Ба наздикӣ ман вақт доштам, ки бори дигар фикр кунам, ки чӣ гуна хусусияти аз нав барқароркунии парол бояд кор кунад, аввал вақте ки ман ин функсияро дар он сохтам , ва баъд, вақте ки ӯ ба коре монанд ба шахси дигар кӯмак кард. Дар ҳолати дуюм, ман мехостам ба ӯ пайвандеро ба манбаи каноникӣ бо тамоми тафсилоти амалисозии бехатари функсияи барқарорсозӣ диҳам. Аммо, мушкилот дар он аст, ки чунин захира вуҷуд надорад, ҳадди аққал як захирае, ки ҳама чизеро, ки барои ман муҳим менамояд, тавсиф кунад. Аз ин рӯ, ман қарор додам, ки онро худам нависам.
Шумо мебинед, ҷаҳони паролҳои фаромӯшшуда воқеан як чизи пурасрор аст. Бисёр нуқтаи назари гуногун, комилан қобили қабул ва бисёр нуқтаи назари хатарнок вуҷуд дорад. Эҳтимол дорад, ки шумо бо ҳар яки онҳо борҳо ҳамчун корбари ниҳоӣ дучор шудаед; бинобар ин ман кӯшиш мекунам, ки ин мисолҳоро истифода барам, то нишон диҳам, ки кӣ ин корро дуруст мекунад ва кӣ не, ва барои дуруст татбиқ кардани хусусият дар замимаи шумо ба чӣ диққат додан лозим аст.
Нигоҳдории парол: ҳашинг, рамзгузорӣ ва (оҳ!) матни оддӣ
Мо наметавонем муҳокима кунем, ки бо паролҳои фаромӯшшуда чӣ кор кунем. Паролҳо дар пойгоҳи додаҳо дар яке аз се намуди асосӣ нигоҳ дошта мешаванд:
- Матни оддӣ. Сутуни дорои парол мавҷуд аст, ки дар матни оддӣ нигоҳ дошта мешавад.
- рамзгузорӣ шудааст. Одатан бо истифода аз рамзгузории симметрӣ (як калид ҳам барои рамзгузорӣ ва ҳам рамзкушоӣ истифода мешавад) ва паролҳои рамзгузоришуда низ дар як сутун нигоҳ дошта мешаванд.
- хашхош. Раванди яктарафа (паролро ҳаш кардан мумкин аст, аммо нест карда намешавад); парол, умедворем, аз паи намак ва хар яке дар сутуни худ.
Биёед дарҳол бо соддатарин савол ҳал кунем: ҳеҷ гоҳ паролҳоро дар матни оддӣ нигоҳ надоред! Ҳеҷ гоҳ. Як осебпазирии ягона , як нусхаи эҳтиётии беэҳтиётӣ сохташуда ё яке аз даҳҳо хатоҳои дигари оддӣ - ва ин аст, gameover, ҳама паролҳои шумо - яъне бахшиш, паролҳо барои ҳамаи муштариёни худ моликияти чамъиятй мегардад. Албатта, ин маънои онро дорад, ки эҳтимолияти бузург аз тамоми ҳисобҳои худ дар системаҳои дигар. Ва ин гуноҳи шумо хоҳад буд.
Рамзгузорӣ беҳтар аст, аммо камбудиҳои худро дорад. Масъалаи рамзгузорӣ дар рамзкушоӣ аст; мо метавонем ин рамзҳои девонашавандаро бигирем ва онҳоро ба матни оддӣ баргардонем ва вақте ки ин рӯй медиҳад, мо ба вазъият бо паролҳои хондашаванда бармегардем. Ин чӣ гуна рӯй медиҳад? Камбудии хурде ба код ворид мешавад, ки паролро мекушояд ва онро дастраси омма месозад - ин як роҳ аст. Дастрасӣ ба мошине, ки дар он маълумоти рамзшуда нигоҳ дошта мешавад, аз ҷониби ҳакерҳо ба даст оварда мешавад - ин роҳи дуюм аст. Роҳи дигар, боз ин дуздидани нусхаи эҳтиётии пойгоҳи додаҳо мебошад ва касе инчунин калиди рамзгузориро мегирад, ки аксар вақт хеле бехатар нигоҳ дошта мешавад.
Ва ин моро ба ҳашинг меорад. Идеяи паси ҳашинг ин аст, ки он яктарафа аст; роҳи ягонаи муқоисаи пароли аз ҷониби корбар воридшуда бо версияи ҳашшудаи он ин ҳаш кардани вуруд ва муқоисаи онҳо мебошад. Барои пешгирии ҳамлаҳо аз асбобҳо ба монанди ҷадвалҳои рангинкамон, мо равандро бо тасодуфӣ намак мекунем (хонед дар бораи нигоҳдории криптографӣ). Дар ниҳоят, агар дуруст татбиқ карда шавад, мо метавонем боварӣ дошта бошем, ки паролҳои ҳашшуда ҳеҷ гоҳ дигар матни оддӣ нахоҳанд шуд (ман манфиатҳои алгоритмҳои гуногуни хэшро дар мақолаи дигар муҳокима хоҳам кард).
Баҳси зуд дар бораи ҳашинг ва рамзгузорӣ: ягона сабабе, ки ба шумо лозим аст, ки ба ҷои парол рамзгузорӣ кунед, вақте ки шумо бояд паролро дар матни оддӣ бубинед ва шумо набояд ҳеҷ гоҳ инро мехоҳед, ҳадди аққал дар вазъияти вебсайти стандартӣ. Агар ба шумо ин лозим бошад, пас эҳтимол дорад, ки шумо кори нодуруст карда истодаед!
Диққат!
Каме поёнтар дар матни ин паём як қисми скриншоти вебсайти порнографии AlotPorn аст. Он бодиққат бурида шудааст, аз ин рӯ ҳеҷ чиз дар соҳил дида намешавад, аммо агар ин то ҳол мушкилотро ба вуҷуд орад, пас саҳифаро ба поён ҳаракат накунед.
Ҳамеша пароли худро аз нав танзим кунед ҳеҷ гоҳ ба ӯ хотиррасон накунед
Оё ягон бор аз шумо хоҳиш карда шуда буд, ки функсия эҷод кунед ёдраскуниҳо парол? Як қадам ба ақиб гузоред ва дар бораи ин дархост баръакс фикр кунед: чаро ин «ёдраскунӣ» лозим аст? Зеро корбар паролро фаромӯш кардааст. Мо дар ҳақиқат чӣ кор кардан мехоҳем? Ба ӯ дубора ворид шудан кӯмак кунед.
Ман мефаҳмам, ки калимаи "ёдраскунӣ" (аксар вақт) дар забони гуфтугӯӣ истифода мешавад, аммо он чизе ки мо воқеан мекӯшем ин аст бехатар ба корбар кӯмак мекунад, ки дубора онлайн бошад. Азбаски мо ба амният ниёз дорем, ду сабаб вуҷуд дорад, ки чаро ёдраскунӣ (яъне ба корбар фиристодани пароли онҳо) мувофиқ нест:
- Почтаи электронӣ як канали бехатар аст. Ҳамон тавре ки мо тавассути HTTP ҳеҷ чизи махфӣ намефиристем (мо HTTPS-ро истифода мебарем), мо набояд тавассути почтаи электронӣ чизе фиристем, зеро қабати интиқолии он бехатар аст. Дарвоқеъ, ин аз фиристодани маълумот аз тариқи протоколи нақлиёти ноамн хеле бадтар аст, зеро почта аксар вақт дар диск нигоҳ дошта мешавад, ба маъмурони система дастрас аст, интиқол ва тақсим карда мешавад, барои зараровар дастрас аст ва ғайра. Почтаи электронии рамзнашуда як канали бениҳоят бехатар аст.
- Ба ҳар ҳол шумо набояд ба парол дастрасӣ дошта бошед. Фасли пешинаро дар бораи нигоҳдорӣ дубора хонед - шумо бояд паролро дошта бошед (бо намаки хуби қавӣ), маънои онро надорад, ки шумо метавонед паролро истихроҷ кунед ва онро ба почта фиристед.
Биёед ман мушкилотро бо як мисол нишон диҳам : Дар ин ҷо як саҳифаи маъмулии воридшавӣ аст:
Аён аст, ки мушкилоти аввал ин аст, ки саҳифаи воридшавӣ тавассути HTTPS бор намекунад, аммо сайт инчунин аз шумо хоҳиш мекунад, ки парол фиристед ("Ирсол кардани парол"). Ин метавонад намунаи истифодаи гуфтугӯии истилоҳи дар боло зикршуда бошад, пас биёед онро як қадами дигар пеш гирем ва бубинем, ки чӣ мешавад:
Мутаассифона, он қадар беҳтар ба назар намерасад; ва почтаи электронӣ тасдиқ мекунад, ки мушкилот вуҷуд дорад:
Ин ба мо ду ҷанбаи муҳими usoutdoor.com мегӯяд:
- Сайт паролҳоро ҳаш намекунад. Дар беҳтарин ҳолат, онҳо рамзгузорӣ шудаанд, аммо эҳтимол дорад, ки онҳо дар матни оддӣ нигоҳ дошта мешаванд; Мо ягон далели баръакс намебинем.
- Сайт гузарвожаи дарозмуддатро (мо метавонем баргардем ва онро такроран истифода барем) тавассути канали ноамн мефиристад.
Бо ин роҳ, мо бояд тафтиш кунем, ки оё раванди барқарорсозӣ ба таври бехатар кор мекунад. Қадами аввал барои ин ин аст, ки боварӣ ҳосил кунед, ки дархосткунанда ҳуқуқи барқароркунии дубораро дорад. Ба ибораи дигар, пеш аз ин ба мо санҷиши шахсият лозим аст; Биёед бубинем, ки ҳангоми тасдиқи шахсият бидуни тасдиқи он, ки дархосткунанда воқеан соҳиби ҳисоб аст, чӣ мешавад.
Номгӯи номи корбарон ва таъсири он ба махфӣ
Ин мушкилот беҳтарин ба таври визуалӣ тасвир шудааст. Мушкилот:
Бинед? Ба паёми "Ягон корбаре, ки дар ин суроғаи почтаи электронӣ ба қайд гирифта нашудааст" диққат диҳед. Мушкилот баръало ба миён меояд, агар сайти шабеҳ тасдиқ кунад дастрас аст корбар бо чунин суроғаи почтаи электронӣ сабти ном шудааст. Бинго - шумо навакак фетиш порнографии шавҳар/раҳбар/ҳамсояатонро кашф кардед!
Албатта, порно як мисоли хеле барҷастаи аҳамияти махфият аст, аммо хатари пайваст кардани шахсият бо вебсайти мушаххас назар ба вазъияти эҳтимолан ногуворе, ки дар боло тавсиф шудааст, васеътар аст. Як хатар муҳандисии иҷтимоӣ аст; Агар ҳамлакунанда шахсеро бо хидмат мувофиқат кунад, пас ӯ маълумоте хоҳад дошт, ки ӯ метавонад ба истифода оғоз кунад. Масалан, ӯ метавонад бо шахсе, ки худро намояндаи вебсайт муаррифӣ мекунад, тамос гирад ва дар кӯшиши содир кардани он маълумоти иловагӣ талаб кунад .
Чунин таҷрибаҳо инчунин хатари "рӯйхатгирии номи корбар" -ро зиёд мекунанд, ки тавассути он метавон мавҷудияти тамоми маҷмӯи номҳои корбарӣ ё суроғаҳои почтаи электрониро дар вебсайт тавассути гузаронидани пурсишҳои гурӯҳӣ ва тафтиши посухҳо ба онҳо тафтиш кард. Оё шумо рӯйхати суроғаҳои почтаи электронии ҳамаи кормандон ва чанд дақиқа барои навиштани скрипт доред? Пас шумо мебинед, ки мушкил дар чист!
Алтернатива чист? Дар асл, он хеле содда аст ва ба таври назаррас амалӣ карда мешавад :
Дар ин ҷо, Entropay дар бораи мавҷудияти суроғаи почтаи электронӣ дар системаи худ ҳеҷ чизро ошкор намекунад. ба шахсе, ки ин адресро надорад... Агар ту худ суроға ва он дар система мавҷуд нест, шумо паёми электронии зерин мегиред:
Албатта, метавонад вазъиятҳои қобили қабул вуҷуд дошта бошанд, ки дар он касе гумон мекунадки дар вебсайт ба қайд гирифта шудааст. аммо ин тавр нест, ё онро аз суроғаи почтаи дигар кардааст. Мисоли дар боло овардашуда ҳарду вазъиятро бомуваффақият ҳал мекунад. Аён аст, ки агар суроға мувофиқат кунад, шумо паёми почтаи электронӣ мегиред, ки барқароркунии паролро осон мекунад.
Нозукии ҳалли интихобкардаи Entropay дар он аст, ки санҷиши мушаххас мувофиқи он сурат мегирад почтаи электронӣ пеш аз ҳама гуна санҷиши онлайн. Баъзе сайтҳо аз корбарон ҷавоб ба саволи амниятӣ мепурсанд (бештар дар ин бора дар зер) ба азнавсозӣ чӣ гуна оғоз кардан мумкин аст; аммо, мушкили ин дар он аст, ки шумо бояд ба савол ҳангоми пешниҳоди як намуди мушаххасот (почтаи электронӣ ё номи корбарӣ) ҷавоб диҳед, ки он гоҳ бидуни ошкор кардани мавҷудияти ҳисоби корбари номаълум посух додан ба таври интуитивиро қариб ғайриимкон месозад.
Бо ин муносибат, дар он ҷо хурд қобилияти коршоямӣ коҳиш ёфт, зеро агар шумо кӯшиш кунед, ки ҳисоби мавҷударо аз нав барқарор кунед, аксуламали фаврӣ вуҷуд надорад. Албатта, ин тамоми нуқтаи ирсоли почтаи электронӣ аст, аммо аз нуқтаи назари корбари воқеии ниҳоӣ, агар онҳо суроғаи нодурустро ворид кунанд, онҳо танҳо ҳангоми гирифтани почтаи электронӣ бори аввал хоҳанд донист. Ин метавонад аз ҷониби ӯ каме ташаннуҷро ба вуҷуд орад, аммо ин нархи ночизе барои пардохти чунин як раванди нодир аст.
Ёддошти дигаре, ки каме аз мавзӯъ дур аст: функсияҳои кӯмаки воридшавӣ, ки дуруст будани номи корбар ё суроғаи почтаи электрониро нишон медиҳанд, ҳамин мушкилот доранд. Ҳамеша ба корбар бо паёми "Номи корбар ва комбинатсияи парол беэътибор аст" ҷавоб диҳед, на ба таври возеҳ тасдиқ кардани мавҷудияти эътимоднома (масалан, "номи корбар дуруст аст, аммо парол нодуруст аст").
Фиристодани пароли аз нав баркароршуда ва фиристодани URL аз нав барқароршуда
Консепсияи навбатӣ, ки мо бояд муҳокима кунем, бо усули барқароркунии парол алоқаманд аст. Ду роҳи ҳалли маъмул вуҷуд дорад:
- Ташкили пароли нав дар сервер ва фиристодани он тавассути почтаи электронӣ
- Ирсоли почтаи электронӣ бо URL-и беназир барои содда кардани раванди барқарорсозӣ
Бо вуҷуди ин , нуқтаи аввал набояд ҳеҷ гоҳ истифода шавад. Мушкилот бо ин дар он аст, ки ин маънои онро дорад, ки вуҷуд дорад пароли захирашуда, ки шумо метавонед дар вақти дилхоҳ ба он баргардед ва аз нав истифода баред; он тавассути канали ноамн фиристода шудааст ва дар паёмдони шумо боқӣ мемонад. Эҳтимолияти он аст, ки паёмдонҳо дар байни дастгоҳҳои мобилӣ ва муштарии почтаи электронӣ ҳамоҳанг карда мешаванд, инчунин онҳо метавонанд дар хидмати почтаи электронии веб барои муддати хеле дароз онлайн нигоҳ дошта шаванд. Гап дар он аст куттии почтаро хамчун воситаи боэътимоди нигахдории дарозмуддат хисоб кардан мумкин нест.
Вале ба гайр аз ин, дар сархати якум боз як проблемаи чиддй — он ба қадри имкон содда мекунад бастани ҳисоб бо нияти бад. Агар ман суроғаи почтаи электронии касеро донам, ки соҳиби аккаунт дар вебсайт аст, пас ман метавонам ӯро ҳар вақт бо барқароркунии пароли ӯ масдуд кунам; ин рад кардани ҳамлаи хидматӣ дар табақи нуқра аст! Аз ин рӯ, барқароркунӣ бояд танҳо пас аз санҷиши бомуваффақият бо дархосткунанда оид ба ҳуқуқ ба он анҷом дода шавад.
Вақте ки мо дар бораи URL-и барқароркунӣ гап мезанем, мо суроғаи вебсайтро дар назар дорем, ки он аст ба ин ҳолати мушаххаси раванди барқарорсозӣ беназир аст. Албатта, он бояд тасодуфӣ бошад, фаҳмиши он набояд осон бошад ва он набояд ягон истинодҳои беруна ба ҳисоб дошта бошад, ки барқароркунии онро осон кунад. Масалан, URL-и аз нав барқароркунӣ набояд танҳо роҳе ба мисли "Reset/?username=JohnSmith" бошад.
Мо мехоҳем як аломати нодиреро эҷод кунем, ки онро ҳамчун URL-и аз нав барқароркунӣ фиристодан ва сипас бо сабти сервери ҳисоби корбар мувофиқат кардан мумкин аст ва ҳамин тавр тасдиқ мекунад, ки соҳиби ҳисоб воқеан ҳамон шахсест, ки паролро аз нав танзим карданӣ мешавад. Масалан, нишона метавонад "3ce7854015cd38c862cb9e14a1ae552b" бошад ва дар як ҷадвал дар якҷоягӣ бо ID-и корбаре, ки аз нав танзим мекунад ва вақти тавлиди нишона нигоҳ дошта мешавад (бештар дар ин бора дар зер). Вақте ки паёми электронӣ фиристода мешавад, он дорои URL ба монанди "Reset/?id=3ce7854015cd38c862cb9e14a1ae552b" мебошад ва вақте ки корбар онро зеркашӣ мекунад, саҳифа мавҷудияти аломатро дархост мекунад, ки пас аз он маълумоти корбарро тасдиқ мекунад ва ба онҳо имкон медиҳад, ки парол.
Албатта, азбаски раванди дар боло зикршуда (умедворам) ба корбар имкон медиҳад, ки пароли нав эҷод кунад, мо бояд боварӣ ҳосил кунем, ки URL тавассути HTTPS бор карда мешавад. Не, , ин URL бо нишона бояд амнияти қабати нақлиётро истифода барад, то ба шакли нави вуруди парол ҳамла карда нашавад ва пароли аз ҷониби корбар эҷодшуда тавассути пайвасти бехатар интиқол дода шуд.
Инчунин, барои URL-и аз нав барқароркунӣ, шумо бояд маҳдудияти вақти нишонаро илова кунед, то раванди барқарорсозӣ дар фосилаи муайян, масалан, дар давоми як соат анҷом дода шавад. Ин кафолат медиҳад, ки равзанаи вақти азнавсозӣ то ҳадди имкон кӯтоҳ нигоҳ дошта шавад, то қабулкунандаи ин URL-и аз нав барқароркунӣ танҳо дар дохили ин равзанаи хеле хурд амал кунад. Албатта, ҳамлагар метавонад раванди барқароркуниро дубора оғоз кунад, аммо ба ӯ лозим меояд, ки URL-и дигарро аз нав барқарор кунад.
Ниҳоят, мо бояд боварӣ ҳосил кунем, ки ин раванд якдафъаина аст. Пас аз ба итмом расидани раванди барқароркунӣ, нишона бояд хориҷ карда шавад, то URL-и барқароркунӣ дигар эътибор надорад. Нуқтаи қаблӣ лозим аст, то ҳамлакунанда равзанаи хеле хурд дошта бошад, ки дар давоми он ӯ метавонад URL-и аз нав барқароршударо идора кунад. Илова бар ин, албатта, пас аз анҷоми бомуваффақияти барқароркунӣ, нишона дигар лозим нест.
Баъзе аз ин қадамҳо метавонанд зиёдатӣ ба назар расад, аммо онҳо ба қобилият халал намерасонанд ва дар асл бехатариро беҳтар кунед, гарчанде ки дар ҳолатҳое, ки мо умедворем, камёб мешаванд. Дар 99% ҳолатҳо, корбар дар муддати хеле кӯтоҳ барқароркуниро фаъол мекунад ва дар ояндаи наздик паролро дубора барқарор намекунад.
Нақши CAPTCHA
Оҳ, CAPTCHA, чораи амниятӣ, ки ҳамаи мо онро дӯст намедорем! Дарвоқеъ, CAPTCHA на он қадар воситаи муҳофизат аст, ба мисли муайянкунӣ - шумо шахс ё робот ҳастед (ё скрипти автоматӣ). Ҳадафи он пешгирӣ кардани пешниҳоди автоматии шакл аст, ки албатта, метавонад хамчун кушиши вайрон кардани амният истифода шавад. Дар контексти аз нав танзимкунии паролҳо, CAPTCHA маънои онро дорад, ки функсияи аз нав танзимкунии корбарро ба таври дағалона маҷбур кардан мумкин нест, ки корбарро спам кунад ё барои муайян кардани мавҷудияти ҳисобҳо (албатта, ин имконнопазир аст, агар шумо маслиҳатҳои дар қисматро риоя кунед. тасдиқи шахсият).
Албатта, худи CAPTCHA комил нест; Барои "хакерӣ"-и нармафзори он ва ба даст овардани муваффақияти кофӣ (60-70%) мисолҳои зиёде мавҷуданд. Илова бар ин, як ҳалли дар мақолаи ман дар бораи он нишон дода шудааст , ки дар он шумо метавонед ба одамон фраксияҳои як сент пардохт кунед, то ҳар як CAPTCHA-ро ҳал кунед ва 94% муваффақият ба даст оред. Яъне осебпазир аст, вале (каме) садди вурудро боло мебарад.
Биёед мисоли PayPal-ро бубинем:
Дар ин ҳолат, раванди барқарорсозӣ пеш аз ҳалли CAPTCHA оғоз карда наметавонад, бинобар ин дар назария процессро автоматй кунондани он имконнопазир аст. Дар назария.
Аммо, барои аксари барномаҳои веб ин аз ҳад зиёд хоҳад буд ва комилан дуруст паст шудани қобилиятро ифода мекунад - одамон танҳо CAPTCHA-ро дӯст намедоранд! Илова бар ин, CAPTCHA чунин чизест, ки агар лозим бошад, шумо метавонед ба осонӣ ба он баргардед. Агар хидмат ба ҳамла шурӯъ кунад (қайдгирӣ дар ин ҷо муфид аст, аммо бештар дар бораи он), пас илова кардани CAPTCHA осонтар набуд.
Саволҳо ва ҷавобҳои махфӣ
Бо тамоми усулҳое, ки мо дида баромадем, мо тавонистем паролро танҳо тавассути дастрасӣ ба ҳисоби почтаи электронӣ барқарор кунем. Ман "танҳо" мегӯям, аммо албатта, ба таври ғайриқонунӣ дастрасӣ ба ҳисоби почтаи электронии ягон каси дигар бояд процесси мураккаб гардад. Аммо .
Дарвоқеъ, истиноди боло дар бораи ҳакерии Yahoo Sarah Palin! ба ду максад хизмат мекунад; аввалан, он нишон медиҳад, ки то чӣ андоза осон будани ҳакер кардани (баъзе) ҳисобҳои почтаи электронӣ ва дуюм, нишон медиҳад, ки чӣ гуна саволҳои амниятиро бо нияти бад истифода бурдан мумкин аст. Аммо мо ба ин баъдтар бармегардем.
Мушкилоти аз нав танзимкунии паролҳо, ки XNUMX% аз почтаи электронӣ вобастаанд, дар он аст, ки тамомияти ҳисоби сайте, ки шумо аз нав барқарор кардан мехоҳед, XNUMX% аз тамомияти ҳисоби почтаи электронӣ вобаста аст. Ҳар касе, ки ба почтаи электронии шумо дастрасӣ дорад дастрасӣ ба ҳама гуна ҳисобро дорад, ки тавассути гирифтани почтаи электронӣ мумкин аст аз нав барқарор карда шавад. Барои чунин ҳисобҳо, почтаи электронӣ "калиди ҳама дарҳо" -и ҳаёти онлайни шумост.
Яке аз роҳҳои коҳиш додани ин хатар ин татбиқи намунаи саволу ҷавоби амниятӣ мебошад. Бешубҳа, шумо аллакай онҳоро дидаед: саволеро интихоб кунед, ки танҳо шумоед бояд ҷавобро бидонед, ва он гоҳ вақте ки шумо пароли худро барқарор мекунед, аз шумо талаб карда мешавад. Ин бовариро илова мекунад, ки шахсе, ки кӯшиши аз нав барқарор карданро дорад, воқеан соҳиби ҳисоб аст.
Бозгашт ба Сара Пейлин, хато дар он буд, ки ҷавобҳо ба савол/саволҳои махфии ӯро ёфтан осон буд. Махсусан, вақте ки шумо як шахсияти бузурги ҷамъиятӣ ҳастед, маълумот дар бораи номи духтари модаратон, таърихи мактаб ё дар куҷое, ки касе дар гузашта зиндагӣ мекард, ҳама он қадар махфӣ нест. Дарвоқеъ, аксарияти онро тақрибан ҳар кас пайдо карда метавонад. Бо Сара ҳамин тавр шуд.
Ҳакер Дэвид Кернелл тавассути дарёфти тафсилоти заминавии ӯ, ба монанди мактаби миёна ва санаи таваллудаш ва сипас бо истифода аз хусусияти барқарорсозии пароли гумшудаи ҳисоби Yahoo!, ба ҳисоби Пэйлин дастрасӣ пайдо кард.
Пеш аз ҳама, ин хатои тарҳрезӣ аз ҷониби Yahoo! - бо нишон додани чунин саволҳои оддӣ, ширкат ба арзиши саволи амниятӣ ва аз ин рӯ, ҳифзи системаи он аслан саботаж кардааст. Албатта, аз нав танзимкунии паролҳо барои ҳисоби почтаи электронӣ ҳамеша мушкилтар аст, зеро шумо наметавонед бо фиристодани почтаи электронӣ ба соҳиби он (бе суроғаи дуюм) моликияти худро исбот кунед, аммо хушбахтона, имрӯз барои эҷоди чунин система истифодаи зиёде вуҷуд надорад.
Бозгашт ба саволҳои махфӣ - имкон дорад, ки ба корбар имкон диҳад, ки саволҳои худро эҷод кунад. Мушкилот дар он аст, ки натиҷа саволҳои хеле возеҳ хоҳад буд:
Осмон чӣ ранг аст?
Саволҳое, ки одамонро дар ҳолати нороҳат қарор медиҳанд, вақте ки саволи амниятӣ барои муайян кардани саволи махфӣ истифода мебарад шахс (масалан, дар маркази тамос):
Дар Мавлуди Исо бо кӣ хоб кардам?
Ё саволҳои беақл:
Чӣ тавр шумо "парол" -ро менависед?
Вақте ки сухан дар бораи саволҳои амниятӣ меравад, корбарон бояд аз худ наҷот ёбанд! Ба ибораи дигар, саволи махфӣ бояд худи сайтро муайян кунад, ё ҳатто беҳтараш пурсед силсила саволҳои амниятӣ, ки корбар метавонад аз онҳо интихоб кунад. Ва интихоб кардан осон нест один; Идеалӣ корбар бояд ду ё зиёда саволҳои амниятӣ интихоб кунад ҳангоми бақайдгирии ҳисоб, ки баъдан ҳамчун канали дуюми мушаххаскунӣ истифода мешавад. Доштани саволҳои сершумор сатҳи эътимодро ба раванди санҷиш афзоиш медиҳад, инчунин имкон медиҳад, ки тасодуфӣ (на ҳамеша як савол нишон дода шавад), илова бар ин, агар корбари воқеӣ паролро фаромӯш кунад, каме зиёдатӣ фароҳам меорад.
Саволи хуби амниятӣ чист? Ба ин якчанд омилҳо таъсир мерасонад:
- Вай бояд бошад мухтасар — савол бояд равшан ва якхела бошад.
- Ҷавоб бояд бошад мушаххас — ба мо саволе лозим нест, ки як кас ба таври гуногун чавоб дода метавонад
- Ҷавобҳои имконпазир бояд бошанд гуногун - пурсидани ранги дӯстдоштаи касе миқдори хеле ками ҷавобҳои имконпазирро медиҳад
- Поиск ҷавоб бояд мураккаб бошад - агар ҷавоб ба осонӣ пайдо шавад ҳама (дар бораи одамони мансаби баланд фикр кунед), пас вай бад аст
- Ҷавоб бояд бошад доимӣ бо гузашти вақт - агар шумо филми дӯстдоштаи касеро пурсед, пас як сол пас ҷавоб метавонад гуногун бошад
Тавре ки рӯй медиҳад, як вебсайте мавҷуд аст, ки ба саволҳои хуб бахшида шудааст . Баъзе саволҳо хеле хуб ба назар мерасанд, баъзеи дигар аз баъзе санҷишҳои дар боло тавсифшуда, бахусус санҷиши "осонии ҷустуҷӯ" нагузаштаанд.
Иҷозат диҳед ман нишон диҳам, ки чӣ тавр PayPal саволҳои амниятро иҷро мекунад ва махсусан кӯшишҳои сайт барои тасдиқи аутентификатсия. Дар боло мо саҳифаро барои оғози раванд дидем (бо CAPTCHA) ва дар ин ҷо мо нишон медиҳем, ки пас аз ворид кардани суроғаи почтаи электронии шумо ва ҳалли CAPTCHA чӣ мешавад:
Дар натиҷа, корбар мактуби зеринро мегирад:
То ҳол ҳама чиз хеле муқаррарӣ аст, аммо дар ин ҷо он чизест, ки дар паси ин URL-и барқароркунӣ пинҳон аст:
Ҳамин тавр, саволҳои амниятӣ ба бозӣ меоянд. Дар асл, PayPal инчунин ба шумо имкон медиҳад, ки гузарвожаи худро тавассути тасдиқи рақами корти кредитии худ барқарор кунед, аз ин рӯ канали иловагӣ вуҷуд дорад, ки бисёре аз сайтҳо ба он дастрасӣ надоранд. Ман танҳо пароли худро бе ҷавоб иваз карда наметавонам ҳар ду саволи махфӣ (ё надонистани рақами корт). Ҳатто агар касе почтаи электронии маро ғорат кунад, онҳо наметавонанд пароли ҳисоби PayPal-и худро аз нав барқарор кунанд, агар онҳо маълумоти каме бештар дар бораи манро надонанд. Кадом маълумот? Инҳоянд имконоти саволҳои амниятӣ, ки PayPal пешниҳод мекунанд:
Саволи мактаб ва беморхона метавонад аз ҷиҳати осонии ҷустуҷӯ каме нофаҳмо бошад, аммо дигарон он қадар бад нестанд. Аммо, барои беҳтар кардани амният, PayPal мушаххасоти иловагиро талаб мекунад тағйирдиҳӣ ҷавобҳо ба саволҳои амниятӣ:
PayPal як намунаи хеле утопии барқарорсозии паролҳои бехатар аст: он CAPTCHA-ро барои коҳиш додани хатари ҳамлаҳои бераҳмона амалӣ мекунад, ду саволи амниятӣ талаб мекунад ва сипас танҳо барои тағир додани ҷавобҳо як намуди дигари мушаххасоти комилан дигарро талаб мекунад - ва ин пас аз корбар аллакай ворид шудааст. Албатта, мо махз хамин аст интизор меравад аз PayPal хоҳад буд; ин муассисаи молиявист, ки бо маблағҳои калон сарукор дорад. Ин маънои онро надорад, ки ҳар як барқароркунии парол бояд ин қадамҳоро иҷро кунад - дар аксари ҳолатҳо он аз ҳад зиёд аст - аммо ин намунаи хубест барои ҳолатҳое, ки амният тиҷорати ҷиддӣ аст.
Бароҳатии системаи саволҳои амниятӣ дар он аст, ки агар шумо онро фавран татбиқ накарда бошед, пас шумо метавонед онро баъдтар илова кунед, агар сатҳи муҳофизати манбаъ инро талаб кунад. Мисоли хуби ин Apple аст, ки ин механизмро танҳо ба наздикӣ амалӣ кардааст. [мақола дар соли 2012 навишта шудааст]. Вақте ки ман навсозии барномаро дар iPad-и худ оғоз кардам, ман дархости зеринро дидам:
Сипас ман экранеро дидам, ки дар он ман метавонам якчанд ҷуфт саволҳо ва ҷавобҳои амниятӣ ва инчунин суроғаи почтаи электронии наҷотро интихоб кунам:
Дар мавриди PayPal, саволҳо пешакӣ интихоб карда шудаанд ва баъзеи онҳо воқеан хеле хубанд:
Ҳар яке аз се ҷуфт саволҳо ва ҷавобҳо маҷмӯи гуногуни саволҳои имконпазирро ифода мекунанд, аз ин рӯ роҳҳои зиёде барои танзими ҳисоб мавҷуданд.
Ҷанбаи дигаре, ки бояд дар бораи ҷавоб додан ба саволи амниятии шумо баррасӣ шавад, нигоҳдорӣ мебошад. Доштани пойгоҳи додаҳои матнии оддӣ дар пойгоҳи додаҳо тақрибан ҳамон таҳдидҳоро ҳамчун парол ба вуҷуд меорад, яъне фош кардани пойгоҳи додаҳо арзиши онро фавран ошкор мекунад ва на танҳо барномаро зери хатар мегузорад, балки барномаҳои эҳтимолан комилан гуногунро бо истифода аз як саволҳои амниятӣ (боз вуҷуд дорад) ). Як вариант ҳашингии бехатар аст (алгоритми қавӣ ва намаки тасодуфии криптографӣ), аммо бар хилофи аксари ҳолатҳои нигаҳдории парол, метавонад сабаби хубе барои пайдо шудани посух ҳамчун матни оддӣ мавҷуд бошад. Сенарияи маъмулӣ санҷиши шахсият аз ҷониби оператори телефонии мустақим мебошад. Албатта, хэшинг дар ин ҳолат низ татбиқ мешавад (оператор метавонад танҳо ҷавоберо, ки муштарӣ номбар кардааст, ворид кунад), аммо дар бадтарин ҳолат, ҷавоби махфӣ бояд дар як сатҳи нигоҳдории криптографӣ бошад, ҳатто агар он танҳо рамзгузории симметрӣ бошад. Ҷамъбаст кунед: ба асрор мисли асрор муносибат кунед!
Ва ҷанбаи охирини саволу ҷавобҳои махфӣ ин аст, ки онҳо ба муҳандисии иҷтимоӣ осебпазиртаранд. Кӯшиши мустақиман дархост кардани парол ба ҳисоби шахси дигар як чиз аст, аммо сӯҳбат дар бораи таҳсилоти ӯ (саволи махфии маъмул) комилан дигар аст. Дарвоқеъ, шумо комилан имконпазир аст, ки бо касе дар бораи бисёр паҳлӯҳои ҳаёти онҳо, ки метавонад саволи махфӣ бошад ва бидуни шубҳа сӯҳбат кунед. Албатта, худи мохияти саволи пинхонй дар он аст, ки вай ба тачрибаи хаётии касе дахл дорад, бинобар ин ба хотир мео-яд ва масъала дар хамин чост — одамон дӯст медоранд, ки дар бораи таҷрибаи ҳаёти худ сӯҳбат кунанд! Шумо дар ин бора каме кор карда метавонед, танҳо агар шумо чунин вариантҳои саволҳои амниятиро интихоб кунед, то ки онҳо бошанд камтар эҳтимолан тавассути муҳандисии иҷтимоӣ баровардан мумкин аст.
[Давом дорад.]Дар бораи ҳуқуқи реклама
ВДСина боэътимод пешниҳод мекунад , ҳар як сервер ба канали интернетии 500 мегабит пайваст аст ва аз ҳамлаҳои DDoS ройгон ҳифз карда мешавад!
Манбаъ: will.com