[Информационная безопасность] Хватит использовать пароли
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
Вдохновлено популярной статьейпро пароли.
Я утверждаю, что современная система логин/пароль не нужна современным сайтам. Я призываю требовать для авторизации только email/телефон.
Допустим ваш сайт нуждается в авторизации пользователя. Например вы продете IDE и нужно хранить лицензии, или вы регистратор доменных имен или вы сайт по продаже игр. На мой взгляд выбор решения логин/пароль является неправильным с точки зрения UX и информационной безопасности.
- Вашим пользователям нужно помнить ваш пароль.
- Вы должны хранить пароли пользователей в безопасности.
Это головная боль
SPL
В случае если пароли/хэши_паролей утекут вы будете винововаты. Закон Мура худо-бедно все еще работает и через какое-то время ваши хэши смогут сбрутфорсить.
Вы должны думать как обновлять пароли пользователей если ваш алгоритм их хранения внезапно стал не безопасен.
Этих проблем можно избежать.
Современная реальность — у каждого потенциального пользователя вашего сайта есть email и/или телефон и с помощью него он может зайти на ваш сайт. Вы уже храните его для сброса пароля. Если пароль можно сбросить с помощью email/телефона, значит это уже инструмент доступа до вашего сайта. Вопрос только в длине цепочки.
Как это выглядит сейчас
- Ваша форма авторизации
- Сбросить пароль
- Высылка One Time Password на email/телефон
- Ввод в форме сброса пароля OTP и нового пароля.
- Ввод в форме авторизации нового пароля.
С точки зрения безопасности ничего не измениться если упростить это
- Ваша форма авторизации
- OTP на email/телефон
- Ввод OTP /кликНаСсылку
В результате ваши пользователи не страдают от паролей, а вы не страдаете с их хранением.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Security Week 41: вредоносный код в UEFI
- [Информационная безопасность, Криптовалюты] Как северокорейские хакеры отмывают краденую криптовалюту на миллиарды долларов (перевод)
- [IT-компании, Информационная безопасность, Разработка под Windows] Microsoft выпустила инструмент для обновления Defender в образах для установки Windows 10 и Windows Server 2016/2019
- [Информационная безопасность] CND: Защита от хакерских атак (EC-Council CND)
- [Big Data, Интернет вещей, Информационная безопасность] Почему незащищенные потребительские системы интернета вещей теперь представляет собой серьезную бизнес-проблему (перевод)
- [Информационная безопасность, Настройка Linux, Системное администрирование] С помощью подсистемы Windows для Linux 2 (WSL2) обходятся ограничения штатного файервола Windows 10
- [Информационная безопасность] Как мы внедрили вторую SIEM в центре мониторинга и реагирования на кибератаки
- [Информационная безопасность, Реверс-инжиниринг] Укрощение Горыныча 2, или Символьное исполнение в Ghidra
- [Информационная безопасность, Видеотехника, Мультикоптеры] Почему к домашней летающей камере от Ring нужно отнестись крайне скептически (перевод)
- [Информационная безопасность] Как не выбрасывать свой голос в урну? Надежное голосование — используем банковские технологии
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_paroli (пароли), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Июл 13:15
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 4 месяца |
|
|
Вдохновлено популярной статьейпро пароли. Я утверждаю, что современная система логин/пароль не нужна современным сайтам. Я призываю требовать для авторизации только email/телефон. Допустим ваш сайт нуждается в авторизации пользователя. Например вы продете IDE и нужно хранить лицензии, или вы регистратор доменных имен или вы сайт по продаже игр. На мой взгляд выбор решения логин/пароль является неправильным с точки зрения UX и информационной безопасности.
Этих проблем можно избежать. Современная реальность — у каждого потенциального пользователя вашего сайта есть email и/или телефон и с помощью него он может зайти на ваш сайт. Вы уже храните его для сброса пароля. Если пароль можно сбросить с помощью email/телефона, значит это уже инструмент доступа до вашего сайта. Вопрос только в длине цепочки. Как это выглядит сейчас
С точки зрения безопасности ничего не измениться если упростить это
В результате ваши пользователи не страдают от паролей, а вы не страдаете с их хранением. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Июл 13:15
Часовой пояс: UTC + 5