Восстановление пароля безусловно полезная функция — нет возможности упомнить, что за пароль я использовал для регистрации на сайте, который посещал один раз три года назад.
Функция восстановления пароля, как правило, проектируется с тем расчётом, чтобы не дать возможность злоумышленнику получить доступ к вашей информации и информации о вас.
Тем не менее кое-какую информацию о вас многие сервисы с лёгкостью распространяют именно внутри функции «восстановление пароля». Я даже предполагаю, что эта информация может быть весьма-таки полезна разного рода недружественно настроенным к вам лицам.
Если вы не догадались, на скриншоте экран одного из известных социальных сервисов, который услужливо вывел мне сообщение, что по указанному адресу не было выслано письмо, потому что пользователь с указанным адресом не зарегистрирован.
Что даёт нам информация о том зарегистрирован пользователь или нет?
1. Информацию о пользователе. Мы можем таким образом создать инструмент для проверки на каких ресурсах зарегистрирован пользователь, что полезно для облегчения сбора личных сведений об этом человеке.
2. Мы можем по базам данных емейлов проверять, кто зарегистрирован на определённых массовых сервисах, а затем, на основе полученной информации, просить что-либо у этих пользователей по почте.
Вы скажете: «ерунда, можно не фильтровать базу данных емейлов». Я отвечу, ничуть. Одно дело если к вам придёт письмо с текстом, пришлите СМС на номер ХХХХ чтобы ваш аккаунт в/на… не заблокировали. А другое дело, когда в одном письме будет список из 5 соц.сетей в которых вы зарегистрированы. Пять фактов о вас убедительней!
Как правильно спроектировать восстановление пароля?
1. Спрашивать одновременно почту и логин — это садизм! Многие пользуются не только разными паролями, но и разными логинами/ник-неймами.
2. Не выводить сообщения о том было ли отправлено сообщение или нет — это недружелюбно к пользователю, потому что он мог просто опечататься, а обещанное письмо с инструкциями по восстановлению пароля к нему так и не придёт.
3. Можно попросить пользователя распознавать картинки или ещё как-нибудь защититься от ботов, но это не решает всю проблему разглашения личной информации, только проблему массового разглашения личной информации. Ещё это так же может раздражить пользователя.
4. Секретные вопросы. Не всегда имеют однозначный ответ, даже если пользователь 3 года назад думал иначе.
Варианты Хабрапользователей.
VtD
5. Запрос на восстановление пароля по электронной почте: «Для восстановления пароля пошлите e-mail c темой PassRestore на адрес lostpassword@site.com с ящика, указанного при регистрации»
Psih
6. Привязка к мобильному телефону. Самый безопасный вариант — забыли пароль, высылаете SMS и получаете в ответ пароль. Проверить есть ли (на конкретном интернет ресурсе) человек с таким номером мобильного телефона не возможно, т.к. такого поиска пользователей не предусматривается.
А что можно сделать ещё?
Лучшие законченные рекомендации по проектированию восстановления пароля я внесу сюда как решение, очевидно, с указанием пользователя принёсшего это решение.
Какие ещё мошенничества кажутся вам реальными на основе данной особенности «восстановления пароля»?
Функция восстановления пароля, как правило, проектируется с тем расчётом, чтобы не дать возможность злоумышленнику получить доступ к вашей информации и информации о вас.
Тем не менее кое-какую информацию о вас многие сервисы с лёгкостью распространяют именно внутри функции «восстановление пароля». Я даже предполагаю, что эта информация может быть весьма-таки полезна разного рода недружественно настроенным к вам лицам.
Если вы не догадались, на скриншоте экран одного из известных социальных сервисов, который услужливо вывел мне сообщение, что по указанному адресу не было выслано письмо, потому что пользователь с указанным адресом не зарегистрирован.
Что даёт нам информация о том зарегистрирован пользователь или нет?
1. Информацию о пользователе. Мы можем таким образом создать инструмент для проверки на каких ресурсах зарегистрирован пользователь, что полезно для облегчения сбора личных сведений об этом человеке.
2. Мы можем по базам данных емейлов проверять, кто зарегистрирован на определённых массовых сервисах, а затем, на основе полученной информации, просить что-либо у этих пользователей по почте.
Вы скажете: «ерунда, можно не фильтровать базу данных емейлов». Я отвечу, ничуть. Одно дело если к вам придёт письмо с текстом, пришлите СМС на номер ХХХХ чтобы ваш аккаунт в/на… не заблокировали. А другое дело, когда в одном письме будет список из 5 соц.сетей в которых вы зарегистрированы. Пять фактов о вас убедительней!
Как правильно спроектировать восстановление пароля?
1. Спрашивать одновременно почту и логин — это садизм! Многие пользуются не только разными паролями, но и разными логинами/ник-неймами.
2. Не выводить сообщения о том было ли отправлено сообщение или нет — это недружелюбно к пользователю, потому что он мог просто опечататься, а обещанное письмо с инструкциями по восстановлению пароля к нему так и не придёт.
3. Можно попросить пользователя распознавать картинки или ещё как-нибудь защититься от ботов, но это не решает всю проблему разглашения личной информации, только проблему массового разглашения личной информации. Ещё это так же может раздражить пользователя.
4. Секретные вопросы. Не всегда имеют однозначный ответ, даже если пользователь 3 года назад думал иначе.
Варианты Хабрапользователей.
VtD
5. Запрос на восстановление пароля по электронной почте: «Для восстановления пароля пошлите e-mail c темой PassRestore на адрес lostpassword@site.com с ящика, указанного при регистрации»
Psih
6. Привязка к мобильному телефону. Самый безопасный вариант — забыли пароль, высылаете SMS и получаете в ответ пароль. Проверить есть ли (на конкретном интернет ресурсе) человек с таким номером мобильного телефона не возможно, т.к. такого поиска пользователей не предусматривается.
А что можно сделать ещё?
Лучшие законченные рекомендации по проектированию восстановления пароля я внесу сюда как решение, очевидно, с указанием пользователя принёсшего это решение.
Какие ещё мошенничества кажутся вам реальными на основе данной особенности «восстановления пароля»?
