Хешування паролів та підтримка вашого користувача

Нещодавно ми перейшли до кращої стратегії зберігання паролів. З нею вийшло все хороше:

• Паролі зберігаються після переходу через bCrypt
• Під час створення облікового запису користувачеві надсилається посилання для активації, щоб підтвердити право власності на адресу
• Забули пароль без питання безпеки, на їх адресу надсилається посилання.
• Посилання закінчується через 24 години, після чого їм потрібно буде подати запит на нове.
• Якщо обліковий запис створено з наших співробітників, надіслати електронний лист із випадковим надійним паролем. Після входу в систему користувач повинен скинути його на те, що ми не знаємо, а це bCrypt'd.

Зараз це відповідає «найкращій практиці», але це значно збільшило наш обсяг підтримки від постійних користувачів, які все це не розуміють, вони просто хочуть увійти.

Ми часто отримуємо запит від користувачів, які скаржаться на:

• Неправильний пароль (від того, який потрібно скинути, вони часто вставляють його з пробілом в кінці). Вони кажуть нам, що вони використовують, але ми не можемо їм сказати, який їх фактичний пароль.
• Скажімо, вони не отримують електронний лист, який ми надсилаємо їм (активація, скидання тощо). Це часто не так, після багатьох проблем з усунення неполадок ми зазвичай з'ясовували, що вони вводили помилку в електронній пошті, що вони не перевіряють правильний обліковий запис електронної пошти або що він просто перейшов у папку зі спамом.

Ми, звичайно, не можемо спробувати це для них, оскільки у нас немає пароля. Ми реєструємо невдалі спроби, але також очищаємо пароль, який вони використовували, оскільки це, ймовірно, пароль, який використовується для іншого облікового запису, і ми не хотіли зберігати його у простому текстовому файлі журналу. Це залишає нам майже нічого, щоб допомогти їм, коли вони повідомляють про проблеми.

Мені цікаво, як більшість людей вирішують такі питання?

Неправильний пароль (від того, який потрібно скинути, вони часто вставляють його з пробілом в кінці). Вони кажуть нам, що вони використовують, але ми не можемо їм сказати, який їх фактичний пароль.

Виправляється, замість того, щоб включити посилання з одноразовим GUID, який входить в систему, і змушує їх скинути пароль. Не змушуйте користувача копіювати та вставляти. (Крім того, чому б не позбавити пробілів наприкінці пароля у вашій формі.)

Скажімо, вони не отримують електронний лист, який ми надсилаємо їм (активація, скидання тощо). Це часто не так, після багатьох проблем з усунення неполадок ми зазвичай з'ясовували, що вони вводили помилку в електронній пошті, що вони не перевіряють правильний обліковий запис електронної пошти або що він просто перейшов у папку зі спамом.

Переконайтеся, що ваша вихідна електронна пошта знешкоджена (можливо, встановіть тестові облікові записи на деяких поширених поштових сервісах), запишіть що-небудь, що трапиться, і, можливо, повідомте про це користувачеві, якщо він спробує запросити нове скидання (наприклад, пошту на johndoee @ gmail .com не вдалося, користувач не знайдений, чи правильно ви написали?). Крім того, будьте зрозумілі для користувачів щодо питань правопису та спаму.

Крім того, OpenID та інші сторонні автори також є варіантом, як говорили інші.

Я б сказав, використовуйте сторонній метод аутентифікації, наприклад Facebook, OpenID, Google ... все, що підходить для ваших користувачів. Однак якщо ваші користувачі не можуть запам'ятати ваш пароль, можливо, вони не зможуть використовувати систему аутентифікації третьої сторони ...

Залежно від вашої ситуації, можливо, ви зможете використовувати іншу систему, наприклад, SSL-клієнтські сертифікати (їх, безумовно, важко встановити для кінцевих користувачів, але якщо це компанія і ви можете автоматизувати її встановлення, це чудово), Windows SSO, мобільний додаток тощо

Вам це навіть потрібно робити? Перше, що вам потрібно зробити, це визначити, від чого ви захищаєте і від кого це захищаєте. Можливо, це просто не варто витрат на кращу практику, а може, найкраща практика навіть не зупинить вашого нападника.

Якщо ви проти проти АНБ і хочете чогось захотіти, відмовтесь і полегшіть життя своїх користувачів. Якщо у вас є номери кредитних карток, вам доведеться миритися з проблемами, необхідних для забезпечення необхідного рівня безпеки, адже там погані хлопці, які хочуть їх, і витратять гроші та час, щоб їх отримати. Це доступ до сімейного фотоальбому, чи потрібна вам вся така безпека.

Прочитайте твори Buce Scheiners («Секрети та брехня») як гарний початок розуміння безпеки.

Перше, що вискакує, це те, що ваші електронні листи надходять у небажану пошту. Налаштування електронної пошти таким чином, щоб вона була визнана справжньою, не є тривіальною. Я пропоную вам розібратися в тому, як не допустити неправильного позначення вашої електронної пошти (окреме запитання про ТАК?)

Друге, що я рекомендую, - це надати вашим користувачам веб-сайт / додаток одним кліком, який ініціює відновлення пароля електронною поштою. Відмовтеся робити це будь-яким іншим способом, ніж електронна пошта, це незахищено і створює поганий прецедент.

Той факт, що вони готові зателефонувати вам та повідомити свій пароль вголос, говорить вам про те, що для цих користувачів пароль та інформація, яку він захищає, не так вже й багато. Я б ніколи не робив жодної з цих речей зі своїм банківським паролем. Але є ряд сайтів, які вимагають паролів для речей, які їх справді не заслуговують. У мене є один стандартний пароль, який я використовую для всіх тих, і тим більше "ей, це не сильний пароль" або "ми зробимо вам пароль і змусимо вас регулярно його змінювати" і так далі, тим менше я хочу використовувати що служба. Я хотів би провести коротку розмову з людьми, що мають "ділову цінність" у вашому житті, щоб побачити, чи насправді кращим підходом просто зберігати їх у тексті та просто надсилати їх електронним повідомленням людям.

Якщо насправді це повинно бути таким безпечним, ви можете спробувати, що зробив один із моїх клієнтів із системою, яку ми кодували для них. Перебуваючи по телефону з людиною, заходьте в db і змініть їх електронну адресу на вашу. Потім перейдіть в Інтернет і натисніть Забули пароль. Зачекайте електронного листа та використовуйте його для входу. Використовуючи веб-сайт, змініть пароль на Пароль або щось інше, що ви усно погоджуєтесь із замовником. Поверніть свою електронну адресу на свою власну адресу та скажіть їм "все налаштовано, ваш новий пароль зараз активний!" Щасливий клієнт, і вам не потрібно пояснювати їм, що все відбувається.

У крайньому випадку, який я використовував у системі з дуже неграмотними користувачами в минулому, було спрямовувати користувача на екран, де їм було надано номер телефону та номер підтвердження. Вони зателефонували за номером телефону, підтвердили свою особу за допомогою ручних засобів, а потім прочитали підтвердження. особа служби підтримки увійшла до окремої системи, ввела номер та отримала другий номер, щоб повернути клієнту. клієнт використовував другий код для продовження переходу на сторінку скидання пароля. клієнтська версія сторінки не могла запускатися з підмереж служб підтримки, а екран підтримки не міг працювати з клієнтами.

він не є бронезахисним, оскільки особа, яка надає підтримку, може використовувати vpn для запуску обох кінців з одного місця, але це було достатньо для аудиту, оскільки обліковий запис підтримки був зареєстрований як відповідальний за діяльність

Можливо, застосовуючи правила безпеки, які не є INSANE. Роблячи це, все, що ви отримуєте, - це насправді менша безпека, оскільки система настільки важка у використанні, що ваші клієнти оновлюватимуть паролі вам та їхнім друзям лише для того, щоб вони працювали!

Чи не можете ви просто надіслати їм НОРМАЛЬНІ посилання, а потім пароль нижче. Якщо посилання порушено клієнтом електронної пошти, просто виведіть форму з одним полем "код активації" ... "введіть код активації, який ви маєте в електронній пошті" ... 5 цифр, щоб вони не помилилися 0 з O і т.д. 4 для кредитних карток це нормально, і вам потрібна така складна політика для простого входу? Якщо код не працює, повторіть перевірку з рядком TRIMmed? Я думаю, це не зробить його менш безпечним, правда? :)

Для мене це трапляється часто теж ... Я двічі клацну пароль та копіюючи пробіл. Мені незбагненно, чому peple не може зрозуміти, просто видалити кінцеві білі символи, коли перевірка не вдалася і повторити процес? Тоді можливо TOGGLE обкладинка листа для мене, щоб перевірити, чи я випадково не натиснув CL.

Ви так сильно ускладнили це. Це не "скидання пароля" та "початковий пароль" ... але "Код підтвердження" та "Введіть номер підтвердження, який ми надсилаємо вам на електронну пошту", "Не маєте електронної пошти? Це було надіслано на xxx@yyy.com, перевірте ваш спам знову, у вас все ще немає? Відправте підтвердження електронною поштою ". У тілі HTML посилання. http://xxx.com/conf-12345-mymail-gmail-com.html . Жоден поштовий клієнт не порушить це.