రెండు-కారకాల ప్రమాణీకరణ
మీరు చదివిన ప్రతిదీ
"నాలెడ్జ్" అనేది ఒక ప్రమాణీకరణ కారకంగా పరిగణించబడుతుంది; రెండు ఇతర సాధారణ కారకాలు మీ దగ్గర ఉన్నది, ఉదాహరణకు, భౌతిక పరికరం మరియు నువ్వు ఎవరువేలిముద్రలు లేదా కంటి రెటీనా వంటివి.
చాలా సందర్భాలలో, జీవసంబంధ గుర్తింపును నిర్వహించడం సాధ్యం కాదు, ప్రత్యేకించి మేము వెబ్ అప్లికేషన్ల భద్రత గురించి మాట్లాడుతున్నప్పుడు, రెండు-కారకాల ప్రమాణీకరణతో (రెండు కారకాల ప్రమాణీకరణ, 2FA), రెండవ లక్షణం సాధారణంగా ఉపయోగించబడుతుంది - “మీ దగ్గర ఉన్నది”. ఈ రెండవ అంశంలో ఒక ప్రసిద్ధ వైవిధ్యం భౌతిక టోకెన్, ఉదాహరణకు,
భౌతిక టోకెన్ తరచుగా కార్పొరేట్ VPNలు మరియు ఆర్థిక సేవలలో ప్రమాణీకరణ కోసం ఉపయోగించబడుతుంది. సేవను ప్రామాణీకరించడానికి, మీరు PINతో కలిపి టోకెన్లో పాస్వర్డ్ మరియు కోడ్ రెండింటినీ ఉపయోగించాలి (ఇది తరచుగా మారుతుంది). సిద్ధాంతపరంగా, దాడి చేసే వ్యక్తిని గుర్తించడానికి, అతను తప్పనిసరిగా పాస్వర్డ్ను తెలుసుకోవాలి, టోకెన్ను కలిగి ఉండాలి మరియు టోకెన్ యొక్క పిన్ను కూడా తెలుసుకోవాలి. పాస్వర్డ్ రీసెట్ దృష్టాంతంలో, పాస్వర్డ్ స్పష్టంగా తెలియదు, అయితే టోకెన్ను కలిగి ఉండటం ఖాతా యాజమాన్యాన్ని నిరూపించడానికి ఉపయోగించవచ్చు. వాస్తవానికి, ఏదైనా భద్రతా అమలులో వలె,
ఈ విధానం యొక్క ప్రధాన సమస్యలలో ఒకటి అమలు ఖర్చు మరియు లాజిస్టిక్స్; మేము ప్రతి క్లయింట్కు భౌతిక పరికరాలను అందజేయడం మరియు వారికి కొత్త ప్రక్రియను బోధించడం గురించి మాట్లాడుతున్నాము. అదనంగా, వినియోగదారులు వారితో పరికరాన్ని కలిగి ఉండాలి, ఇది భౌతిక టోకెన్తో ఎల్లప్పుడూ ఉండదు. SMSను ఉపయోగించి ప్రమాణీకరణ యొక్క రెండవ కారకాన్ని అమలు చేయడం మరొక ఎంపిక, ఇది 2FA విషయంలో రీసెట్ ప్రక్రియను నిర్వహిస్తున్న వ్యక్తి ఖాతా యజమాని యొక్క మొబైల్ ఫోన్ని కలిగి ఉన్నట్లు నిర్ధారణగా ఉపయోగపడుతుంది. Google దీన్ని ఎలా చేస్తుందో ఇక్కడ ఉంది:
మీరు కూడా ఎనేబుల్ చేయాలి
ఖాతా యొక్క ఇమెయిల్ చిరునామాను గుర్తించిన తర్వాత, Google 2FA ప్రారంభించబడిందని నిర్ధారిస్తుంది మరియు మేము ధృవీకరణను ఉపయోగించి ఖాతాను రీసెట్ చేయవచ్చు, ఇది ఖాతా యజమాని మొబైల్ ఫోన్కు SMS ద్వారా పంపబడుతుంది:
ఇప్పుడు మనం రీసెట్ ప్రాసెస్ యొక్క ప్రారంభాన్ని ఎంచుకోవాలి:
ఈ చర్య నమోదిత చిరునామాకు ఇమెయిల్ పంపుతుంది:
ఈ ఇమెయిల్ రీసెట్ URLని కలిగి ఉంది:
రీసెట్ URLని యాక్సెస్ చేస్తున్నప్పుడు, ఒక SMS పంపబడుతుంది మరియు వెబ్సైట్ దాని కోసం అడుగుతుంది:
ఇక్కడ SMS ఉంది:
దీన్ని బ్రౌజర్లో టైప్ చేసిన తర్వాత, మేము క్లాసిక్ పాస్వర్డ్ రీసెట్ టెరిటరీకి తిరిగి వచ్చాము:
ఇది బహుశా కొంచెం వెర్బోస్గా అనిపించవచ్చు, కానీ రీసెట్ చేస్తున్న వ్యక్తి ఖాతాదారు యొక్క ఇమెయిల్ చిరునామా మరియు మొబైల్ ఫోన్కి యాక్సెస్ కలిగి ఉన్నారని ఫారమ్ నిర్ధారిస్తుంది. కానీ కేవలం ఇమెయిల్ ద్వారా మీ పాస్వర్డ్ను రీసెట్ చేయడం కంటే ఇది తొమ్మిది రెట్లు ఎక్కువ సురక్షితంగా ఉంటుంది. అయితే, సమస్యలు ఉన్నాయి ...
సమస్య స్మార్ట్ఫోన్లకు సంబంధించినది. దిగువ చూపిన పరికరం ప్రమాణీకరణ యొక్క ఒక కారకాన్ని మాత్రమే ధృవీకరించగలదు - ఇది SMSని అందుకోగలదు, కానీ ఇమెయిల్ కాదు:
అయితే, ఈ పరికరం SMSని అందుకోగలదు и పాస్వర్డ్ రీసెట్ ఇమెయిల్లను స్వీకరించండి:
సమస్య ఏమిటంటే, మేము ధృవీకరణ యొక్క మొదటి అంశంగా ఇమెయిల్ను మరియు రెండవదిగా SMS (లేదా టోకెన్-ఉత్పత్తి చేసే అప్లికేషన్ కూడా) పరిగణిస్తాము, కానీ నేడు అవి ఒక పరికరంలో మిళితం చేయబడ్డాయి. అయితే, దీని అర్థం ఎవరైనా మీ స్మార్ట్ఫోన్కు వస్తే, మేము మళ్లీ అదే ఛానెల్కు తిరిగి వచ్చామని ఈ సౌలభ్యం వస్తుంది; ఈ రెండవ అంశం "మీ దగ్గర ఉన్నది" అంటే మీకు మొదటి అంశం కూడా ఉందని అర్థం. మరియు ఫోన్లో ఏదైనా పిన్ ఉంటే, అది ఒకే నాలుగు అంకెల పిన్ ద్వారా రక్షించబడుతుంది. и అతను నిరోధించబడ్డాడు.
అవును, Google యొక్క 2FA ఫీచర్ ఖచ్చితంగా అదనపు రక్షణను అందిస్తుంది, కానీ ఇది ఫూల్ప్రూఫ్ కాదు మరియు ఇది ఖచ్చితంగా రెండు పూర్తిగా స్వయంప్రతిపత్తి గల ఛానెల్లపై ఆధారపడదు.
వినియోగదారు పేరు ద్వారా రీసెట్ vs ఇమెయిల్ చిరునామా ద్వారా రీసెట్ చేయండి
నేను ఇమెయిల్ చిరునామా ద్వారా రీసెట్ చేయడానికి మాత్రమే అనుమతించాలా? లేదా వినియోగదారు పేరు ద్వారా కూడా రీసెట్ చేయగలరా? వినియోగదారు పేరు ద్వారా రీసెట్ చేయడంలో సమస్య ఏమిటంటే, చెల్లని వినియోగదారు పేరు గురించి వినియోగదారుకు తెలియజేయడానికి మార్గం లేదు, బహిర్గతం చేయకుండా ఆ పేరుతో మరొకరికి ఖాతా ఉండవచ్చు. మునుపటి విభాగంలో, ఇమెయిల్ రీసెట్ ఆ ఇమెయిల్ యొక్క నిజమైన యజమాని సిస్టమ్లో వారి ఉనికిని బహిరంగంగా బహిర్గతం చేయకుండా ఎల్లప్పుడూ అభిప్రాయాన్ని స్వీకరిస్తారని నిర్ధారిస్తుంది. ఇది కేవలం వినియోగదారు పేరుతో చేయలేము.
కాబట్టి చిన్న సమాధానం: ఇమెయిల్ మాత్రమే. మీరు కేవలం వినియోగదారు పేరుతో రీసెట్ చేయడానికి ప్రయత్నిస్తే, అప్పుడు ఏమి జరిగిందో వినియోగదారు ఆశ్చర్యపోయే సందర్భాలు ఉంటాయి, లేదా మీరు ఖాతాల ఉనికిని బహిర్గతం చేస్తారు. అవును, ఇది కేవలం వినియోగదారు పేరు మాత్రమే, ఇమెయిల్ చిరునామా కాదు మరియు అవును, ఎవరైనా ఏదైనా (అందుబాటులో ఉన్న) వినియోగదారు పేరుని ఎంచుకోవచ్చు, కానీ వినియోగదారుల పేరును మళ్లీ ఉపయోగించాలనే ధోరణి కారణంగా మీరు పరోక్షంగా ఖాతా యజమానులను బహిర్గతం చేసే మంచి అవకాశం ఇప్పటికీ ఉంది.
ఎవరైనా తమ వినియోగదారు పేరును మరచిపోయినప్పుడు ఏమి జరుగుతుంది? వినియోగదారు పేరు వెంటనే ఇమెయిల్ చిరునామా కాదని ఊహిస్తే (ఇది తరచుగా జరుగుతుంది), అప్పుడు ప్రక్రియ పాస్వర్డ్ రీసెట్ ఎలా ప్రారంభమవుతుందో అదే విధంగా ఉంటుంది - ఇమెయిల్ చిరునామాను నమోదు చేసి, ఆపై దాని ఉనికిని బహిర్గతం చేయకుండా ఈ చిరునామాకు సందేశాన్ని పంపండి. ఒకే తేడా ఏమిటంటే, ఈసారి సందేశంలో వినియోగదారు పేరు మాత్రమే ఉంది మరియు పాస్వర్డ్ రీసెట్ URL కాదు. అది గాని, లేదా ఈ చిరునామాకు ఖాతా లేదని ఇమెయిల్ చెబుతుంది.
ఇమెయిల్ చిరునామాల గుర్తింపు ధృవీకరణ మరియు ఖచ్చితత్వం
పాస్వర్డ్లను రీసెట్ చేయడంలో కీలకమైన అంశం, మరియు బహుశా కూడా చాలా రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి యొక్క గుర్తింపును ధృవీకరించడం ప్రధాన అంశం. ఇది నిజంగా ఖాతా యొక్క నిజమైన యజమానినా, లేదా ఎవరైనా దీన్ని హ్యాక్ చేయడానికి ప్రయత్నిస్తున్నారా లేదా యజమానికి అసౌకర్యం కలిగిస్తున్నారా?
సహజంగానే, ఇమెయిల్ అత్యంత అనుకూలమైన మరియు అత్యంత సాధారణ గుర్తింపు ధృవీకరణ ఛానెల్. ఇది ఫూల్ప్రూఫ్ కాదు మరియు గుర్తింపుపై అధిక విశ్వాసం అవసరం అయితే (అందుకే 2FA ఉపయోగించబడుతుంది) ఖాతా యజమాని చిరునామాలో మెయిల్ను స్వీకరించడం సరిపోదు, అయితే ఇది దాదాపు ఎల్లప్పుడూ ప్రారంభ స్థానం. రీసెట్ ప్రక్రియ.
విశ్వాసాన్ని అందించడంలో ఇమెయిల్ పాత్రను పోషించబోతున్నట్లయితే, ఇమెయిల్ చిరునామా సరిగ్గా ఉందని నిర్ధారించుకోవడం మొదటి దశ. ఎవరైనా గుర్తుతో పొరపాటు చేస్తే, అప్పుడు, సహజంగానే, రీసెట్ ప్రారంభించబడదు. నమోదు సమయంలో ఇమెయిల్ ధృవీకరణ ప్రక్రియ చిరునామా యొక్క ఖచ్చితత్వాన్ని ధృవీకరించడానికి నమ్మదగిన మార్గం. మనమందరం దీన్ని చర్యలో చూశాము: మీరు సైన్ అప్ చేసినప్పుడు, క్లిక్ చేయడానికి మీకు ప్రత్యేకమైన URLతో ఇమెయిల్ పంపబడుతుంది, ఇది ఆ ఇమెయిల్ ఖాతాకు మీరే నిజమైన యజమాని అని నిర్ధారిస్తుంది. ఈ ప్రక్రియ పూర్తయ్యే వరకు లాగిన్ చేయలేకపోవడం చిరునామాను ధృవీకరించడానికి ప్రేరణ ఉందని నిర్ధారిస్తుంది.
భద్రతకు సంబంధించిన అనేక ఇతర అంశాల మాదిరిగానే, ఈ మోడల్ వినియోగదారు గుర్తింపుపై విశ్వాసానికి సంబంధించి పెరిగిన భద్రతను అందించడానికి బదులుగా వినియోగాన్ని తగ్గిస్తుంది. వినియోగదారు రిజిస్ట్రేషన్ను అత్యంత విలువైనదిగా భావించే సైట్కు ఇది ఆమోదయోగ్యమైనది కావచ్చు మరియు ప్రక్రియలో (చెల్లింపు సేవలు, బ్యాంకింగ్ మొదలైనవి) సంతోషంగా మరొక దశను జోడిస్తుంది, అయితే వినియోగదారు ఖాతాని "ఒకటి-"గా భావించినట్లయితే అలాంటి విషయాలు వినియోగదారుని తిప్పికొట్టవచ్చు. సమయం” మరియు ఉపయోగిస్తుంది , ఉదాహరణకు, పోస్ట్పై వ్యాఖ్యానించడానికి ఒక సాధనంగా.
రీసెట్ ప్రక్రియను ఎవరు ప్రారంభించారో గుర్తించడం
స్పష్టంగా, రీసెట్ ఫీచర్ను హానికరంగా ఉపయోగించడానికి కారణాలు ఉన్నాయి మరియు దాడి చేసేవారు దీన్ని అనేక రకాలుగా ఉపయోగించవచ్చు. అభ్యర్థన యొక్క మూలాన్ని ధృవీకరించడంలో సహాయపడటానికి మేము ఉపయోగించే ఒక సాధారణ ఉపాయం (ఈ ట్రిక్ సాధారణంగా వర్క్స్) అనేది అభ్యర్థి యొక్క IP చిరునామాను రీసెట్ చేసే ప్రతిపాదనతో లేఖకు అదనంగా ఉంటుంది. ఇది గ్రహీతకు సరఫరా చేస్తుంది కొన్ని అభ్యర్థన యొక్క మూలాన్ని గుర్తించడానికి సమాచారం.
నేను ప్రస్తుతం ASafaWebలో నిర్మిస్తున్న రీసెట్ ఫంక్షన్ నుండి ఇక్కడ ఒక ఉదాహరణ ఉంది:
"మరింత కనుగొనండి" లింక్ వినియోగదారుని సైట్కు తీసుకువెళుతుంది
వాస్తవానికి, వారి గుర్తింపును దాచాలనుకునే ఎవరైనా వారి నిజమైన IP చిరునామాను అస్పష్టం చేయడానికి అనేక మార్గాలను కలిగి ఉంటారు, కానీ అభ్యర్థించిన వ్యక్తి యొక్క పాక్షిక గుర్తింపును జోడించడానికి ఇది అనుకూలమైన మార్గం. అత్యంత కొన్ని సందర్భాల్లో, పాస్వర్డ్ రీసెట్ అభ్యర్థనను ఎవరు పూర్తి చేస్తారనే దాని గురించి ఇది మీకు సరైన ఆలోచనను ఇస్తుంది.
ఇమెయిల్ మార్పు నోటిఫికేషన్
ఈ పోస్ట్ ఒక థీమ్తో విస్తరించి ఉంది - కమ్యూనికేషన్; హానికరమైన ఉద్దేశ్యంతో ఉపయోగించబడే ఏదైనా బహిర్గతం చేయకుండా, ప్రక్రియ యొక్క ప్రతి దశలో ఏమి జరుగుతుందో సాధ్యమైనంతవరకు ఖాతా యజమానికి తెలియజేయండి. పాస్వర్డ్ వాస్తవానికి మారిన పరిస్థితికి కూడా ఇది వర్తిస్తుంది - యజమానికి తెలియజేయండి!
పాస్వర్డ్ను మార్చడానికి కారణాలు రెండు మూలాలు కావచ్చు:
- వినియోగదారు కొత్త పాస్వర్డ్ని కోరుకుంటున్నందున లాగిన్ అయిన తర్వాత పాస్వర్డ్ను మార్చండి
- లాగిన్ లేకుండా పాస్వర్డ్ని రీసెట్ చేయండి ఎందుకంటే వినియోగదారు దాన్ని మర్చిపోయారు
ఈ పోస్ట్ ఎక్కువగా రీసెట్ చేయడం గురించి అయితే, మొదటి దానికి తెలియజేయడం వలన నిజమైన యజమానికి తెలియకుండా ఎవరైనా పాస్వర్డ్ను మార్చే ప్రమాదాన్ని తగ్గిస్తుంది. ఇది ఎలా జరుగుతుంది? చాలా సాధారణ దృష్టాంతం ఏమిటంటే, నిజమైన యజమాని యొక్క పాస్వర్డ్ను పొందడం (మరొక మూలం నుండి లీక్ చేయబడిన పాస్వర్డ్, కీలాగింగ్ ద్వారా పొందిన పాస్వర్డ్, పాస్వర్డ్ను సులభంగా ఊహించడం మొదలైనవి), దాడి చేసే వ్యక్తి దానిని మార్చాలని నిర్ణయించుకుంటాడు, తద్వారా యజమానిని నిరోధించడం. ఇమెయిల్ నోటిఫికేషన్ లేకుండా, పాస్వర్డ్ మార్పు గురించి నిజమైన యజమానికి తెలియదు.
వాస్తవానికి, పాస్వర్డ్ రీసెట్ చేయబడిన సందర్భంలో, యజమాని ఇప్పటికే స్వయంగా ప్రాసెస్ను ప్రారంభించి ఉండాలి (లేదా పైన వివరించిన గుర్తింపు ధృవీకరణ సాధనాలను దాటవేయాలి), కాబట్టి మార్చడం ఉండకూడదు అతనికి ఆశ్చర్యం కలిగిస్తుంది, అయితే, ఇమెయిల్ నిర్ధారణ సానుకూల అభిప్రాయం మరియు అదనపు ధృవీకరణగా ఉంటుంది. అదనంగా, ఇది పైన వివరించిన దృశ్యంతో ఐక్యతను అందిస్తుంది.
ఓహ్, అది ఇంకా స్పష్టంగా తెలియకపోతే - మెయిల్ ద్వారా కొత్త పాస్వర్డ్ని పంపవద్దు! ఇది కొంతమందికి నవ్వు తెప్పించవచ్చు, కానీ
లాగ్లు, లాగ్లు, లాగ్లు మరియు మరికొన్ని లాగ్లు
పాస్వర్డ్ రీసెట్ ఫీచర్ దాడి చేసేవారికి ఆకర్షణీయంగా ఉంటుంది: దాడి చేసే వ్యక్తి మరొక వ్యక్తి ఖాతాకు యాక్సెస్ను పొందాలనుకుంటాడు లేదా ఖాతా/సిస్టమ్ యజమానికి అసౌకర్యాన్ని కలిగించవచ్చు. పైన వివరించిన అనేక అభ్యాసాలు దుర్వినియోగం యొక్క అవకాశాన్ని తగ్గిస్తాయి, కానీ దానిని నిరోధించవు మరియు అవి ఒక లక్షణాన్ని అనాలోచిత మార్గంలో ఉపయోగించడానికి ప్రయత్నించకుండా వ్యక్తులను ఖచ్చితంగా ఆపవు.
హానికరమైన ప్రవర్తనను గుర్తించడం కోసం, లాగింగ్ అనేది పూర్తిగా అమూల్యమైన అభ్యాసం మరియు నా ఉద్దేశ్యం చాలా వివరణాత్మక లాగింగ్. విఫలమైన లాగిన్ ప్రయత్నాలను క్యాప్చర్ చేయడం, పాస్వర్డ్లను రీసెట్ చేయడం, పాస్వర్డ్లను మార్చడం (అంటే వినియోగదారు ఇప్పటికే లాగిన్ అయినప్పుడు) మరియు ఏమి జరుగుతుందో అర్థం చేసుకోవడంలో మీకు సహాయపడే ఏదైనా గురించి; ఇది భవిష్యత్తులో చాలా ఉపయోగకరంగా ఉంటుంది. వ్యక్తిగతంగా కూడా లాగ్లలో పరిష్కరించండి భాగాలు ప్రాసెస్, ఉదాహరణకు, ఒక మంచి రీసెట్ ఫీచర్లో వెబ్సైట్ ద్వారా రీసెట్ను ప్రారంభించడం (రీసెట్ అభ్యర్థనను క్యాప్చర్ చేయడం మరియు సరికాని వినియోగదారు పేరు లేదా ఇమెయిల్తో లాగిన్ ప్రయత్నాలను క్యాప్చర్ చేయడం), రీసెట్ URLలో వెబ్సైట్ సందర్శనను క్యాప్చర్ చేయడం (తప్పని వాడే ప్రయత్నాలతో సహా. టోకెన్), ఆపై భద్రతా ప్రశ్నకు సమాధానం యొక్క విజయం లేదా వైఫల్యాన్ని లాగ్ చేయండి.
నేను లాగింగ్ గురించి మాట్లాడేటప్పుడు, పేజీ లోడ్ చేయబడిందనే వాస్తవాన్ని రికార్డ్ చేయడం మాత్రమే కాకుండా, వీలైనంత ఎక్కువ సమాచారాన్ని సేకరించడం కూడా అని నా ఉద్దేశ్యం. అది గోప్యంగా లేకుంటే. అబ్బాయిలు, దయచేసి పాస్వర్డ్లను లాగ్ చేయవద్దు! లాగ్లు అధీకృత వినియోగదారు యొక్క గుర్తింపును నమోదు చేయాలి (అతను ఉంటే అతనికి అధికారం ఉంటుంది మార్పులు ఇప్పటికే ఉన్న పాస్వర్డ్ లేదా రీసెట్ చేయడానికి ప్రయత్నిస్తున్నారు వేరొకరి పాస్వర్డ్ లాగిన్ అయిన తర్వాత), అది ప్రయత్నించే ఏవైనా వినియోగదారు పేర్లు లేదా ఇమెయిల్ చిరునామాలు, అలాగే అది ఉపయోగించడానికి ప్రయత్నించే ఏదైనా రీసెట్ టోకెన్లు. కానీ IP చిరునామాలు మరియు వీలైతే, హెడర్లను కూడా అభ్యర్థించడం వంటి వాటిని లాగింగ్ చేయడం కూడా విలువైనదే. ఇది పునర్నిర్మించటమే కాకుండా మిమ్మల్ని అనుమతిస్తుంది ఆ వినియోగదారు (లేదా దాడి చేసేవారు) చేయడానికి ప్రయత్నిస్తున్నారు, కానీ కూడా ఎవరు అతను అలాంటివాడు.
ఇతర ప్రదర్శకులకు బాధ్యతను అప్పగించడం
ఇవన్నీ భారీ మొత్తంలో పనిని సూచిస్తాయని మీరు అనుకుంటే, మీరు ఒంటరిగా లేరు. వాస్తవానికి, ఖాతాలతో పనిచేయడానికి విశ్వసనీయ వ్యవస్థను నిర్మించడం అంత తేలికైన పని కాదు. ఇది సాంకేతికంగా కష్టమని కాదు, ఇందులో చాలా ఫీచర్లు ఉన్నాయి. ఇది రీసెట్ చేయడం గురించి మాత్రమే కాదు, సైన్ అప్ చేయడం, పాస్వర్డ్లను సురక్షితంగా నిల్వ చేయడం, అనేక చెడ్డ లాగిన్ ప్రయత్నాలను నిర్వహించడం మరియు మొదలైన వాటి యొక్క మొత్తం ప్రక్రియ ఉంది. అయినప్పటికీ
నేడు, చాలా మంది మూడవ పక్ష విక్రేతలు ఉన్నారు, వారు దాని నుండి బాధను తీసివేసి, అన్నింటినీ ఒకే నిర్వహించబడే సేవగా విశదీకరించారు. ఈ సేవల్లో OpenID, OAuth మరియు Facebook కూడా ఉన్నాయి. కొంతమంది
ఎటువంటి సందేహం లేకుండా, OpenID వంటి సేవ చాలా డెవలపర్ సమస్యలను పరిష్కరిస్తుంది, అయితే ఇది కొత్త వాటిని జోడిస్తుంది. వారికి ఏదైనా పాత్ర ఉందా? అవును, కానీ మేము ప్రామాణీకరణ సర్వీస్ ప్రొవైడర్ల సేవలను పెద్దఎత్తున ఉపయోగించడాన్ని చూడటం లేదని స్పష్టమైంది. బ్యాంకులు, ఎయిర్లైన్లు మరియు స్టోర్లు కూడా తమ స్వంత ప్రమాణీకరణ విధానాన్ని అమలు చేస్తాయి మరియు దీనికి చాలా మంచి కారణాలు ఉన్నాయి.
హానికరమైన రీసెట్
పైన పేర్కొన్న ప్రతి ఉదాహరణలో ముఖ్యమైన అంశం ఏమిటంటే, పాత పాస్వర్డ్ నిరుపయోగంగా మాత్రమే పరిగణించబడుతుంది ఖాతా యజమాని యొక్క గుర్తింపును నిర్ధారించిన తర్వాత. ఇది ముఖ్యమైనది ఎందుకంటే ఖాతాను రీసెట్ చేయగలిగితే కు గుర్తింపు తనిఖీలు, ఇది అన్ని రకాల హానికరమైన కార్యకలాపాలకు అవకాశాన్ని అందిస్తుంది.
ఇక్కడ ఒక ఉదాహరణ ఉంది: ఎవరైనా వేలం సైట్లో వేలం వేస్తున్నారు మరియు బిడ్డింగ్ ప్రక్రియ ముగిసే సమయానికి, వారు రీసెట్ ప్రక్రియను ప్రారంభించడం ద్వారా పోటీదారులను నిరోధించారు, తద్వారా వారిని బిడ్డింగ్ నుండి తొలగిస్తారు. సహజంగానే, పేలవంగా రూపొందించబడిన రీసెట్ ఫంక్షన్ దుర్వినియోగం చేయబడితే, అది తీవ్రమైన ప్రతికూల ఫలితాలకు దారి తీస్తుంది. చెల్లని లాగిన్ ప్రయత్నాలతో ఖాతాలను బ్లాక్ చేయడం కూడా ఇదే పరిస్థితి అని గమనించాలి, అయితే ఇది మరొక పోస్ట్కు సంబంధించిన అంశం.
నేను పైన చెప్పినట్లుగా, మీరు అనామక వినియోగదారులకు వారి ఇమెయిల్ చిరునామాను తెలుసుకోవడం ద్వారా ఏదైనా ఖాతా యొక్క పాస్వర్డ్ను రీసెట్ చేయగల సామర్థ్యాన్ని ఇస్తే, సేవా దాడిని తిరస్కరించడానికి ఇది సిద్ధంగా ఉన్న పరిస్థితి. ఇది ఒకటి కాకపోవచ్చు
బలహీనమైన లింక్
ఒకే ఖాతాను రక్షించే దృక్కోణం నుండి, పైన వ్రాసిన ప్రతిదీ చాలా బాగుంది, కానీ మీరు రక్షిస్తున్న ఖాతాను చుట్టుముట్టే పర్యావరణ వ్యవస్థను మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి. నేను మీకు ఒక ఉదాహరణ ఇస్తాను:
ASafaWeb AppHarbor అందించిన అద్భుతమైన సేవలో హోస్ట్ చేయబడింది. హోస్టింగ్ ఖాతాను రీసెట్ చేసే ప్రక్రియ క్రింది విధంగా ఉంటుంది:
స్టేజ్ 1:
స్టేజ్ 2:
స్టేజ్ 3:
స్టేజ్ 4:
మునుపటి మొత్తం సమాచారాన్ని చదివిన తర్వాత, ఆదర్శవంతమైన ప్రపంచంలో ఏ అంశాలను మనం కొద్దిగా భిన్నంగా అమలు చేస్తామో అర్థం చేసుకోవడం ఇప్పటికే సులభం. అయితే, నేను ఇక్కడ చెబుతున్నదేమిటంటే, నేను AppHarborలో ASafaWeb వంటి సైట్ను ప్రచురించి, ఆపై గొప్ప భద్రతా ప్రశ్నలు మరియు సమాధానాలతో ముందుకు వస్తే, రెండవ ప్రామాణీకరణ కారకాన్ని జోడించి, మిగిలిన వాటిని నిబంధనల ప్రకారం చేస్తే, అది మారదు. మొత్తం ప్రక్రియలో బలహీనమైన లింక్ అన్నింటినీ విచ్ఛిన్నం చేయగలదనే వాస్తవం. ఎవరైనా నా సమాచారాన్ని ఉపయోగించి AppHarborలో విజయవంతంగా ప్రామాణీకరించినట్లయితే, అతను ఏదైనా ASafaWeb ఖాతా కోసం పాస్వర్డ్ను తనకు అవసరమైన దానికి మార్చగలడు!
విషయమేమిటంటే, భద్రతా అమలు యొక్క బలాన్ని సమగ్రంగా పరిగణించాలి: సిస్టమ్లోని ప్రతి ఎంట్రీ పాయింట్ వద్ద బెదిరింపులు మోడల్ చేయబడాలి, ఇది యాప్హార్బర్లోకి లాగిన్ చేయడం వంటి ఉపరితల ప్రక్రియ అయినప్పటికీ. ASafaWeb పాస్వర్డ్ రీసెట్ ప్రాసెస్లో నేను ఎంత ప్రయత్నం చేయాలనుకుంటున్నానో ఇది నాకు మంచి ఆలోచన ఇస్తుంది.
అన్నిటినీ కలిపి చూస్తే
ఈ పోస్ట్ చాలా సమాచారాన్ని కలిగి ఉంది, కాబట్టి నేను దానిని సాధారణ దృశ్యమాన పథకంలో కేంద్రీకరించాలనుకుంటున్నాను:
మీరు ఈ అంశాలలో ప్రతిదాని యొక్క అత్యంత వివరణాత్మక లాగింగ్ చేయాలని గుర్తుంచుకోండి. అంతే, ఇది సులభం!
ఫలితాలు
నా పోస్ట్ సమగ్రంగా ఉన్నట్లు అనిపిస్తుంది, అయినప్పటికీ నేను చేసిన అదనపు అంశాలు చాలా ఉన్నాయి కాలేదు దానిలో చేర్చండి, కానీ సంక్షిప్తత కోసం దీనికి వ్యతిరేకంగా నిర్ణయించారు: రెస్క్యూ ఇమెయిల్ చిరునామా పాత్ర, మీ ఖాతాతో అనుబంధించబడిన ఇమెయిల్కి మీరు యాక్సెస్ను కోల్పోయే పరిస్థితి (ఉదాహరణకు, మీరు మీ ఉద్యోగాన్ని విడిచిపెట్టారు) మరియు మొదలైనవి. నేను ఇంతకు ముందు చెప్పినట్లుగా, రీసెట్ ఫంక్షన్ అంత క్లిష్టంగా లేదు, దానిపై అనేక విభిన్న అభిప్రాయాలు మాత్రమే ఉన్నాయి.
రీసెట్ అంత క్లిష్టంగా లేనప్పటికీ, ఇది తరచుగా తప్పుగా అమలు చేయబడుతుంది. పైన మేము అమలు ఎక్కడ ఉదాహరణలు ఒక జంట చూసింది చెయ్యవచ్చు సమస్యలకు దారి తీస్తుంది మరియు తప్పు రీసెట్ చేసిన అనేక సందర్భాలు ఉన్నాయి నిజంగా సమస్యలకు కారణమైంది. తాజాగా అది తేలింది
కాబట్టి మీ రీసెట్ ఫంక్షన్లతో జాగ్రత్తగా ఉండండి,
ప్రకటనల హక్కులపై
VDSina చవకైన అందిస్తుంది
మూలం: www.habr.com