Parola karma ve kullanıcı için destek


10

Son zamanlarda daha iyi bir şifre depolama stratejisine geçtik, bununla birlikte tüm iyi şeyler geldi:

  • Parolalar bCrypt uygulamasından geçtikten sonra saklanır
  • Kullanıcıya, adresin sahipliğini onaylamak için hesap oluşturma konusunda bir etkinleştirme bağlantısı gönderilir
  • Güvenlik sorusu olmadan şifremi unuttum, e-postalarına bir bağlantı gönderilir.
  • Bağlantının süresi 24 saat sonra dolar ve bu noktada yeni bir bağlantı istemeleri gerekir.
  • Hesap personelimizden oluşturulursa, içinde rastgele güçlü bir şifre bulunan bir e-posta gönderilir. Kullanıcı oturum açtıktan sonra bilmediğimiz bir şeye sıfırlamak zorunda ve bu bCrypt'd.

Şimdi bu "en iyi uygulama" ile uyumludur, ancak bu, tüm bunları anlamayan normal kullanıcılardan destek talebimizi çok artırdı, sadece giriş yapmak istiyorlar.

Sıklıkla şikayet eden kullanıcılardan istek alırız:

  • Yanlış şifre (sıfırlamak istedikleri paroladan genellikle sonunda bir boşluk ile yapıştırırlar). Bize ne kullandıklarını söylerler, ancak onlara gerçek parolalarının ne olduğunu söylemenin bir yolu yoktur.
  • Gönderdiğimiz e-postayı almadığını söyleyerek (etkinleştirme, sıfırlama vb.). Çoğu zaman sorun olmaz, çoğu sorun giderme işleminden sonra e-postada bir yazım hatası yaptığını, doğru e-posta hesabını kontrol etmediklerini veya yalnızca spam klasörüne gittiğini öğrendik.

Elbette onlar için deneyemeyiz çünkü şifremiz yok. Başarısız girişimleri kaydediyoruz, ancak başka bir hesap için kullanılan şifre olması ve düz metin günlük dosyasında saklamak istemediğimiz için kullandıkları şifreyi de temizliyoruz. Bu bize sorunları bildirirken onlara yardım edecek hiçbir şey bırakmıyor.

Çoğu insanın bu gibi sorunlarla nasıl başa çıktığını merak ediyorum?


2
Sisteminizin kullanıcılara gönderdiği e-postalarda biraz daha açıklayıcı olmanın dışında, en iyi uygulamaları korurken farklı olarak neler yapabileceğinizi görmüyorum. Sadece aptal kullanıcıları tokatlamanızı diler.
Bernard

1
İnsanlar aptal, kullanıcılarınız, diğerlerinden daha fazla , soruyu burada görmüyorum?

8
Jarrod sadece kullanıcılarına hakaret ediyorsun. Buradaki aptal sensin. Kullanıcılarınızın bilgisayar okuryazarlığı düzeyini anlayamıyorsunuz. Hücum yok, ama bilgisayar meraklıları için olmayan insanlar için yazılım yazıyorsunuz. Herhangi bir soru görmüyorsanız, muhtemelen tüm bu kullanılabilirlik uzmanlarının işten çıkarılması gerektiği anlamına gelir, çünkü gerçekten gerekli değildirler. Bu sadece "aptal insanlar" ile ilgili bir sorun, bu yüzden biz - zeki geliştiriciler sadece onları web'den yasaklamak ve sorun gider :) Eğer birisi sadece yazar kullanabileceği bir sistem yazdıysanız bir sorun görmüyoruz?
Slawek

2
@Slawek: hayır, gerçekten, insanlar aptal.
Bryan Boettcher

@JarrodRoberson, neredeyse onun kullanıcıları - halka açık web uygulamaları ile uğraşırken, genellikle ne alırsınız. Bununla birlikte, beğen ya da beğenme , hala destek kaynaklarını kullanıyor ve çok geçerli bir soru.
GrandmasterB

Yanıtlar:


7

Yanlış şifre (sıfırlamak istedikleri paroladan genellikle sonunda bir boşluk ile yapıştırırlar). Bize ne kullandıklarını söylerler, ancak onlara gerçek parolalarının ne olduğunu söylemenin bir yolu yoktur.

Bunun yerine, oturum açan ve parolayı sıfırlamaya zorlayan bir kerelik GUID'ye sahip bir bağlantı ekleyerek düzeltilebilir. Kullanıcıyı kopyalayıp yapıştırmaya zorlamayın. (Ayrıca, formunuzdaki parolanın sonunda neden boşluk bırakmıyorsunuz?)

Gönderdiğimiz e-postayı almadığını söyleyerek (etkinleştirme, sıfırlama vb.). Çoğu zaman sorun olmaz, çoğu sorun giderme işleminden sonra e-postada bir yazım hatası yaptığını, doğru e-posta hesabını kontrol etmediklerini veya yalnızca spam klasörüne gittiğini öğrendik.

Giden e-postanızın istenmeyen postadan kaldırıldığından emin olun (bazı yaygın posta hizmetlerinde test hesapları oluşturun), gerçekleşen her şeyi günlüğe kaydedin ve yeni bir sıfırlama isteğinde bulunmaları durumunda kullanıcıya rapor edin (örneğin, johndoee @ gmail adresine posta gönderin) .com başarısız, kullanıcı bulunamadı, doğru yazdınız mı?). Ayrıca, yazım ve spam sorunları hakkında kullanıcılara açık olun.

Ayrıca, OpenID ve diğer üçüncü taraf yetkileri de diğerlerinin de söylediği gibi bir seçenektir.


bazı insanlar şifrelerine boşluk koyar mı?
soandos

Bazı insanlar otomatik olarak oluşturulan şifreleri keser ve başlangıçta ve / veya sonunda boşluklar ekler. (Soruyu okuyun.)
Macke

3

Facebook, OpenID, Google gibi üçüncü taraf bir kimlik doğrulama yöntemi kullanın ... kullanıcılarınız için uygun olan her şeyi söyleyebilirim. Ancak, kullanıcılarınız şifrenizi hatırlayamazsa, üçüncü taraf bir kimlik doğrulama sistemi kullanamazlar ...

Durumunuza bağlı olarak, SSL istemci sertifikaları gibi başka bir sistem kullanabilirsiniz (son kullanıcılar için kesinlikle yüklemeleri zordur, ancak bu bir şirketse ve kurulumunu otomatikleştirebiliyorsanız, harika), Windows SSO, bir mobil uygulama vb.


İstemci sertifikaları çok kötü bir fikirdir. Güvensiz ve bir şeyler ters giderse uzaktan düzeltmek için bir kabus. Openid iyi bir fikir olsa da
Tom Squires

Sertifikalar nasıl güvensizdir?
Bernard

@bernard bu bilgisayarda olan herkesin sertifikasına sahiptir. Bir virüs ile de dışarı çıkmak oldukça kolay
Tom Squires

1
Sadece bulundukları makine kadar güvenli olduklarını kabul ediyorum, ancak bu tamamen farklı bir sorun.
Bernard

3

Bunu yapmana bile gerek var mı? Yapmanız gereken ilk şey, neyi koruduğunuzu ve kimden koruduğunuzu belirler. Belki de en iyi uygulamanın maliyetine değmez ve belki de en iyi uygulama saldırganınızı durdurmaz.

NSA'ya karşıysanız ve istedikleri bir şeye sahipseniz, vazgeçip kullanıcılarınızın hayatını kolaylaştırın. Kredi kartı numaralarınız varsa, gerekli güvenlik düzeyinin gerektirdiği sorunlara katlanmak zorunda kalacaksınız, çünkü onları isteyen ve almak için para ve zaman harcayacak kötü adamlar var. Bir aile fotoğraf albümüne erişim, tüm bu güvenliğe ihtiyacınız var mı.

Güvenliği anlamak için iyi bir başlangıç ​​olarak Buce Scheiners çalışmalarını (Sırlar ve Yalanlar) okuyun.


3

Atlayan ilk şey, e-postalarınızın önemsiz postalara girmesidir. E-postayı gerçek olarak tanınacak şekilde ayarlamak önemsiz değildir. E-postanızın yanlış bir şekilde işaretlenmesini nasıl durduracağınıza bakmanızı öneririm (SO hakkında ayrı bir soru?

Tavsiye edeceğim ikinci şey, kullanıcılarınıza şifre kurtarma e-postalarını başlatan tek tıklamalı bir web sitesi / uygulama vermektir. E-postadan başka bir şekilde yapmayı reddetmek, güvensizdir ve kötü bir emsal oluşturur.


E-posta, hassas bilgileri iletmenin özellikle güvenli bir yolu değildir. Sadece normal kullanıcılar GPG ve ssh tuşları ile rahatsız edilebilseydi ...
tdammers

@tdammers o kadar güvenli olmadığını kabul ediyorum. Ancak, çevrimiçi kimliğinizin temel taşı haline gelmiştir (daha iyi veya daha kötü için). Şu anda daha iyi bir alternatif yok.
Tom Squires

Evet var. Şifreli e-posta. Her zaman kullanıyorum ve büyük şirketlerin bile hassas e-postalar için pubkey şifrelemesi sunmayı rahatsız etmemesi beni rahatsız ediyor. Uygulamak bile zor değil. SSL'yi hassas bilgiler için zorunlu hale getiren yasaların (en azından burada Hollanda'da) garip olduğunu düşünüyorum, ancak aynı zamanda aynı SMTP üzerinden aynı bilgileri göndermek kabul edilebilir.
tdammers

@tdammers Kendim tavsiye edebilecek kadar bilgim yok. Meydan okurcasına OP bakmak rağmen değer
Tom Squires

2

Sizi aramaya ve parolalarını yüksek sesle anlatmaya istekli olmaları, bu kullanıcılara, parola ve koruduğu bilgilerin o kadar büyük bir anlaşma olmadığını söyler. Bankacılık şifremle bunlardan hiçbirini yapmam. Ancak gerçekten hak etmeyen şeyler için şifre isteyen bir dizi site var. Bunların hepsi için kullandığım tek bir standart şifrem var ve daha fazla "hey bu güçlü bir şifre değil" veya "size bir şifre yapacağız ve sizi düzenli olarak değiştirmeye zorlayacağız" vb. Daha az kullanmak istiyorum o hizmeti. Ben aslında sadece db onları düz metin tutmak ve istek üzerine insanlara e-posta göndermek daha iyi bir yaklaşım olacağını görmek için hayatınızdaki "iş değeri" insanlarla kısa bir görüşme olacaktır.

Aslında bu kadar güvenli olsaydı, müşterilerimden birinin onlar için kodladığımız sistemle ne yaptığını deneyebilirsiniz. Kişi ile telefonda iken, db gidin ve e-posta adresini kendiniz değiştirin. Ardından web'e gidin ve Şifremi Unuttum'u tıklayın. E-postayı bekleyin ve giriş yapmak için kullanın. Web sitesini kullanarak şifreyi Şifre olarak veya müşteriyle sözlü olarak kabul ettiğiniz başka bir şeyle değiştirin. E-posta adreslerini tekrar kendi adreslerine değiştirin ve onlara "her şey hazır, yeni şifreniz şimdi etkin!" Mutlu müşteri ve onlara neler olduğunu açıklamak zorunda değilsiniz.


2
Doğrudan veritabanı değişikliği, kendi başına bir güvenlik ihlalidir. Bu, sisteminizi kullanarak herhangi bir kullanıcının kimliğine bürünebileceğiniz anlamına gelir.
Bernard

3
Müşterilerim, herhangi bir kullanıcı için herhangi bir alanı düzenleyebilecekleri bir Windows uygulamasına sahipti. Tabii ki denetlendi. Tabii ki destek masasının yakınındaki duvara bantlanmış bu yazılı prosedürü gördüğümde MUTLU DEĞİLDİM. Ama kabul etmeye geldim, ve herhangi birinin arayarak şifresini şikayet etmesi durumunda neler olduğunu gösteren bir denetim izi var. Mesele şu ki, her şeyin bu kadar güvenli olması gerekmez. Kullanıcılar bunun gerekmediğini söylüyor.
Kate Gregory

1
Ne yazık ki, çoğu kullanıcı daha iyisini bilmiyor. En iyi uygulamaları uygulamak yazılım uygulamalarının geliştiricilerine bağlıdır.
Bernard

4
Bunun büyük bir güvenlik açığı olduğunu kabul ediyorum. Ve bunun en uygun çözüm olabileceğini kabul ediyorum . Bununla birlikte, müşteri desteğinin, kullanıcının şifresini sıfırlamak için müşterinin e-posta adresini geçici olarak değiştirmesi inanılmaz derecede aptalca görünmektedir: müşteri desteğinin şifreleri sıfırlamasına izin verecekseniz, doğrudan yapmasına izin verin.
John Bartholomew

4
Ayrıca, kullanıcıların belirlediği düz metin şifrelerini açığa çıkarmanın (aslında, şifreleri düz metinde saklamanın), bence, müşteri desteğine doğrudan kullanıcı şifrelerini değiştirme yeteneğini vermekten çok daha kötü olduğunu unutmayın .
John Bartholomew

2

geçmişte çok okuma yazma bilmeyen kullanıcılara sahip bir sistemde kullandığım son çare yöntemi, kullanıcıyı telefon numarası ve onay numarası verilen bir ekrana yönlendirmekti. Telefon numarasını aradılar, kimliklerini manuel yollarla doğruladılar ve ardından onayı okuyun. destek personeli ayrı bir sisteme giriş yapmış, numarayı girmiş ve müşteriye geri vermek için ikinci bir numara almıştır. istemci, şifre sıfırlama sayfasına devam etmek için ikinci kodu kullandı. sayfanın istemci sürümü destek personelinin alt ağlarından çalıştırılamadı ve destek ekranı istemcilerden çalıştırılamadı.

bir destek görevlisinin her iki ucu bir konumdan çalıştırmak için bir vpn kullanabileceği için kurşun geçirmez değildir, ancak destek hesabı etkinlikten sorumlu olarak günlüğe kaydedildiği için denetim için yeterliydi


-5

Belki INSANE olmayan güvenlik kurallarını uygulayarak. Bunu yaparak, elde ettiğiniz tek şey gerçekten daha az güvenliktir, çünkü sistemin kullanımı o kadar zordur ki, müşterileriniz size ve arkadaşlarına şifreleri yeniden çalıştıracak!

Onlara sadece NORMAL bağlantıları gönderemezsiniz, ardından aşağıdaki şifreyi giremezsiniz. E-posta istemcisi tarafından bağlantı koparsa formu sadece bir alan "aktivasyon kodu" ... "e-postada bulunan aktivasyon kodunu" yazın ... ... 5 basamaklı, böylece O ile 0 hata yapmazlar. 4 rakamlar kredi kartları için uygundur ve basit giriş için bu kadar karmaşık bir politikaya ihtiyacınız var mı? Kod çalışmazsa, TRIMmed dizesi ile kontrolü tekrarlayın. Sanırım daha az güvenli olmayacak, değil mi? :)

Benim için sık sık olur ... i şifre üzerinde çift tıklayın ve bitiş alanı kopyalanır. Çekin neden kontrol başarısız olduğunda biten beyaz karakterleri kaldırmak ve işlemi tekrarlamak için neden çözemiyorum? O zaman belki CL'ye yanlışlıkla basmadığımı kontrol etmem için mektup harfini TOGGLE.

Çok kötü bir şekilde karmaşık hale getirdin. "Şifreyi sıfırla" ve "başlangıç ​​şifresi" değil, ancak "Onay kodu" ve "Size e-postaya gönderdiğimiz onay numarasını girin", "E-postanız yok mu? Xxx@yyy.com adresine gönderildi, kontrol edin tekrar spam, hala sahip değil misiniz? Onay e-postanızı tekrar gönderin ". HTML gövdesinde bir bağlantı. http://xxx.com/conf-12345-mymail-gmail-com.html . Hiçbir posta istemcisi bunu kıramaz.


5
Bahsettiği güvenlik politikası sadece "INSANE" değil, aynı zamanda tüm "SANE" uygulamalarının bir gereği olmalıdır. E-posta ile gönderilen bu gibi bağlantıların bir süre sonra parolanın sıfırlanmasını önlemek için süresinin dolması gerekir (ya doğrudan bağlantıyla ya da bilgisayar destekli algoritma ile tökezleyerek). Parolalar büyük olasılıkla doğrulanmadan önce kesilmelidir. Kullanıcılar aptal. Hukuk bu. Yanıt, güvenlik önlemlerimizi azaltmak değil, kullanıcılarımızın doğru prosedürleri anlamalarını sağlamak için proaktif adımlar atmaktır.
Dalin Seivewright

7
-1. Bu, çoğu sitenin kullandığı akılcı bir yöntemdir. Bir sitede "şifremi unuttum" ve düz metin olarak şifremi içeren bir e-posta alırsam hesabımı kapatırım.
Matt Grande
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.