هکرها با دیدن “نام کاربری یا رمز عبور اشتباه است” ناامید نمی شوند!

بدون دیدگاه

یک روش خوب امنیتی وجود دارد که می گوید در فرم های ورود نگویید “رمز عبور اشتباه است”. بلکه بگویید “نام کاربری یا رمز عبور اشتباه است” تا احیانا کسی که قصد هک سایت را دارد متوجه نشود نام کاربری را اشتباه زده است یا رمز عبور را.

صفحات ورود Stripe و Github از همین روش پیروی می کنند.

همانطور که گفته شد فلسفه این کار هم این است که اگر آقا یا خانم هکر نام کاربری یا ایمیل را بداند می تواند با روش هایی مثل SQL Injection، Brute force، فیشینگ، مهندسی اجتماعی و …روی پیدا کردن رمز عبور تمرکز کند.

ولی فکر اینجا رو نکرده اند و مشکل هم دقیقا همین جاست.یعنی فرم ثبت نام! با هم به فرم ثبت نام دو سایتی که در بالا گفته شد نگاهی می اندازیم:

تمام کاری که هکر باید انجام دهد این است که ثبت نام کند تا بفهمد نام کاربری یا ایمیل در سایت وجود دارد یا خیر.پس اون پیام غیر شفاف که در فرم ورود نمایش دادیم برای چی بود؟ فقط هکرهای احمق با دیدن پیام “نام کاربری یا رمز عبور اشتباه است” کارشان را متوقف می کنند و به سلامت. در واقع با این پیام چیزی بدست نیاوردیم به جز گیج کردن کاربران در صفحه ورود.

Stripe از reCAPTCHA گوگل برای متوقف کردن حملات به صفحه ثبت نام اش استفاده کرده است. با این حال ریکپچا هم چندین بار شکسته و دور زده شده (۱۲) و هیچ وقت هم کامل نخواهد بود. حتی اگر reCAPTCHA هم کاملا درست کار می کرد، یک هکر می توانست به صورت دستی نام های کاربری را در فرم ثبت نام چک کند تا از وجودشان مطمئن شود و بعد حمله اتوماتیک اصلی را در فرم ورود که کپچا ندارد انجام بدهد.

در همین رابطه :   آموزش کامل انتقال وردپرس از HTTP به HTTPS و نصب SSL

تنها راهی که می توان جلوی اطلاع مهاجمین به سایت را از دانستن وجود یا عدم وجود حساب کاربری گرفت این است که فقط یک ایمیل بگیریم و در رابط کاربری هم اصلا پیامی در مورد اینکه ثبت نام موفقیت آمیز بود یا نه نمایش داده نشود. به جای آن کاربر ایمیل ثبت نام خودش را دریافت خواهد کرد و از تکمیل ثبت نام اطلاع پیدا می کند. با این روش تنها راهی که مهاجم می تواند از وجود حساب کاربری مطلع شود این است که به ایمیل هدف دسترسی داشته باشد.

پس دیدیم که استفاده تنها از “نام کاربری یا رمز عبور اشتباه است” احمقانه است. نظر شما چیه؟

منبع

 

 

دسته بندی : UX/UIامنيت

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

More in UX/UI, امنيت
۱۲ ابزار بسیار ضروری UX برای طراحان

حتما در مورد UX شنیده اید و شاید هم اطلاعات خوبی در زمینه UX/UI داشته باشید . مدتی قبل یکی...

Close