సురక్షిత పాస్‌వర్డ్ రీసెట్ గురించి మీరు ఎప్పుడైనా తెలుసుకోవాలనుకున్న ప్రతిదీ. పార్ట్ 2

రెండు-కారకాల ప్రమాణీకరణ

మీరు చదివిన ప్రతిదీ మొదటి భాగం అనే వాస్తవం ఆధారంగా గుర్తింపుకు సంబంధించినది అభ్యర్థికి తెలుసు. అతనికి అతని ఇమెయిల్ చిరునామా తెలుసు, దానిని ఎలా యాక్సెస్ చేయాలో తెలుసు (అంటే అతని ఇమెయిల్ పాస్‌వర్డ్ తెలుసు) మరియు భద్రతా ప్రశ్నలకు సమాధానాలు తెలుసు.

"నాలెడ్జ్" అనేది ఒక ప్రమాణీకరణ కారకంగా పరిగణించబడుతుంది; రెండు ఇతర సాధారణ కారకాలు మీ దగ్గర ఉన్నది, ఉదాహరణకు, భౌతిక పరికరం మరియు నువ్వు ఎవరువేలిముద్రలు లేదా కంటి రెటీనా వంటివి.

చాలా సందర్భాలలో, జీవసంబంధ గుర్తింపును నిర్వహించడం సాధ్యం కాదు, ప్రత్యేకించి మేము వెబ్ అప్లికేషన్‌ల భద్రత గురించి మాట్లాడుతున్నప్పుడు, రెండు-కారకాల ప్రమాణీకరణతో (రెండు కారకాల ప్రమాణీకరణ, 2FA), రెండవ లక్షణం సాధారణంగా ఉపయోగించబడుతుంది - “మీ దగ్గర ఉన్నది”. ఈ రెండవ అంశంలో ఒక ప్రసిద్ధ వైవిధ్యం భౌతిక టోకెన్, ఉదాహరణకు, RSA సురక్షిత ID:

భౌతిక టోకెన్ తరచుగా కార్పొరేట్ VPNలు మరియు ఆర్థిక సేవలలో ప్రమాణీకరణ కోసం ఉపయోగించబడుతుంది. సేవను ప్రామాణీకరించడానికి, మీరు PINతో కలిపి టోకెన్‌లో పాస్‌వర్డ్ మరియు కోడ్ రెండింటినీ ఉపయోగించాలి (ఇది తరచుగా మారుతుంది). సిద్ధాంతపరంగా, దాడి చేసే వ్యక్తిని గుర్తించడానికి, అతను తప్పనిసరిగా పాస్‌వర్డ్‌ను తెలుసుకోవాలి, టోకెన్‌ను కలిగి ఉండాలి మరియు టోకెన్ యొక్క పిన్‌ను కూడా తెలుసుకోవాలి. పాస్‌వర్డ్ రీసెట్ దృష్టాంతంలో, పాస్‌వర్డ్ స్పష్టంగా తెలియదు, అయితే టోకెన్‌ను కలిగి ఉండటం ఖాతా యాజమాన్యాన్ని నిరూపించడానికి ఉపయోగించవచ్చు. వాస్తవానికి, ఏదైనా భద్రతా అమలులో వలె, ఇది "ఫూల్ ప్రూఫ్" అందించదు, కానీ ఖచ్చితంగా ప్రవేశానికి అడ్డంకిని పెంచుతుంది.

ఈ విధానం యొక్క ప్రధాన సమస్యలలో ఒకటి అమలు ఖర్చు మరియు లాజిస్టిక్స్; మేము ప్రతి క్లయింట్‌కు భౌతిక పరికరాలను అందజేయడం మరియు వారికి కొత్త ప్రక్రియను బోధించడం గురించి మాట్లాడుతున్నాము. అదనంగా, వినియోగదారులు వారితో పరికరాన్ని కలిగి ఉండాలి, ఇది భౌతిక టోకెన్‌తో ఎల్లప్పుడూ ఉండదు. SMSను ఉపయోగించి ప్రమాణీకరణ యొక్క రెండవ కారకాన్ని అమలు చేయడం మరొక ఎంపిక, ఇది 2FA విషయంలో రీసెట్ ప్రక్రియను నిర్వహిస్తున్న వ్యక్తి ఖాతా యజమాని యొక్క మొబైల్ ఫోన్‌ని కలిగి ఉన్నట్లు నిర్ధారణగా ఉపయోగపడుతుంది. Google దీన్ని ఎలా చేస్తుందో ఇక్కడ ఉంది:

మీరు కూడా ఎనేబుల్ చేయాలి రెండు-దశల ధృవీకరణ, కానీ దీని అర్థం మీరు తదుపరిసారి మీ పాస్‌వర్డ్‌ని రీసెట్ చేసినప్పుడు, మీ మొబైల్ ఫోన్ ప్రమాణీకరణ యొక్క రెండవ అంశంగా మారవచ్చు. నా ఐఫోన్‌ను ఉదాహరణగా ఉపయోగించి నేను దీన్ని ప్రదర్శిస్తాను, కారణాల వల్ల త్వరలో స్పష్టమవుతుంది:

ఖాతా యొక్క ఇమెయిల్ చిరునామాను గుర్తించిన తర్వాత, Google 2FA ప్రారంభించబడిందని నిర్ధారిస్తుంది మరియు మేము ధృవీకరణను ఉపయోగించి ఖాతాను రీసెట్ చేయవచ్చు, ఇది ఖాతా యజమాని మొబైల్ ఫోన్‌కు SMS ద్వారా పంపబడుతుంది:

ఇప్పుడు మనం రీసెట్ ప్రాసెస్ యొక్క ప్రారంభాన్ని ఎంచుకోవాలి:

ఈ చర్య నమోదిత చిరునామాకు ఇమెయిల్ పంపుతుంది:

ఈ ఇమెయిల్ రీసెట్ URLని కలిగి ఉంది:

రీసెట్ URLని యాక్సెస్ చేస్తున్నప్పుడు, ఒక SMS పంపబడుతుంది మరియు వెబ్‌సైట్ దాని కోసం అడుగుతుంది:

ఇక్కడ SMS ఉంది:

దీన్ని బ్రౌజర్‌లో టైప్ చేసిన తర్వాత, మేము క్లాసిక్ పాస్‌వర్డ్ రీసెట్ టెరిటరీకి తిరిగి వచ్చాము:

ఇది బహుశా కొంచెం వెర్బోస్‌గా అనిపించవచ్చు, కానీ రీసెట్ చేస్తున్న వ్యక్తి ఖాతాదారు యొక్క ఇమెయిల్ చిరునామా మరియు మొబైల్ ఫోన్‌కి యాక్సెస్ కలిగి ఉన్నారని ఫారమ్ నిర్ధారిస్తుంది. కానీ కేవలం ఇమెయిల్ ద్వారా మీ పాస్‌వర్డ్‌ను రీసెట్ చేయడం కంటే ఇది తొమ్మిది రెట్లు ఎక్కువ సురక్షితంగా ఉంటుంది. అయితే, సమస్యలు ఉన్నాయి ...

సమస్య స్మార్ట్‌ఫోన్‌లకు సంబంధించినది. దిగువ చూపిన పరికరం ప్రమాణీకరణ యొక్క ఒక కారకాన్ని మాత్రమే ధృవీకరించగలదు - ఇది SMSని అందుకోగలదు, కానీ ఇమెయిల్ కాదు:

అయితే, ఈ పరికరం SMSని అందుకోగలదు и పాస్‌వర్డ్ రీసెట్ ఇమెయిల్‌లను స్వీకరించండి:

సమస్య ఏమిటంటే, మేము ధృవీకరణ యొక్క మొదటి అంశంగా ఇమెయిల్‌ను మరియు రెండవదిగా SMS (లేదా టోకెన్-ఉత్పత్తి చేసే అప్లికేషన్ కూడా) పరిగణిస్తాము, కానీ నేడు అవి ఒక పరికరంలో మిళితం చేయబడ్డాయి. అయితే, దీని అర్థం ఎవరైనా మీ స్మార్ట్‌ఫోన్‌కు వస్తే, మేము మళ్లీ అదే ఛానెల్‌కు తిరిగి వచ్చామని ఈ సౌలభ్యం వస్తుంది; ఈ రెండవ అంశం "మీ దగ్గర ఉన్నది" అంటే మీకు మొదటి అంశం కూడా ఉందని అర్థం. మరియు ఫోన్‌లో ఏదైనా పిన్ ఉంటే, అది ఒకే నాలుగు అంకెల పిన్ ద్వారా రక్షించబడుతుంది. и అతను నిరోధించబడ్డాడు.

అవును, Google యొక్క 2FA ఫీచర్ ఖచ్చితంగా అదనపు రక్షణను అందిస్తుంది, కానీ ఇది ఫూల్‌ప్రూఫ్ కాదు మరియు ఇది ఖచ్చితంగా రెండు పూర్తిగా స్వయంప్రతిపత్తి గల ఛానెల్‌లపై ఆధారపడదు.

వినియోగదారు పేరు ద్వారా రీసెట్ vs ఇమెయిల్ చిరునామా ద్వారా రీసెట్ చేయండి

నేను ఇమెయిల్ చిరునామా ద్వారా రీసెట్ చేయడానికి మాత్రమే అనుమతించాలా? లేదా వినియోగదారు పేరు ద్వారా కూడా రీసెట్ చేయగలరా? వినియోగదారు పేరు ద్వారా రీసెట్ చేయడంలో సమస్య ఏమిటంటే, చెల్లని వినియోగదారు పేరు గురించి వినియోగదారుకు తెలియజేయడానికి మార్గం లేదు, బహిర్గతం చేయకుండా ఆ పేరుతో మరొకరికి ఖాతా ఉండవచ్చు. మునుపటి విభాగంలో, ఇమెయిల్ రీసెట్ ఆ ఇమెయిల్ యొక్క నిజమైన యజమాని సిస్టమ్‌లో వారి ఉనికిని బహిరంగంగా బహిర్గతం చేయకుండా ఎల్లప్పుడూ అభిప్రాయాన్ని స్వీకరిస్తారని నిర్ధారిస్తుంది. ఇది కేవలం వినియోగదారు పేరుతో చేయలేము.

కాబట్టి చిన్న సమాధానం: ఇమెయిల్ మాత్రమే. మీరు కేవలం వినియోగదారు పేరుతో రీసెట్ చేయడానికి ప్రయత్నిస్తే, అప్పుడు ఏమి జరిగిందో వినియోగదారు ఆశ్చర్యపోయే సందర్భాలు ఉంటాయి, లేదా మీరు ఖాతాల ఉనికిని బహిర్గతం చేస్తారు. అవును, ఇది కేవలం వినియోగదారు పేరు మాత్రమే, ఇమెయిల్ చిరునామా కాదు మరియు అవును, ఎవరైనా ఏదైనా (అందుబాటులో ఉన్న) వినియోగదారు పేరుని ఎంచుకోవచ్చు, కానీ వినియోగదారుల పేరును మళ్లీ ఉపయోగించాలనే ధోరణి కారణంగా మీరు పరోక్షంగా ఖాతా యజమానులను బహిర్గతం చేసే మంచి అవకాశం ఇప్పటికీ ఉంది.

ఎవరైనా తమ వినియోగదారు పేరును మరచిపోయినప్పుడు ఏమి జరుగుతుంది? వినియోగదారు పేరు వెంటనే ఇమెయిల్ చిరునామా కాదని ఊహిస్తే (ఇది తరచుగా జరుగుతుంది), అప్పుడు ప్రక్రియ పాస్‌వర్డ్ రీసెట్ ఎలా ప్రారంభమవుతుందో అదే విధంగా ఉంటుంది - ఇమెయిల్ చిరునామాను నమోదు చేసి, ఆపై దాని ఉనికిని బహిర్గతం చేయకుండా ఈ చిరునామాకు సందేశాన్ని పంపండి. ఒకే తేడా ఏమిటంటే, ఈసారి సందేశంలో వినియోగదారు పేరు మాత్రమే ఉంది మరియు పాస్‌వర్డ్ రీసెట్ URL కాదు. అది గాని, లేదా ఈ చిరునామాకు ఖాతా లేదని ఇమెయిల్ చెబుతుంది.

ఇమెయిల్ చిరునామాల గుర్తింపు ధృవీకరణ మరియు ఖచ్చితత్వం

పాస్‌వర్డ్‌లను రీసెట్ చేయడంలో కీలకమైన అంశం, మరియు బహుశా కూడా చాలా రీసెట్ చేయడానికి ప్రయత్నిస్తున్న వ్యక్తి యొక్క గుర్తింపును ధృవీకరించడం ప్రధాన అంశం. ఇది నిజంగా ఖాతా యొక్క నిజమైన యజమానినా, లేదా ఎవరైనా దీన్ని హ్యాక్ చేయడానికి ప్రయత్నిస్తున్నారా లేదా యజమానికి అసౌకర్యం కలిగిస్తున్నారా?

సహజంగానే, ఇమెయిల్ అత్యంత అనుకూలమైన మరియు అత్యంత సాధారణ గుర్తింపు ధృవీకరణ ఛానెల్. ఇది ఫూల్‌ప్రూఫ్ కాదు మరియు గుర్తింపుపై అధిక విశ్వాసం అవసరం అయితే (అందుకే 2FA ఉపయోగించబడుతుంది) ఖాతా యజమాని చిరునామాలో మెయిల్‌ను స్వీకరించడం సరిపోదు, అయితే ఇది దాదాపు ఎల్లప్పుడూ ప్రారంభ స్థానం. రీసెట్ ప్రక్రియ.

విశ్వాసాన్ని అందించడంలో ఇమెయిల్ పాత్రను పోషించబోతున్నట్లయితే, ఇమెయిల్ చిరునామా సరిగ్గా ఉందని నిర్ధారించుకోవడం మొదటి దశ. ఎవరైనా గుర్తుతో పొరపాటు చేస్తే, అప్పుడు, సహజంగానే, రీసెట్ ప్రారంభించబడదు. నమోదు సమయంలో ఇమెయిల్ ధృవీకరణ ప్రక్రియ చిరునామా యొక్క ఖచ్చితత్వాన్ని ధృవీకరించడానికి నమ్మదగిన మార్గం. మనమందరం దీన్ని చర్యలో చూశాము: మీరు సైన్ అప్ చేసినప్పుడు, క్లిక్ చేయడానికి మీకు ప్రత్యేకమైన URLతో ఇమెయిల్ పంపబడుతుంది, ఇది ఆ ఇమెయిల్ ఖాతాకు మీరే నిజమైన యజమాని అని నిర్ధారిస్తుంది. ఈ ప్రక్రియ పూర్తయ్యే వరకు లాగిన్ చేయలేకపోవడం చిరునామాను ధృవీకరించడానికి ప్రేరణ ఉందని నిర్ధారిస్తుంది.

భద్రతకు సంబంధించిన అనేక ఇతర అంశాల మాదిరిగానే, ఈ మోడల్ వినియోగదారు గుర్తింపుపై విశ్వాసానికి సంబంధించి పెరిగిన భద్రతను అందించడానికి బదులుగా వినియోగాన్ని తగ్గిస్తుంది. వినియోగదారు రిజిస్ట్రేషన్‌ను అత్యంత విలువైనదిగా భావించే సైట్‌కు ఇది ఆమోదయోగ్యమైనది కావచ్చు మరియు ప్రక్రియలో (చెల్లింపు సేవలు, బ్యాంకింగ్ మొదలైనవి) సంతోషంగా మరొక దశను జోడిస్తుంది, అయితే వినియోగదారు ఖాతాని "ఒకటి-"గా భావించినట్లయితే అలాంటి విషయాలు వినియోగదారుని తిప్పికొట్టవచ్చు. సమయం” మరియు ఉపయోగిస్తుంది , ఉదాహరణకు, పోస్ట్‌పై వ్యాఖ్యానించడానికి ఒక సాధనంగా.

రీసెట్ ప్రక్రియను ఎవరు ప్రారంభించారో గుర్తించడం

స్పష్టంగా, రీసెట్ ఫీచర్‌ను హానికరంగా ఉపయోగించడానికి కారణాలు ఉన్నాయి మరియు దాడి చేసేవారు దీన్ని అనేక రకాలుగా ఉపయోగించవచ్చు. అభ్యర్థన యొక్క మూలాన్ని ధృవీకరించడంలో సహాయపడటానికి మేము ఉపయోగించే ఒక సాధారణ ఉపాయం (ఈ ట్రిక్ సాధారణంగా వర్క్స్) అనేది అభ్యర్థి యొక్క IP చిరునామాను రీసెట్ చేసే ప్రతిపాదనతో లేఖకు అదనంగా ఉంటుంది. ఇది గ్రహీతకు సరఫరా చేస్తుంది కొన్ని అభ్యర్థన యొక్క మూలాన్ని గుర్తించడానికి సమాచారం.

నేను ప్రస్తుతం ASafaWebలో నిర్మిస్తున్న రీసెట్ ఫంక్షన్ నుండి ఇక్కడ ఒక ఉదాహరణ ఉంది:

"మరింత కనుగొనండి" లింక్ వినియోగదారుని సైట్‌కు తీసుకువెళుతుంది ip-address.com, రీసెట్ కోసం అభ్యర్థించిన వారి స్థానం మరియు సంస్థ వంటి సమాచారాన్ని అందించడం:

వాస్తవానికి, వారి గుర్తింపును దాచాలనుకునే ఎవరైనా వారి నిజమైన IP చిరునామాను అస్పష్టం చేయడానికి అనేక మార్గాలను కలిగి ఉంటారు, కానీ అభ్యర్థించిన వ్యక్తి యొక్క పాక్షిక గుర్తింపును జోడించడానికి ఇది అనుకూలమైన మార్గం. అత్యంత కొన్ని సందర్భాల్లో, పాస్‌వర్డ్ రీసెట్ అభ్యర్థనను ఎవరు పూర్తి చేస్తారనే దాని గురించి ఇది మీకు సరైన ఆలోచనను ఇస్తుంది.

ఇమెయిల్ మార్పు నోటిఫికేషన్

ఈ పోస్ట్ ఒక థీమ్‌తో విస్తరించి ఉంది - కమ్యూనికేషన్; హానికరమైన ఉద్దేశ్యంతో ఉపయోగించబడే ఏదైనా బహిర్గతం చేయకుండా, ప్రక్రియ యొక్క ప్రతి దశలో ఏమి జరుగుతుందో సాధ్యమైనంతవరకు ఖాతా యజమానికి తెలియజేయండి. పాస్వర్డ్ వాస్తవానికి మారిన పరిస్థితికి కూడా ఇది వర్తిస్తుంది - యజమానికి తెలియజేయండి!

పాస్వర్డ్ను మార్చడానికి కారణాలు రెండు మూలాలు కావచ్చు:

1. వినియోగదారు కొత్త పాస్‌వర్డ్‌ని కోరుకుంటున్నందున లాగిన్ అయిన తర్వాత పాస్‌వర్డ్‌ను మార్చండి
2. లాగిన్ లేకుండా పాస్‌వర్డ్‌ని రీసెట్ చేయండి ఎందుకంటే వినియోగదారు దాన్ని మర్చిపోయారు

ఈ పోస్ట్ ఎక్కువగా రీసెట్ చేయడం గురించి అయితే, మొదటి దానికి తెలియజేయడం వలన నిజమైన యజమానికి తెలియకుండా ఎవరైనా పాస్‌వర్డ్‌ను మార్చే ప్రమాదాన్ని తగ్గిస్తుంది. ఇది ఎలా జరుగుతుంది? చాలా సాధారణ దృష్టాంతం ఏమిటంటే, నిజమైన యజమాని యొక్క పాస్‌వర్డ్‌ను పొందడం (మరొక మూలం నుండి లీక్ చేయబడిన పాస్‌వర్డ్, కీలాగింగ్ ద్వారా పొందిన పాస్‌వర్డ్, పాస్‌వర్డ్‌ను సులభంగా ఊహించడం మొదలైనవి), దాడి చేసే వ్యక్తి దానిని మార్చాలని నిర్ణయించుకుంటాడు, తద్వారా యజమానిని నిరోధించడం. ఇమెయిల్ నోటిఫికేషన్ లేకుండా, పాస్‌వర్డ్ మార్పు గురించి నిజమైన యజమానికి తెలియదు.

వాస్తవానికి, పాస్‌వర్డ్ రీసెట్ చేయబడిన సందర్భంలో, యజమాని ఇప్పటికే స్వయంగా ప్రాసెస్‌ను ప్రారంభించి ఉండాలి (లేదా పైన వివరించిన గుర్తింపు ధృవీకరణ సాధనాలను దాటవేయాలి), కాబట్టి మార్చడం ఉండకూడదు అతనికి ఆశ్చర్యం కలిగిస్తుంది, అయితే, ఇమెయిల్ నిర్ధారణ సానుకూల అభిప్రాయం మరియు అదనపు ధృవీకరణగా ఉంటుంది. అదనంగా, ఇది పైన వివరించిన దృశ్యంతో ఐక్యతను అందిస్తుంది.

ఓహ్, అది ఇంకా స్పష్టంగా తెలియకపోతే - మెయిల్ ద్వారా కొత్త పాస్‌వర్డ్‌ని పంపవద్దు! ఇది కొంతమందికి నవ్వు తెప్పించవచ్చు, కానీ ఈ రకమైన విషయం జరుగుతుంది:

లాగ్‌లు, లాగ్‌లు, లాగ్‌లు మరియు మరికొన్ని లాగ్‌లు

పాస్‌వర్డ్ రీసెట్ ఫీచర్ దాడి చేసేవారికి ఆకర్షణీయంగా ఉంటుంది: దాడి చేసే వ్యక్తి మరొక వ్యక్తి ఖాతాకు యాక్సెస్‌ను పొందాలనుకుంటాడు లేదా ఖాతా/సిస్టమ్ యజమానికి అసౌకర్యాన్ని కలిగించవచ్చు. పైన వివరించిన అనేక అభ్యాసాలు దుర్వినియోగం యొక్క అవకాశాన్ని తగ్గిస్తాయి, కానీ దానిని నిరోధించవు మరియు అవి ఒక లక్షణాన్ని అనాలోచిత మార్గంలో ఉపయోగించడానికి ప్రయత్నించకుండా వ్యక్తులను ఖచ్చితంగా ఆపవు.

హానికరమైన ప్రవర్తనను గుర్తించడం కోసం, లాగింగ్ అనేది పూర్తిగా అమూల్యమైన అభ్యాసం మరియు నా ఉద్దేశ్యం చాలా వివరణాత్మక లాగింగ్. విఫలమైన లాగిన్ ప్రయత్నాలను క్యాప్చర్ చేయడం, పాస్‌వర్డ్‌లను రీసెట్ చేయడం, పాస్‌వర్డ్‌లను మార్చడం (అంటే వినియోగదారు ఇప్పటికే లాగిన్ అయినప్పుడు) మరియు ఏమి జరుగుతుందో అర్థం చేసుకోవడంలో మీకు సహాయపడే ఏదైనా గురించి; ఇది భవిష్యత్తులో చాలా ఉపయోగకరంగా ఉంటుంది. వ్యక్తిగతంగా కూడా లాగ్‌లలో పరిష్కరించండి భాగాలు ప్రాసెస్, ఉదాహరణకు, ఒక మంచి రీసెట్ ఫీచర్‌లో వెబ్‌సైట్ ద్వారా రీసెట్‌ను ప్రారంభించడం (రీసెట్ అభ్యర్థనను క్యాప్చర్ చేయడం మరియు సరికాని వినియోగదారు పేరు లేదా ఇమెయిల్‌తో లాగిన్ ప్రయత్నాలను క్యాప్చర్ చేయడం), రీసెట్ URLలో వెబ్‌సైట్ సందర్శనను క్యాప్చర్ చేయడం (తప్పని వాడే ప్రయత్నాలతో సహా. టోకెన్), ఆపై భద్రతా ప్రశ్నకు సమాధానం యొక్క విజయం లేదా వైఫల్యాన్ని లాగ్ చేయండి.

నేను లాగింగ్ గురించి మాట్లాడేటప్పుడు, పేజీ లోడ్ చేయబడిందనే వాస్తవాన్ని రికార్డ్ చేయడం మాత్రమే కాకుండా, వీలైనంత ఎక్కువ సమాచారాన్ని సేకరించడం కూడా అని నా ఉద్దేశ్యం. అది గోప్యంగా లేకుంటే. అబ్బాయిలు, దయచేసి పాస్‌వర్డ్‌లను లాగ్ చేయవద్దు! లాగ్‌లు అధీకృత వినియోగదారు యొక్క గుర్తింపును నమోదు చేయాలి (అతను ఉంటే అతనికి అధికారం ఉంటుంది మార్పులు ఇప్పటికే ఉన్న పాస్‌వర్డ్ లేదా రీసెట్ చేయడానికి ప్రయత్నిస్తున్నారు వేరొకరి పాస్వర్డ్ లాగిన్ అయిన తర్వాత), అది ప్రయత్నించే ఏవైనా వినియోగదారు పేర్లు లేదా ఇమెయిల్ చిరునామాలు, అలాగే అది ఉపయోగించడానికి ప్రయత్నించే ఏదైనా రీసెట్ టోకెన్‌లు. కానీ IP చిరునామాలు మరియు వీలైతే, హెడర్‌లను కూడా అభ్యర్థించడం వంటి వాటిని లాగింగ్ చేయడం కూడా విలువైనదే. ఇది పునర్నిర్మించటమే కాకుండా మిమ్మల్ని అనుమతిస్తుంది ఆ వినియోగదారు (లేదా దాడి చేసేవారు) చేయడానికి ప్రయత్నిస్తున్నారు, కానీ కూడా ఎవరు అతను అలాంటివాడు.

ఇతర ప్రదర్శకులకు బాధ్యతను అప్పగించడం

ఇవన్నీ భారీ మొత్తంలో పనిని సూచిస్తాయని మీరు అనుకుంటే, మీరు ఒంటరిగా లేరు. వాస్తవానికి, ఖాతాలతో పనిచేయడానికి విశ్వసనీయ వ్యవస్థను నిర్మించడం అంత తేలికైన పని కాదు. ఇది సాంకేతికంగా కష్టమని కాదు, ఇందులో చాలా ఫీచర్లు ఉన్నాయి. ఇది రీసెట్ చేయడం గురించి మాత్రమే కాదు, సైన్ అప్ చేయడం, పాస్‌వర్డ్‌లను సురక్షితంగా నిల్వ చేయడం, అనేక చెడ్డ లాగిన్ ప్రయత్నాలను నిర్వహించడం మరియు మొదలైన వాటి యొక్క మొత్తం ప్రక్రియ ఉంది. అయినప్పటికీ ASP.NET మెంబర్‌షిప్ ప్రొవైడర్ వంటి రెడీమేడ్ ఫంక్షనాలిటీని ఉపయోగించాలనే ఆలోచనను నేను ప్రచారం చేస్తున్నానుఅంతే కాకుండా ఇంకా చాలా చేయాల్సి ఉంది.

నేడు, చాలా మంది మూడవ పక్ష విక్రేతలు ఉన్నారు, వారు దాని నుండి బాధను తీసివేసి, అన్నింటినీ ఒకే నిర్వహించబడే సేవగా విశదీకరించారు. ఈ సేవల్లో OpenID, OAuth మరియు Facebook కూడా ఉన్నాయి. కొంతమంది ఈ నమూనాపై అపరిమిత విశ్వాసం (స్టాక్ ఓవర్‌ఫ్లోలో OpenID నిజానికి చాలా విజయవంతమైంది), అయితే ఇతరులు అక్షరాలా అది ఒక పీడకలగా పరిగణించండి.

ఎటువంటి సందేహం లేకుండా, OpenID వంటి సేవ చాలా డెవలపర్ సమస్యలను పరిష్కరిస్తుంది, అయితే ఇది కొత్త వాటిని జోడిస్తుంది. వారికి ఏదైనా పాత్ర ఉందా? అవును, కానీ మేము ప్రామాణీకరణ సర్వీస్ ప్రొవైడర్ల సేవలను పెద్దఎత్తున ఉపయోగించడాన్ని చూడటం లేదని స్పష్టమైంది. బ్యాంకులు, ఎయిర్‌లైన్‌లు మరియు స్టోర్‌లు కూడా తమ స్వంత ప్రమాణీకరణ విధానాన్ని అమలు చేస్తాయి మరియు దీనికి చాలా మంచి కారణాలు ఉన్నాయి.

హానికరమైన రీసెట్

పైన పేర్కొన్న ప్రతి ఉదాహరణలో ముఖ్యమైన అంశం ఏమిటంటే, పాత పాస్‌వర్డ్ నిరుపయోగంగా మాత్రమే పరిగణించబడుతుంది ఖాతా యజమాని యొక్క గుర్తింపును నిర్ధారించిన తర్వాత. ఇది ముఖ్యమైనది ఎందుకంటే ఖాతాను రీసెట్ చేయగలిగితే కు గుర్తింపు తనిఖీలు, ఇది అన్ని రకాల హానికరమైన కార్యకలాపాలకు అవకాశాన్ని అందిస్తుంది.

ఇక్కడ ఒక ఉదాహరణ ఉంది: ఎవరైనా వేలం సైట్‌లో వేలం వేస్తున్నారు మరియు బిడ్డింగ్ ప్రక్రియ ముగిసే సమయానికి, వారు రీసెట్ ప్రక్రియను ప్రారంభించడం ద్వారా పోటీదారులను నిరోధించారు, తద్వారా వారిని బిడ్డింగ్ నుండి తొలగిస్తారు. సహజంగానే, పేలవంగా రూపొందించబడిన రీసెట్ ఫంక్షన్ దుర్వినియోగం చేయబడితే, అది తీవ్రమైన ప్రతికూల ఫలితాలకు దారి తీస్తుంది. చెల్లని లాగిన్ ప్రయత్నాలతో ఖాతాలను బ్లాక్ చేయడం కూడా ఇదే పరిస్థితి అని గమనించాలి, అయితే ఇది మరొక పోస్ట్‌కు సంబంధించిన అంశం.

నేను పైన చెప్పినట్లుగా, మీరు అనామక వినియోగదారులకు వారి ఇమెయిల్ చిరునామాను తెలుసుకోవడం ద్వారా ఏదైనా ఖాతా యొక్క పాస్‌వర్డ్‌ను రీసెట్ చేయగల సామర్థ్యాన్ని ఇస్తే, సేవా దాడిని తిరస్కరించడానికి ఇది సిద్ధంగా ఉన్న పరిస్థితి. ఇది ఒకటి కాకపోవచ్చు DoS, మేము దీని గురించి మాట్లాడటానికి ఉపయోగించాము, కానీ పేలవంగా ఆలోచించని పాస్‌వర్డ్ రీసెట్ ఫంక్షన్ కంటే ఖాతాకు ప్రాప్యతను నిరోధించడానికి వేగవంతమైన మార్గం లేదు.

బలహీనమైన లింక్

ఒకే ఖాతాను రక్షించే దృక్కోణం నుండి, పైన వ్రాసిన ప్రతిదీ చాలా బాగుంది, కానీ మీరు రక్షిస్తున్న ఖాతాను చుట్టుముట్టే పర్యావరణ వ్యవస్థను మీరు ఎల్లప్పుడూ గుర్తుంచుకోవాలి. నేను మీకు ఒక ఉదాహరణ ఇస్తాను:

ASafaWeb AppHarbor అందించిన అద్భుతమైన సేవలో హోస్ట్ చేయబడింది. హోస్టింగ్ ఖాతాను రీసెట్ చేసే ప్రక్రియ క్రింది విధంగా ఉంటుంది:

స్టేజ్ 1:

స్టేజ్ 2:

స్టేజ్ 3:

స్టేజ్ 4:

మునుపటి మొత్తం సమాచారాన్ని చదివిన తర్వాత, ఆదర్శవంతమైన ప్రపంచంలో ఏ అంశాలను మనం కొద్దిగా భిన్నంగా అమలు చేస్తామో అర్థం చేసుకోవడం ఇప్పటికే సులభం. అయితే, నేను ఇక్కడ చెబుతున్నదేమిటంటే, నేను AppHarborలో ASafaWeb వంటి సైట్‌ను ప్రచురించి, ఆపై గొప్ప భద్రతా ప్రశ్నలు మరియు సమాధానాలతో ముందుకు వస్తే, రెండవ ప్రామాణీకరణ కారకాన్ని జోడించి, మిగిలిన వాటిని నిబంధనల ప్రకారం చేస్తే, అది మారదు. మొత్తం ప్రక్రియలో బలహీనమైన లింక్ అన్నింటినీ విచ్ఛిన్నం చేయగలదనే వాస్తవం. ఎవరైనా నా సమాచారాన్ని ఉపయోగించి AppHarborలో విజయవంతంగా ప్రామాణీకరించినట్లయితే, అతను ఏదైనా ASafaWeb ఖాతా కోసం పాస్‌వర్డ్‌ను తనకు అవసరమైన దానికి మార్చగలడు!

విషయమేమిటంటే, భద్రతా అమలు యొక్క బలాన్ని సమగ్రంగా పరిగణించాలి: సిస్టమ్‌లోని ప్రతి ఎంట్రీ పాయింట్ వద్ద బెదిరింపులు మోడల్ చేయబడాలి, ఇది యాప్‌హార్బర్‌లోకి లాగిన్ చేయడం వంటి ఉపరితల ప్రక్రియ అయినప్పటికీ. ASafaWeb పాస్‌వర్డ్ రీసెట్ ప్రాసెస్‌లో నేను ఎంత ప్రయత్నం చేయాలనుకుంటున్నానో ఇది నాకు మంచి ఆలోచన ఇస్తుంది.

అన్నిటినీ కలిపి చూస్తే

ఈ పోస్ట్ చాలా సమాచారాన్ని కలిగి ఉంది, కాబట్టి నేను దానిని సాధారణ దృశ్యమాన పథకంలో కేంద్రీకరించాలనుకుంటున్నాను:

మీరు ఈ అంశాలలో ప్రతిదాని యొక్క అత్యంత వివరణాత్మక లాగింగ్ చేయాలని గుర్తుంచుకోండి. అంతే, ఇది సులభం!

ఫలితాలు

నా పోస్ట్ సమగ్రంగా ఉన్నట్లు అనిపిస్తుంది, అయినప్పటికీ నేను చేసిన అదనపు అంశాలు చాలా ఉన్నాయి కాలేదు దానిలో చేర్చండి, కానీ సంక్షిప్తత కోసం దీనికి వ్యతిరేకంగా నిర్ణయించారు: రెస్క్యూ ఇమెయిల్ చిరునామా పాత్ర, మీ ఖాతాతో అనుబంధించబడిన ఇమెయిల్‌కి మీరు యాక్సెస్‌ను కోల్పోయే పరిస్థితి (ఉదాహరణకు, మీరు మీ ఉద్యోగాన్ని విడిచిపెట్టారు) మరియు మొదలైనవి. నేను ఇంతకు ముందు చెప్పినట్లుగా, రీసెట్ ఫంక్షన్ అంత క్లిష్టంగా లేదు, దానిపై అనేక విభిన్న అభిప్రాయాలు మాత్రమే ఉన్నాయి.

రీసెట్ అంత క్లిష్టంగా లేనప్పటికీ, ఇది తరచుగా తప్పుగా అమలు చేయబడుతుంది. పైన మేము అమలు ఎక్కడ ఉదాహరణలు ఒక జంట చూసింది చెయ్యవచ్చు సమస్యలకు దారి తీస్తుంది మరియు తప్పు రీసెట్ చేసిన అనేక సందర్భాలు ఉన్నాయి నిజంగా సమస్యలకు కారణమైంది. తాజాగా అది తేలింది $87 విలువైన బిట్‌కాయిన్‌లను దొంగిలించడానికి ఉపయోగించే పాస్‌వర్డ్ రీసెట్. ఇది తీవ్రమైన ప్రతికూల ఫలితం!

కాబట్టి మీ రీసెట్ ఫంక్షన్లతో జాగ్రత్తగా ఉండండి, బెదిరింపులను అనుకరించండి వివిధ పాయింట్ల వద్ద, మరియు ఫీచర్‌ను డిజైన్ చేస్తున్నప్పుడు, మీ నల్లటి టోపీని తీయకండి ఎందుకంటే మరొకరు దానిని ధరించే మంచి అవకాశం ఉంది!

ప్రకటనల హక్కులపై

VDSina చవకైన అందిస్తుంది అద్దెకు సర్వర్లు రోజువారీ చెల్లింపుతో, ప్రతి సర్వర్ 500 Mbps ఇంటర్నెట్ ఛానెల్‌కి కనెక్ట్ చేయబడింది మరియు DDoS దాడుల నుండి ఉచితంగా రక్షించబడుతుంది!

మూలం: www.habr.com