мер безопасности для «Забыл пароль» ссылку


3

я заметил, что Facebook посылает «Забыл пароль» код из шести цифр, что очень мало для кода проверки, поэтому я предполагаю, что они делают следующее:

  • установить переменную сессии, которая связана с кодом, так другие клиенты не могут использовать один и тот же код
  • Возможно также, установить максимальное число попыток ввода правильного кода

у меня есть два вопроса:

  1. Вышеупомянутый лучший способ сделать ссылку «Забыли пароль»?
  2. Является альтернативой не устанавливать переменную сеанса и не ограничивать попытки, а просто увеличивать длину кода, чтобы грубая сила становилась невозможной? Как долго этот код должен быть? Или это считается очень неуверенным?

EDIT: Код Facebook необязательно отправлен на ваш мобильный телефон, чтобы пробивать вручную на компьютере, который должен быть причиной, почему они решили держать его коротким.

3

Обычно они ограничивают срок действия кода. Возможно, это ключевая функция безопасности.

На самом деле это относительно безопасно. Злоумышленник не сможет использовать грубую силу, так как он будет тайм-аут или переусердствовать с попытками, поэтому им нужно будет скомпрометировать учетную запись электронной почты.


2

«поэтому я предполагаю, что они делают следующее» - зачем вы делаете эти предположения? недостатки безопасности исходят от людей, делающих предположения, которые оказываются заблуждаться:

Там должно быть много места в этом буфере

10^6 слишком много для кого-то угадать

ОС предоставит мне с хорошим источником случайности

и т.д., и т.д., и т.д.

Не уверен, что я согласен с оценкой Рори из «относительно безопасных». Никто не заботится о моей учетной записи FB, чтобы настроить распределенное тестирование PIN-кода, но вы можете легко составить список из 100 учетных записей Facebook, которые чрезвычайно ценны: Whitehouse, McDonalds, Jay-Z.

Вопрос, который я бы спросил, почему шесть цифр? Не стоило ли использовать 8 или 10 или 20? Пользователям не нужно вводить их, они нажимают на ссылку, верно? Это всего лишь то, что 6 цифр были более эстетически приятными, чем 20 цифр A-Za-z0-9? Лично мне нравится внешний вид 62^20 намного больше, чем 10^6.

Независимо от длины, штыри должны заканчиваться. Если мне нужно войти в мой аккаунт сегодня, я не позволю этой ссылке сидеть в моей электронной почте в течение недели. 60 минут должны быть достаточно длинными. Невозможно использовать его к тому времени, нажмите ссылку «забыть пароль» еще раз.

  0

Код Facebook, возможно, отправляется на ваш мобильный телефон, чтобы его перфорировали вручную на компьютере, что должно быть причиной того, почему они решили сохранить его коротким. 13 авг. 132013-08-13 19:34:34

  0

+1 Хороший вызов. Просить пользователя ввести 20 цифр будет подвержено ошибкам. 8 символов A-Z, 0-9 все еще представляют 2821109 раз больше вариаций, чем 6-значное число.Я бы не подумал, что 4RE3H27L намного сложнее, чем 499123, но я не удивлюсь, если FB проведет некоторое тестирование A/B и почувствует увеличение частоты ошибок. 13 авг. 132013-08-13 19:49:03