చూపబడింది ఆటోమేటెడ్ వ్యక్తుల ద్వారా CAPTCHA హ్యాకింగ్, ఇక్కడ మీరు ప్రతి CAPTCHAను పరిష్కరించడానికి మరియు 94% విజయవంతమైన రేటును సాధించడానికి వ్యక్తులకు ఒక సెంటు భిన్నాలను చెల్లించవచ్చు. అంటే, ఇది హాని కలిగించేది, కానీ అది (కొద్దిగా) ప్రవేశానికి అడ్డంకిని పెంచుతుంది.

PayPal ఉదాహరణను పరిశీలిద్దాం:

ఈ సందర్భంలో, CAPTCHA పరిష్కరించబడే వరకు రీసెట్ ప్రక్రియ ప్రారంభించబడదు సిద్ధాంతపరంగా ప్రక్రియను ఆటోమేట్ చేయడం అసాధ్యం. సిద్ధాంత పరంగా.

అయినప్పటికీ, చాలా వెబ్ అప్లికేషన్‌లకు ఇది ఓవర్ కిల్ మరియు కచ్చితముగా వినియోగంలో తగ్గుదలని సూచిస్తుంది - ప్రజలు కేవలం CAPTCHAను ఇష్టపడరు! అదనంగా, CAPTCHA అనేది అవసరమైతే మీరు సులభంగా తిరిగి పొందవచ్చు. సేవ దాడికి గురైతే (ఇక్కడే లాగింగ్ ఉపయోగపడుతుంది, కానీ తర్వాత మరింత ఎక్కువ), అప్పుడు CAPTCHAని జోడించడం సులభం కాదు.

రహస్య ప్రశ్నలు మరియు సమాధానాలు

మేము పరిగణించిన అన్ని పద్ధతులతో, మేము ఇమెయిల్ ఖాతాకు ప్రాప్యతను కలిగి ఉండటం ద్వారా పాస్‌వర్డ్‌ను రీసెట్ చేయగలిగాము. నేను “కేవలం” అంటాను, అయితే, వేరొకరి ఇమెయిల్ ఖాతాకు యాక్సెస్ పొందడం చట్టవిరుద్ధం. తప్పక ఒక క్లిష్టమైన ప్రక్రియ. అయితే ఇది ఎల్లప్పుడూ అలా ఉండదు.

నిజానికి, సారా పాలిన్ యొక్క Yahoo! హ్యాకింగ్ గురించి పై లింక్ రెండు ప్రయోజనాల కోసం పనిచేస్తుంది; ముందుగా, ఇది (కొన్ని) ఇమెయిల్ ఖాతాలను హ్యాక్ చేయడం ఎంత సులభమో వివరిస్తుంది మరియు రెండవది, హానికరమైన ఉద్దేశ్యంతో చెడు భద్రతా ప్రశ్నలను ఎలా ఉపయోగించవచ్చో చూపిస్తుంది. కానీ మేము దీని తరువాత తిరిగి వస్తాము.

XNUMX% ఇమెయిల్ ఆధారిత పాస్‌వర్డ్ రీసెట్‌లతో సమస్య ఏమిటంటే, మీరు రీసెట్ చేయడానికి ప్రయత్నిస్తున్న సైట్ యొక్క ఖాతా యొక్క సమగ్రత ఇమెయిల్ ఖాతా యొక్క సమగ్రతపై XNUMX% ఆధారపడి ఉంటుంది. మీ ఇమెయిల్‌కి యాక్సెస్ ఉన్న ఎవరైనా కేవలం ఇమెయిల్‌ను స్వీకరించడం ద్వారా రీసెట్ చేయగల ఏదైనా ఖాతాకు ప్రాప్యతను కలిగి ఉంది. అటువంటి ఖాతాల కోసం, ఇమెయిల్ మీ ఆన్‌లైన్ జీవితానికి “అన్ని తలుపులకు కీ”.

ఈ ప్రమాదాన్ని తగ్గించడానికి ఒక మార్గం భద్రతా ప్రశ్న మరియు సమాధానాల నమూనాను అమలు చేయడం. మీరు వాటిని ఇప్పటికే చూశారనడంలో సందేహం లేదు: మీరు మాత్రమే సమాధానం చెప్పగల ప్రశ్నను ఎంచుకోండి తప్పక సమాధానాన్ని తెలుసుకోండి, ఆపై మీరు మీ పాస్‌వర్డ్‌ని రీసెట్ చేసినప్పుడు దాని కోసం మిమ్మల్ని అడుగుతారు. రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి నిజంగా ఖాతా యజమాని అని ఇది విశ్వాసాన్ని జోడిస్తుంది.

తిరిగి సారా పాలిన్‌కి: పొరపాటు ఏమిటంటే ఆమె భద్రతా ప్రశ్న/ప్రశ్నలకు సమాధానాలు సులభంగా కనుగొనబడతాయి. ప్రత్యేకించి మీరు చాలా ముఖ్యమైన పబ్లిక్ ఫిగర్ అయినప్పుడు, మీ తల్లి యొక్క మొదటి పేరు, విద్యా చరిత్ర లేదా ఎవరైనా గతంలో ఎక్కడ నివసించారనేది అంత రహస్యం కాదు. నిజానికి, చాలా వరకు దాదాపు ఎవరైనా కనుగొనవచ్చు. సారా విషయంలో ఇది జరిగింది:

హ్యాకర్ డేవిడ్ కెర్నెల్ ఆమె విశ్వవిద్యాలయం మరియు పుట్టిన తేదీ వంటి ఆమె నేపథ్యం గురించి వివరాలను కనుగొనడం ద్వారా పాలిన్ ఖాతాకు యాక్సెస్‌ని పొందారు, ఆపై Yahoo! యొక్క మర్చిపోయిన పాస్‌వర్డ్ రికవరీ ఫీచర్‌ని ఉపయోగించడం ద్వారా.

అన్నింటిలో మొదటిది, ఇది Yahoo! యొక్క రూపకల్పన లోపం! - అటువంటి సాధారణ ప్రశ్నలను పేర్కొనడం ద్వారా, కంపెనీ తప్పనిసరిగా భద్రతా ప్రశ్న యొక్క విలువను మరియు దాని వ్యవస్థ యొక్క రక్షణను నాశనం చేసింది. వాస్తవానికి, ఇమెయిల్ ఖాతా కోసం పాస్‌వర్డ్‌లను రీసెట్ చేయడం ఎల్లప్పుడూ చాలా కష్టం, ఎందుకంటే మీరు యజమానికి ఇమెయిల్ పంపడం ద్వారా యాజమాన్యాన్ని నిరూపించలేరు (రెండవ చిరునామా లేకుండా), కానీ అదృష్టవశాత్తూ ఈ రోజు అటువంటి సిస్టమ్‌ను రూపొందించడం వల్ల ఎక్కువ ఉపయోగాలు లేవు.

భద్రతా ప్రశ్నలకు తిరిగి వెళ్దాం - వినియోగదారు వారి స్వంత ప్రశ్నలను సృష్టించడానికి అనుమతించే ఎంపిక ఉంది. సమస్య ఏమిటంటే ఇది భయంకరమైన స్పష్టమైన ప్రశ్నలకు దారి తీస్తుంది:

ఆకాశం ఏ రంగులో ఉంటుంది?

గుర్తించడానికి భద్రతా ప్రశ్న ఉపయోగించినప్పుడు వ్యక్తులు అసౌకర్యానికి గురి చేసే ప్రశ్నలు ప్రజలు (ఉదాహరణకు, కాల్ సెంటర్‌లో):

క్రిస్మస్ సందర్భంగా నేను ఎవరితో పడుకున్నాను?

లేదా స్పష్టంగా తెలివితక్కువ ప్రశ్నలు:

మీరు "పాస్‌వర్డ్" ను ఎలా ఉచ్చరిస్తారు?

భద్రతా ప్రశ్నల విషయానికి వస్తే, వినియోగదారులు వారి నుండి రక్షించబడాలి! మరో మాటలో చెప్పాలంటే, భద్రతా ప్రశ్న సైట్ ద్వారానే నిర్ణయించబడాలి లేదా ఇంకా మెరుగ్గా అడగబడాలి సిరీస్ వినియోగదారు ఎంచుకోగల భద్రతా ప్రశ్నలు. మరియు ఎంచుకోవడం సులభం కాదు один; వినియోగదారు రెండు లేదా అంతకంటే ఎక్కువ భద్రతా ప్రశ్నలను ఎంచుకోవాలి ఖాతా నమోదు సమయంలో, ఇది రెండవ గుర్తింపు ఛానెల్‌గా ఉపయోగించబడుతుంది. బహుళ ప్రశ్నలను కలిగి ఉండటం ధృవీకరణ ప్రక్రియపై విశ్వాసాన్ని పెంచుతుంది మరియు యాదృచ్ఛికతను జోడించే సామర్థ్యాన్ని కూడా అందిస్తుంది (ఎల్లప్పుడూ ఒకే ప్రశ్నను చూపడం లేదు), అంతేకాకుండా అసలు వినియోగదారు పాస్‌వర్డ్‌ను మరచిపోయిన సందర్భంలో కొంత రిడెండెన్సీని అందిస్తుంది.

మంచి భద్రతా ప్రశ్న ఏమిటి? ఇది అనేక కారకాలచే ప్రభావితమవుతుంది:

1. అది ఉండాలి క్లుప్తంగా - ప్రశ్న స్పష్టంగా మరియు అస్పష్టంగా ఉండాలి.
2. సమాధానం ఉండాలి నిర్దిష్ట — ఒక వ్యక్తి భిన్నంగా సమాధానం చెప్పగల ప్రశ్న మనకు అవసరం లేదు
3. సాధ్యమైన సమాధానాలు ఉండాలి విభిన్న - ఎవరికైనా ఇష్టమైన రంగును అడగడం వల్ల సాధ్యమయ్యే సమాధానాల యొక్క చాలా చిన్న ఉపసమితి లభిస్తుంది
4. Поиск సమాధానం సంక్లిష్టంగా ఉండాలి - సమాధానం సులభంగా కనుగొనగలిగితే ఏ (ఉన్నత స్థానాలలో ఉన్న వ్యక్తులను గుర్తుంచుకోండి), అప్పుడు అతను చెడ్డవాడు
5. సమాధానం ఉండాలి శాశ్వత సమయానికి - మీరు ఎవరికైనా ఇష్టమైన సినిమాని అడిగితే, ఒక సంవత్సరం తర్వాత సమాధానం భిన్నంగా ఉండవచ్చు

ఇది జరిగినప్పుడు, మంచి ప్రశ్నలను అడగడానికి అంకితమైన వెబ్‌సైట్ ఉంది GoodSecurityQuestions.com. కొన్ని ప్రశ్నలు చాలా బాగున్నాయి, మరికొన్ని పైన వివరించిన కొన్ని పరీక్షలలో ఉత్తీర్ణత సాధించవు, ముఖ్యంగా “శోధన సౌలభ్యం” పరీక్ష.

PayPal భద్రతా ప్రశ్నలను ఎలా అమలు చేస్తుందో మరియు ప్రత్యేకించి, ప్రామాణీకరణ కోసం సైట్ చేసే ప్రయత్నాన్ని నేను ప్రదర్శిస్తాను. పైన మేము ప్రాసెస్‌ను ప్రారంభించడానికి పేజీని చూశాము (CAPTCHAతో), మరియు మీరు మీ ఇమెయిల్ చిరునామాను నమోదు చేసి, CAPTCHAని పరిష్కరించిన తర్వాత ఏమి జరుగుతుందో మేము ఇక్కడ చూపుతాము:

ఫలితంగా, వినియోగదారు కింది లేఖను అందుకుంటారు:

ఇప్పటివరకు ప్రతిదీ చాలా సాధారణమైనది, అయితే ఈ రీసెట్ URL వెనుక దాగి ఉన్నది ఇక్కడ ఉంది:

కాబట్టి, భద్రతా ప్రశ్నలు అమలులోకి వస్తాయి. నిజానికి, PayPal మీ క్రెడిట్ కార్డ్ నంబర్‌ను ధృవీకరించడం ద్వారా మీ పాస్‌వర్డ్‌ను రీసెట్ చేయడానికి కూడా మిమ్మల్ని అనుమతిస్తుంది, కాబట్టి అనేక సైట్‌లకు యాక్సెస్ లేని అదనపు ఛానెల్ ఉంది. నేను సమాధానం ఇవ్వకుండా నా పాస్‌వర్డ్‌ని మార్చలేను రెండు భద్రతా ప్రశ్న (లేదా కార్డ్ నంబర్ తెలియకపోవడం). ఎవరైనా నా ఇమెయిల్‌ను హైజాక్ చేసినప్పటికీ, నా గురించి మరికొంత వ్యక్తిగత సమాచారం తెలిస్తే తప్ప వారు నా PayPal ఖాతా పాస్‌వర్డ్‌ని రీసెట్ చేయలేరు. ఏ సమాచారం? PayPal అందించే భద్రతా ప్రశ్న ఎంపికలు ఇక్కడ ఉన్నాయి:

శోధన సౌలభ్యం పరంగా పాఠశాల మరియు ఆసుపత్రి ప్రశ్న కొద్దిగా ఇబ్బందికరంగా ఉండవచ్చు, కానీ మిగిలినవి చాలా చెడ్డవి కావు. అయితే, భద్రతను మెరుగుపరచడానికి, PayPalకి అదనపు గుర్తింపు అవసరం మార్పులు భద్రతా ప్రశ్నలకు సమాధానాలు:

సురక్షిత పాస్‌వర్డ్ రీసెట్‌లకు PayPal ఒక అందమైన ఆదర్శధామ ఉదాహరణ: ఇది బ్రూట్-ఫోర్స్ దాడుల ప్రమాదాన్ని తగ్గించడానికి CAPTCHAను అమలు చేస్తుంది, రెండు భద్రతా ప్రశ్నలు అవసరం, ఆపై సమాధానాలను మార్చడానికి మరొక రకమైన పూర్తిగా భిన్నమైన గుర్తింపు అవసరం-మరియు ఇది వినియోగదారు తర్వాత ఇప్పటికే సైన్ ఇన్ చేసారు. వాస్తవానికి, ఇది ఖచ్చితంగా మేము ఊహించబడింది PayPal నుండి; పెద్ద మొత్తంలో డబ్బుతో వ్యవహరించే ఆర్థిక సంస్థ. ప్రతి పాస్‌వర్డ్ రీసెట్ ఈ దశలను అనుసరించాలని దీనర్థం కాదు-చాలా సమయం ఓవర్‌కిల్-కాని భద్రత తీవ్రమైన వ్యాపారం అయిన సందర్భాల్లో ఇది మంచి ఉదాహరణ.

భద్రతా ప్రశ్న వ్యవస్థ యొక్క సౌలభ్యం ఏమిటంటే, మీరు దీన్ని వెంటనే అమలు చేయకపోతే, వనరుల రక్షణ స్థాయికి అవసరమైతే మీరు దానిని తర్వాత జోడించవచ్చు. దీనికి మంచి ఉదాహరణ ఆపిల్, ఇది ఇటీవలే ఈ విధానాన్ని అమలు చేసింది [2012లో వ్రాసిన వ్యాసం]. నేను నా iPadలో అప్లికేషన్‌ను నవీకరించడం ప్రారంభించిన తర్వాత, నేను ఈ క్రింది అభ్యర్థనను చూశాను:

అప్పుడు నేను అనేక జతల భద్రతా ప్రశ్నలు మరియు సమాధానాలను, అలాగే రెస్క్యూ ఇమెయిల్ చిరునామాను ఎంచుకోగలిగే స్క్రీన్‌ను చూశాను:

PayPal కొరకు, ప్రశ్నలు ముందుగా ఎంపిక చేయబడ్డాయి మరియు వాటిలో కొన్ని చాలా మంచివి:

మూడు ప్రశ్న/జవాబు జతలలో ప్రతి ఒక్కటి విభిన్న సాధ్యమైన ప్రశ్నలను సూచిస్తాయి, కాబట్టి ఖాతాను కాన్ఫిగర్ చేయడానికి చాలా మార్గాలు ఉన్నాయి.

మీ భద్రతా ప్రశ్నకు సమాధానమివ్వడానికి సంబంధించి పరిగణించవలసిన మరో అంశం నిల్వ. డేటాబేస్‌లో సాదా టెక్స్ట్ డేటాబేస్‌ను కలిగి ఉండటం పాస్‌వర్డ్‌కు దాదాపు ఒకే రకమైన బెదిరింపులను కలిగిస్తుంది, అంటే డేటాబేస్‌ను బహిర్గతం చేయడం వల్ల తక్షణమే విలువను వెల్లడిస్తుంది మరియు అప్లికేషన్‌ను ప్రమాదంలో పడేస్తుంది, కానీ అదే భద్రతా ప్రశ్నలను ఉపయోగించి పూర్తిగా భిన్నమైన అప్లికేషన్‌లను కలిగి ఉంటుంది (మళ్ళీ ఉన్నాయి. ఎకై బెర్రీ ప్రశ్న) ఒక ఎంపిక సురక్షిత హ్యాషింగ్ (బలమైన అల్గోరిథం మరియు క్రిప్టోగ్రాఫికల్ యాదృచ్ఛిక ఉప్పు), కానీ చాలా పాస్‌వర్డ్ నిల్వ కేసుల వలె కాకుండా, ప్రతిస్పందన సాదా వచనంగా కనిపించడానికి మంచి కారణం ఉండవచ్చు. ప్రత్యక్ష టెలిఫోన్ ఆపరేటర్ ద్వారా గుర్తింపు ధృవీకరణ అనేది ఒక సాధారణ దృశ్యం. వాస్తవానికి, హ్యాషింగ్ ఈ సందర్భంలో కూడా వర్తిస్తుంది (ఆపరేటర్ క్లయింట్ పేర్కొన్న ప్రతిస్పందనను నమోదు చేయవచ్చు), కానీ చెత్త సందర్భంలో, రహస్య ప్రతిస్పందన కేవలం సిమెట్రిక్ ఎన్‌క్రిప్షన్ అయినప్పటికీ, కొంత స్థాయి క్రిప్టోగ్రాఫిక్ నిల్వలో ఉండాలి. . సారాంశం: రహస్యాలను రహస్యాలుగా పరిగణించండి!

భద్రతా ప్రశ్నలు మరియు సమాధానాల యొక్క చివరి అంశం ఏమిటంటే అవి సోషల్ ఇంజనీరింగ్‌కు ఎక్కువ హాని కలిగిస్తాయి. వేరొకరి ఖాతాకు నేరుగా పాస్‌వర్డ్‌ను సంగ్రహించడానికి ప్రయత్నించడం ఒక విషయం, కానీ దాని నిర్మాణం గురించి సంభాషణను ప్రారంభించడం (ఒక ప్రముఖ భద్రతా ప్రశ్న) పూర్తిగా భిన్నంగా ఉంటుంది. వాస్తవానికి, మీరు ఎవరితోనైనా వారి జీవితంలోని అనేక అంశాల గురించి బాగా కమ్యూనికేట్ చేయవచ్చు, అది అనుమానం కలిగించకుండా రహస్య ప్రశ్నను అడగవచ్చు. వాస్తవానికి, భద్రతా ప్రశ్న యొక్క ప్రధాన విషయం ఏమిటంటే ఇది ఒకరి జీవిత అనుభవానికి సంబంధించినది, కాబట్టి ఇది చిరస్మరణీయమైనది మరియు ఇక్కడే సమస్య ఉంది - ప్రజలు తమ జీవిత అనుభవాల గురించి మాట్లాడటానికి ఇష్టపడతారు! మీరు అలాంటి భద్రతా ప్రశ్న ఎంపికలను ఎంచుకుంటే మాత్రమే, దీని గురించి మీరు చేయగలిగేది చాలా తక్కువ తక్కువ బహుశా సోషల్ ఇంజనీరింగ్ ద్వారా తీసివేయబడవచ్చు.

[కొనసాగుతుంది.]

ప్రకటనల హక్కులపై

VDSina నమ్మదగిన అందిస్తుంది రోజువారీ చెల్లింపుతో సర్వర్లు, ప్రతి సర్వర్ 500 మెగాబిట్ల ఇంటర్నెట్ ఛానెల్‌కు కనెక్ట్ చేయబడింది మరియు ఉచితంగా DDoS దాడుల నుండి రక్షించబడుతుంది!

మూలం: www.habr.com