هکرها با دیدن “نام کاربری یا رمز عبور اشتباه است” ناامید نمی شوند!

یک روش خوب امنیتی وجود دارد که می گوید در فرم های ورود نگویید “رمز عبور اشتباه است”. بلکه بگویید “نام کاربری یا رمز عبور اشتباه است” تا احیانا کسی که قصد هک سایت را دارد متوجه نشود نام کاربری را اشتباه زده است یا رمز عبور را.

صفحات ورود Stripe و Github از همین روش پیروی می کنند.

همانطور که گفته شد فلسفه این کار هم این است که اگر آقا یا خانم هکر نام کاربری یا ایمیل را بداند می تواند با روش هایی مثل SQL Injection، Brute force، فیشینگ، مهندسی اجتماعی و …روی پیدا کردن رمز عبور تمرکز کند.

ولی فکر اینجا رو نکرده اند و مشکل هم دقیقا همین جاست.یعنی فرم ثبت نام! با هم به فرم ثبت نام دو سایتی که در بالا گفته شد نگاهی می اندازیم:

تمام کاری که هکر باید انجام دهد این است که ثبت نام کند تا بفهمد نام کاربری یا ایمیل در سایت وجود دارد یا خیر.پس اون پیام غیر شفاف که در فرم ورود نمایش دادیم برای چی بود؟ فقط هکرهای احمق با دیدن پیام “نام کاربری یا رمز عبور اشتباه است” کارشان را متوقف می کنند و به سلامت. در واقع با این پیام چیزی بدست نیاوردیم به جز گیج کردن کاربران در صفحه ورود.

Stripe از reCAPTCHA گوگل برای متوقف کردن حملات به صفحه ثبت نام اش استفاده کرده است. با این حال ریکپچا هم چندین بار شکسته و دور زده شده (۱۲) و هیچ وقت هم کامل نخواهد بود. حتی اگر reCAPTCHA هم کاملا درست کار می کرد، یک هکر می توانست به صورت دستی نام های کاربری را در فرم ثبت نام چک کند تا از وجودشان مطمئن شود و بعد حمله اتوماتیک اصلی را در فرم ورود که کپچا ندارد انجام بدهد.

در همین رابطه :   افزایش امنیت وردپرس با غیرفعال کردن ویرایشگر قالب

تنها راهی که می توان جلوی اطلاع مهاجمین به سایت را از دانستن وجود یا عدم وجود حساب کاربری گرفت این است که فقط یک ایمیل بگیریم و در رابط کاربری هم اصلا پیامی در مورد اینکه ثبت نام موفقیت آمیز بود یا نه نمایش داده نشود. به جای آن کاربر ایمیل ثبت نام خودش را دریافت خواهد کرد و از تکمیل ثبت نام اطلاع پیدا می کند. با این روش تنها راهی که مهاجم می تواند از وجود حساب کاربری مطلع شود این است که به ایمیل هدف دسترسی داشته باشد.

پس دیدیم که استفاده تنها از “نام کاربری یا رمز عبور اشتباه است” احمقانه است. نظر شما چیه؟

منبع

 

 

دسته بندی : UX/UIامنيت

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

More in فونت
فونت های حرفه ای رایگان ۲۰۱۲

اکنون داریم به نیمه سال نزدیک می شویم و به احتمال زیاد شما دنبال فونت های جدید و زیبا می...

Close