„Szeretné jobban csinálni, mint mások?”
A jelszó emlékeztető helyes megvalósítása
Ha az Ön honlapján is lehet regisztrálni, nyilván megvalósították a jelszó emlékeztető funkciót. Érdemes azonban megvizsgálni, hogy ennek módja biztonságos vagy sem.
Ha ebben a funkcióban a jelenlegi jelszót küldik ki újra az ügyfélnek - az nagyon nem jó! Ez azt jelenti, hogy minden ügyfél jelszavát titkosítás nélkül tárolják, és azt bármikor kiolvashatja egy illetéktelen személy az adatbázisból - akár a honlap készítője vagy jelenlegi üzemeltetője, akár egy ügyes támadó.
Egy fokkal jobb, ha a jelszavak már tikosítva tárolódnak, és jelszó emlékeztetéskor a rendszer egy új jelszót generál, ami elküldésre kerül e-mailben. Itt az Önöknél történő tárolás már megoldott, de a küldés még mindig kockázat: bármikor, ha egy támadó hozzáfér az ügyfél levelezéséhez, megszerzi az Ön honlapjához való jelszavát is.
A helyes módszer a következő: új jelszó generáláshoz egy linket küldünk, amire kattintva a felhasználó egy online felületre jut, ahol lehetősége van a jelszavának megváltoztatására. A link érvényessége limitált lehet: kérése után csak 10 percig vagy csak 1 módosításig érvényes. Így biztosítható, hogy csak a címzett használhatja fel. Az online jelszómódosítás során egy további személyes ellenőrző kérdést is fel kell tenni, így biztosítva, hogy később a postafiókjához vagy böngészője előzményeihez esetleg illetéktelenül hozzáférő támadó sem tudja kihasználni a linket.
Vissza a Blog többi cikkéhez | Máshogy gondolja, javítaná, bővítené? Írjon!
Ha ebben a funkcióban a jelenlegi jelszót küldik ki újra az ügyfélnek - az nagyon nem jó! Ez azt jelenti, hogy minden ügyfél jelszavát titkosítás nélkül tárolják, és azt bármikor kiolvashatja egy illetéktelen személy az adatbázisból - akár a honlap készítője vagy jelenlegi üzemeltetője, akár egy ügyes támadó.
Egy fokkal jobb, ha a jelszavak már tikosítva tárolódnak, és jelszó emlékeztetéskor a rendszer egy új jelszót generál, ami elküldésre kerül e-mailben. Itt az Önöknél történő tárolás már megoldott, de a küldés még mindig kockázat: bármikor, ha egy támadó hozzáfér az ügyfél levelezéséhez, megszerzi az Ön honlapjához való jelszavát is.
A helyes módszer a következő: új jelszó generáláshoz egy linket küldünk, amire kattintva a felhasználó egy online felületre jut, ahol lehetősége van a jelszavának megváltoztatására. A link érvényessége limitált lehet: kérése után csak 10 percig vagy csak 1 módosításig érvényes. Így biztosítható, hogy csak a címzett használhatja fel. Az online jelszómódosítás során egy további személyes ellenőrző kérdést is fel kell tenni, így biztosítva, hogy később a postafiókjához vagy böngészője előzményeihez esetleg illetéktelenül hozzáférő támadó sem tudja kihasználni a linket.
Vissza a Blog többi cikkéhez | Máshogy gondolja, javítaná, bővítené? Írjon!
