web-gelistirme-sc.com

Bir web uygulamasında kullanıcı erişimi ve şifre kullanımı için kullanılabilirlik ve güvenlik?

Uzlaşmak istemediğim kişisel verileri işleyecek sıradan kullanıcılara yönelik bir web sitesi oluşturmaya çalışıyorum. Siteyi nasıl güvenli ve aynı zamanda kullanılabilir hale getirebilirim?

Çoğu site, oldukça iyi anlaşılan bir kullanıcı tanımlayıcı (e-posta adresi en iyi görünüyor) ve şifre kullanıyor gibi görünüyor.

Bazı bankacılık siteleri PIN veya standart tanımlayıcılardan sonra gelen güvenlik soruları veya parolayı değiştirerek) bunun ötesine geçer.Bu konuda başarılı olduğu kanıtlanmış alternatifleri duymak isterim .

Ayrıca, kimlik bilgilerini hesaplamayı zorlaştırmak için kullanıcıların kendi renklerini seçmelerine veya bir siteye bakmalarına ve hissetmelerine izin verdiklerini de duydum. Bunu kullanan siteleri bilen var mı ve ne kadar iyi çalışıyor?

Çoğu sistemdeki gerçek zayıflık bana şifre sıfırlama tesisi gibi geliyor. Kullanıcılar parolalarını sürekli unuttukları için, burada onlara yardımcı olacak bir şeylere ihtiyacımız var, ancak yararlı ve korkunç güvensizlik arasında bir denge kurmak gerçekten zor görünüyor. Yine kullanıcı güvenlik soruları yaklaşımı burada yaygın olarak kullanılmaktadır, ancak karşılaştığım iki taraf ya kullanıcının ayarladığı ve cevapladığı bir soruya sahip ya da kullanıcı hakkında değişmez sorular soruyor.

Kullanıcı tarafından sağlanan bir soru ile ben onlara ne olduğunu zor denemek ne olursa olsun "1 + 1 nedir" sorusunu yapmak için güvenmiyorum çok önemli.

Değişmez sorularla - ve eğer kullanıcının basit gerçekler yerine şeyler hakkında fikirlerini soruyorsanız, değişme olasılıkları daha yüksektir - aslında bulmak oldukça kolay olan bir şeye (ebeveyn adı, ilk evcil hayvan) dönüşme eğilimindedir. saldırı için bir kullanıcıyı hedefliyorsanız.

Burada güvenli olan ve kullanımı kolay olan şey arasında her zaman bir uzlaşma olacağını anlıyorum, ancak şimdi çoğu siteden daha iyi yapmak mümkün olmalı. Kullanıcı hesabı güvenliğine daha az geleneksel ancak güvenilir yaklaşımlar önerebilir misiniz? Görüntü ızgaraları, özel captchalar ve benzerlerinden bahsedildiğini duydum - pratikte bunların deneyimi var mı? Bunu özellikle iyi yöneten siteler var mı ve nasıl/neden çalıştıklarını gösteriyorlarsa?

10
glenatron

İyi soru.

Kısa versiyon

Çoğu site gibi kullanıcı adı/e-posta/şifrenin ötesine geçen birkaç seçenek vardır. Nihai güvenlik sorununu çözemezsiniz, ancak eğitebilirsiniz. Captcha'lara alternatifler var. Güvenlik ve kullanım kolaylığı hiç bitmeyen, sağlıklı bir tartışmadır.

Giriş sırasında ekstra güvenlik seçenekleri

  • Yahoo! bazı metin veya resim seçebileceğiniz " oturum açma mühür " kavramını kullanır ve bu özelleştirme bir çerezde saklanır ve oturum açma sayfasında görüntülenirken dönüş. Buradaki fikir, kimlik avı saldırılarını önlemeye yardımcı olmasıdır: Kimlik avının teknik ayrıntılarını kullanıcılara açıklamak ve "URL'nin https://www.yahoo ile başladığından emin olmalarını beklemek yerine .com ", kullanıcıya yalnızca sayfada özelleştirilmiş metnini veya resmini aramasını söylersiniz. Orada değilse, doğru sitede değilsiniz, bu yüzden giriş bilgilerinizi vermeyin.

  • World of Warcraft, sipariş edebileceğiniz ve size gönderebileceğiniz bir cihaz olan Blizzard Authenticator'ı veya bir iPhone/Android uygulamasını kullanır. Her ikisi de her dakika hesabınıza bağlı benzersiz bir kod oluşturur. Giriş yaptığınızda, Battle.net kayıtlı e-posta adresinizi, hesap şifrenizi ve bu Blizzard Şifrematik kodunu sağlamanız gerekir. Bir oyun olmasına rağmen, World of Warcraft kendine ait bir kimlik avı kıtasıdır, bu yaklaşımın kimlik avı yoluyla saldırıya uğramış hesapların sayısını azaltmada son derece etkili olduğu kanıtlanmıştır (çünkü birinin e-posta hesabına saldırsanız ve World of Warcraft şifresini alıp değiştirseniz bile , söz konusu senkronize gerçek kimlik doğrulayıcı kodunuz yoksa giriş yapamazsınız). Authenticator'ın teorik olarak hacklenebilir olduğunu belirtmek gerekir, ancak bunu yapmak çok daha fazla iş gerektirir.

  • myOpenID , Yahoo! "kişisel simgeniz" olarak adlandırılır. OpenID'nin ek güvenlik etkileri olduğundan (örn. OpenID'ime erişirseniz, artık bu OpenID ile birlikte kullandığım tüm sitelere erişime sahip olursunuz), artırılmış korumaya yönelik seçenekler çok yardımcı olur. Çoğu teknik olmayan kullanıcının OpenID sağlayıcıları ile OpenID hesapları olduğunu sanmıyorum, bu yüzden bu daha az önemli olabilir. Yine de, ekstra mil gitmek için JanRain iyi.

Kullanıcılar belirgin güvenlik soruları ve yanıtları sunduğunda ne yapmalı?

Bu çözemediğiniz bir sorundur ve gerçekten sizin sorumluluğunuzda değildir. Odaklanmanız gereken, kullanıcılarınıza dikkat etmeleri gerekenler konusunda eğiterek doğru davranışı teşvik etmektir. Sahip olduğunuz kullanıcı tabanının türüne bağlı olarak, bu konuda az çok agresif olabilirsiniz; örneğin, Yahoo! ve Blizzard çok agresiftir ve yukarıda belirtildiği gibi daha proaktif güvenlik yardımı uygular.

Yapabileceğiniz bazı şeyler:

  • Kullanıcılara yalnızca alfasayısal karakterlerden oluşan benzersiz bir şifre kullanmalarını hatırlatın
  • Parolaların mevcut olmayan kelimelerden yapılması gerektiğini açıklayın ve bu kalıba uyan unutulmaz bir parolanın nasıl oluşturulacağını açıklamaya yardımcı olun
  • Kullanıcıların bir güvenlik şifresi sıfırlama sorusu oluşturduğu ve diğer kişilerin yanıtı bilmeyeceği önemsiz sorular sormanın öneminin altını çizdiği akış sırasında net bir kopya kullanın
  • Kullanıcıların kullanabileceği sorulara örnekler verin ( don't, bu gün Facebook aracılığıyla kolayca bulunan "annenin kızlık soyadı" gibi örnekler verin)
  • Hesabınızı nasıl güvenceye alacağınıza ilişkin ipuçları veren bir FAQ) yazın. Web postası sık kullanılan bir güvenlik açığı olduğundan, e-posta hesabınızın güvenliğini sağlama ve kimlik avı girişimlerini nasıl izleyeceğiniz konusunda temel ipuçları verin

Sorumlu bir web sitesi sahibi olun. "Yankesicilara dikkat et" diyerek kaydeden istasyonları eğitmeyi seviyorum - cüzdanınızı net bir şekilde görmemek ve daha sonra çalındığında şikayet etmemek bir birey olarak sizin sorumluluğunuzdadır. Ama insanlara bir şeyler akılda tutmaları gerektiğini hatırlatmak istasyon yönetiminin güzel. Web'deki sorun, birçok insanın neye dikkat edeceğini veya tehditleri nasıl tespit edeceğini bilmemesidir. Temas ettiğimiz herkesi sürekli ve sürekli eğiterek yardımcı olabiliriz.

Captcha'lar ve alternatifler

Captcha'lar iki nedenden ötürü mevcuttur: biri sitenizin DDOS almasını önlemek için ve iki tanesi de bilgisayar korsanlarının sözlük saldırıları gerçekleştirmesini önlemek için. Ama dezavantajı, çoğu durumda, çok düşmanca ve tamamen " Beni Düşünme " değil.

Sözlük saldırılarını önlemek veya en azından reddetmek istiyorsanız, giriş ekranına her deneme için (belirli bir sayıdan sonra) artan bir zamanlayıcı eklemeyi düşünün. Çoğu kullanıcı, örneğin 5 denemeden sonra girecek ve bundan daha fazlası şüpheli davranıştır. Normal kullanıcılar için değil, suçlular için sorunlara neden olarak sözlük saldırılarını yürütmek için can sıkıcı olun.

Güvenlik ve kullanım kolaylığı

Jakob Nielsen, geçen yıl şifre alanlarının kullanılabilirlik sorunu olduğunu ve girdilerini maskelemeyi bırakması gerektiğinde bir sıçramaya neden oldu. Girdiyi maskelemenin sadece biri doğrudan arkanızda durduğunda güvenlik sızıntılarını gerçekten önlediğini ve bunun% 99'unun durumunun böyle olmadığını, bu yüzden neden bir Edge davası için kullanımı daha zor hale getirdiğini savundu? Bir kullanılabilirlik uzmanı olarak onunla tartışmak zor. Ve güvenlik uzmanı Bruce Schneier bile onunla anlaştı !

Güvenlik ve kullanım kolaylığı gerçekten çözülemeyen tartışmalı bir konudur. Ve bu sağlıklı bir argüman: eğer her iki yönde de çok ileri giderse, bu son kullanıcılar için iyi olmaz. Bir UI tasarımcısı olarak, güvenlik uzmanlarının argümanlarını tanımak ve kullanıcı deneyiminizi tasarlarken bunları dikkate almak önemlidir.

9
Rahul

Aslında, çoğu sağlayıcı giriş API'leri (genellikle Açık Kimlik Doğrulama tabanlı) sunarken, kullanıcı giriş/kimlik doğrulama sorunları ile uğraşmanıza bile gerek yoktur. Kullanıcılarınızın Facebook, Google, Yahoo, Twitter vb. İle giriş yapmasını sağlayın ... Google, Microsoft, Yahoo, et. ark. giriş kimlik bilgilerini güvence altına almak ve şifre sıfırlamalarla uğraşmak benden daha iyi bir iş çıkarır. Bu, kullanıcılarınız için gerçekten en iyi durumdur, çünkü yeni bir kimlik bilgilerini hatırlamaları gerekmez ve çoğu durumda postalarına zaten giriş yapmışlarsa, şifreyi tekrar girmezler. Mükemmel tek tıklamayla (yazmadan) oturum açma.

Bu işi yapmak için iki küçük şey var. (1) Tüm kullanıcılarınızı rahatsız etmeden yakalamanız için nispeten çok sayıda giriş sağlayıcısını desteklemeniz gerekir. (2) Kullanıcıların sitenizdeki hesaplarına birden çok oturum açma sağlayıcısı ekleyebilmeleri için hesap bağlantısını desteklemeli ve teşvik etmelisiniz, çünkü sağlayıcılar API'larını değiştirebilir (ve genellikle uyarı yapmadan) veya bu kullanıcıları etkin bir şekilde kilitleyerek bakım için kapanabilir siteniz.

Sizin tarafınızdan, kullanıcı parametrelerini genellikle doğrudan sağlayıcıdan alabilirsiniz, böylece kullanıcı e-posta adresi, ad, telefon vb. Gibi bilgileri girmek zorunda kalmaz.

1
Jonathan

Dürüst olmak gerekirse, bir programcı olarak, kişisel soru/cevap güvenlik adımlarını gerçekten sevmiyorum çünkü cevaplar kesinlikle programlama açısından yanlış girilebilir. Cevapları bir isim olsaydı ne olur, ancak tüm ismi mi yoksa sadece kısa isimlerini mi yoksa sadece verilen isimlerini mi koyduklarını hatırlamazlar ya da bir kesme işaretini kaçırırlar ve fark etmezler.

Öte yandan captcha'lar (çeşitli türlerde) siyah beyaz bir cevap gerektirir. Ya geçerli ya da değil. Bununla birlikte, captcha'nın okunabilirliği bazen kullanıcılar için sorun yaratır. Çoğu okunabilir, ancak bazıları sadece gargara.

Şifreyi sıfırlarken e-posta doğrulaması gerektirme yönteminin bana her zaman oldukça güvenli göründüğünü düşünüyorum, çünkü erişim için bir ikinci sistemi (posta hesabım) giriş bilgilerimi bilmemi gerektiriyor yeni bir şifre istemek için siteye giden bağlantı geri.

0
Nick Bedford