אל תציין שהניסיון "נכשל". משתמש (לגיטימי או אחר), מבקש קישור לאיפוס סיסמה ונותן לך כתובת דוא"ל. כל מה שאתה צריך לומר כאן הוא בסגנון

ההגשות שלך התקבלו. אם יש לנו חשבון התואם את כתובת הדוא"ל שלך, תקבל דוא"ל עם קישור לאיפוס הסיסמה שלך.

המשתמש עדיין יקבל את הקישור (הצלחה), אך התוקפים לא דע אם כתובת דוא"ל שסופקה משויכת לחשבון.

הסיבה לממצא זה היא שמשתמש מקבל תגובות שונות, תלוי בקיומה של כתובת הדוא"ל. זה יכול להיות פשוט כמו לומר להם שהכתובת אינה ידועה, או משהו עדין יותר בתגובה.

היישום הקל ביותר להימנע מבעיה מסוג זה הוא להחזיר את אותה התגובה בדיוק , לא משנה אם כתובת הדוא"ל קיימת או לא. פשוט

המידע לאיפוס הסיסמה נשלח לכתובת הדוא"ל שסופקה. אם אינך מקבל דוא"ל, אנא בדוק שסיפקת לכתובת הנכונה.

יעשה את העבודה.

אם כתובת הדוא"ל ידועה לך, שלח את מידע איפוס הסיסמה. אם זה לא קיים, אל תעשה כלום. משתמש אמיתי יקבל את הקישור, בעוד שתוקף אינו יכול לקבוע אם דוא"ל נשלח או לא.

כתוספת לתשובות למעלה (יתאים יותר כהערה אך עדיין לא יכול לעשות זאת) צעד נוסף שההאקר יכול לנקוט הוא למדוד את זמן התגובה שלך לטופס. ייתכן שייקח לך 10 ms כדי לקבוע שהדואר האלקטרוני אינו קיים, בעוד שלוקח לך 100 ms ליצור קישור לאיפוס ולשלוח דוא"ל. ההאקר יכול לדעת אם התגובה איטית יותר והיא מציאה מוצלחת. אתה יכול להפעיל טיימר שינה אקראי במקרים שבהם הדוא"ל לא נמצא כך ששתי התגובות לוקחות את אותה פרק זמן.

ממה אנו מגנים?

קודם כל צריך לשאול ממה הם מגנים בדיוק. במקרה זה ישנם שני איומים שונים:

• איום 1 תוקף מחריף אימיילים אקראיים למצוא מיילים רשומים תקפים. באופן תיאורטי ניתן להשתמש בזה ליצירת רשימות דואר זבל, אך עד כמה שידוע לי מעולם לא נעשה פשוט יותר פשוט לשלוח הודעות דוא"ל מאשר לעבור את הבעיות הנוספות (מספר הזמן שקיבלתי דואר זבל הטוען לי [כמה ארה"ב חשבון בנק] דרוש פעולה למרות שאינו גר בארה"ב הוא אינספור).
• איום 2 תוקף מכוון למשתמש ספציפי או לרשימה של משתמשים ספציפיים. זה חשוב במיוחד כאשר העובדה החשופה שמישהו רשום איפשהו יכולה להיות בעלת השלכות. דוגמה: עצם החשבון בחברת Grindr או Ashley Madison יכול להיות מסוכן בקהילות מסוימות.

התמונה הגדולה יותר

השאלה הבאה שיש לחשוב עליה היא מה מקומות אחרים עשויים לחשוף את אותו מידע ולשקול את אלה בכללותם. בדרך כלל טופס ההרשמה יודיע למשתמש אם הדוא"ל שהוזן כבר רשום, אך זה כמובן לא חל על רוב תוכנות ה- B2B. מעבר לכך תכונות 'שתף עם משתמש' (תיבת קלט שבה ניתן להזין דוא"ל כדי לשתף אובייקט כלשהו עם משתמש זה) לרוב תחשוף מידע זה, אך מכיוון שאלה נדירות לא אכלול את אלה בתשובה זו. p>

פתרונות למערכת עם רישום ציבורי

קודם כל טוב להכיר בכך שלא הודיע ​​למשתמש שחשבון כבר קיים בתהליך הרישום הוא מנקודת מבט של UX מאוד לא נעים. כנ"ל לגבי טפסים לאיפוס סיסמה שנכשלים בשקט ¹ כאשר המשתמש מבצע שגיאת הקלדה או שיש לו מספר דוא"ל. זה לא אומר שזה משהו שאסור לעשות, אבל צריך לשקול אותו מול הסיכונים והיתרונות הביטחוניים.

בהתחשב במערכת עם רישום ציבורי, הדבר החשוב שיש לקחת בחשבון הוא עד כמה איום 2 הוא למשתמשים במוצר שלך. בהתחשב אפילו בסיכון צנוע זה יכול להיות זהיר לשנות את טופס ההרשמה כדי להזין רק שם ודואר אלקטרוני, תוך מתן הודעה "בדוק את הדוא"ל שלך כדי להמשיך להירשם", ואם הדוא"ל כבר רשום, שלח למשתמש הודעת דוא"ל בהודעה אותם מזה. באופן דומה במקרה זה טופס איפוס הסיסמה לא יידע את המשתמש בשום צורה אם הדוא"ל תקף.

מצד שני אם איום 2 הוא מינימלי עלינו לדגמן באופן בלעדי כנגד איום 1 . כמובן שהגישה הקודמת תפעל בצורה מושלמת כנגד איום 1 באופן בלעדי, אך בהתחשב בעלות ה- UX כדאי לשקול פתרונות אחרים. הפיתרון הברור ביותר הוא הגבלת קצב ^{2 sup> גם בבדיקת 'בדיקת הדוא"ל קיימת' וגם בבדיקת 'סיסמה שנשכחה' (טכנית שיחות אלה יכולות אפילו לעבור לאותה נקודת סיום API). לעתים קרובות אלה יתוכננו כך שיהיו קלים למדי בעשר השיחות הראשונות בערך, אך יתקבלו מאוד מוגבלים מאוד לאחר נקודה זו.}

חשוב : לעולם אל תסיר הודעות שגיאה מהסיסמה. רישום מבלי ליישם גם מגבלות דומות בטופס ההרשמה.

פתרונות למערכת ללא רישום ציבורי

הכל מסתכם באותן נושאים כמו לעיל (והייתי צריך לכתוב זאת תחילה ), אך ללא העלות 'הנוספת' של הלהיט ל- UX ההרשמה זה יחסית 'זול יותר' עם טופס שכחת סיסמה מאובטח, אם כי כמובן ש עדיין לא נעים למשתמשים ואתה עדיין יכול לשקול אם הגבלת קצב אינה מספיקה למודל האיום הספציפי שלך.

הערות

^{1: במקום להיכשל בשקט, זה חכם לפחות לשלוח דוא"ל לדוא"ל שהוזן והודיע ​​להם שהדוא"ל שלהם לא נמצא. זה 1) מוריד את התוקפים מהתעללות המונית במערכת (כפי שיבחן) ו- 2) מונע ממשתמשים לתהות מדוע הם לא מקבלים דוא"ל. Sup>}

^{2: האם שימו לב כי הגבלת קצב יכולה להשפיע לרעה על משתמשים ברשתות גדולות או רשתות VPN. שקול תמיד עד כמה חשוב הקהל הזה עבורך ועל סמך זמן זה הקדיש זמן מספק בכדי להבטיח שהיישום יישאר פונקציונלי גם כאשר מגבלת התעריפים היא הקשה ביותר (למשל על ידי הורדת מגבלת התעריף על ידי פתרון של captcha או הגדרת מגבלת התעריף המקסימלית לסביבות פעם בדקה והבטחת היישום ימתין את הרגע המלא (שימו לב: עדיין יהיה לא נעים בהתחשב בצוות משתמשים שנרשם לאותו שירות בתחילת אותה פגישה)). sup>}

עליך לשקול את הבעיה לעומת אי הנוחות שבפתרון. לרוב זה פשרה.

לדעתי בדרך כלל עדיף להקריב מעט ביטחון זה למען חוויית המשתמש אלא אם מישהו עלול להירדף על היותו רשום באתר שלך.

מדי פעם אני מגיע שנים אחר כך לאתר ומנסה למצוא באיזה אימייל השתמשתי לאתר המסוים. האתרים שמסתירים מידע זה די מעצבנים.

שים לב שגם זה (מלבד התשובות האחרות) חל על מסך ההרשמה, במקום להתלונן על משתמש שכבר רשום שלח לו דוא"ל שהוא כבר רשום ולא מספק שום משוב על כך באפליקציית האינטרנט מלבד "בדוק את הדואר שלך ".

זה הדבר הטוב ביותר להיעשות אם אתה מבקש קלט מינימלי בשלב הראשון לפני אימות הדוא"ל (וזה טוב גם ל- GDPR, שם תוכל להוכיח שהמשתמש קיבל את דוא"ל המידע שלך והמשיך להירשם ).

למעשה זה לא טרחה בהרשמה ותמיד צריך לעשות זאת. לפונקציית איפוס סיסמה אנו מספקים אפשרות בתוכנה בה תוכלו לבחור משוב ישיר או משוב בדוא"ל. (בתרחישים ארגוניים, במיוחד באינטרא-נט, ניחוש דוא"ל אינו איום ממשי).