تعليق المترجم
قررنا مواصلة ترجمة أوراق الغش الأمنية من OWASP على خلفية عمليات الاسترداد الضخمة لكلمات المرور بعد تسرب قاعدة البيانات من خدمة rzd-bonus.ru .
المقدمة
من أجل تنفيذ نظام إدارة مستخدم مناسب ، يتم عادةً تنفيذ خدمة استرداد كلمة المرور ، والتي تتيح للمستخدمين إعادة تعيين كلمة المرور الخاصة بهم في حالة فقدها. على الرغم من حقيقة أن هذه الوظيفة تبدو بسيطة ومباشرة ، إلا أنها مصدر شائع للثغرات الأمنية ، أحدها هو تخمين اسم المستخدم . يمكن استخدام الإرشادات القصيرة التالية كتذكير سريع في حالة فقد كلمة المرور الخاصة بك:
إعادة نفس الرسالة إلى كل من الحسابات الموجودة وغير الموجودة ؛
تأكد من أن الوقت المستغرق للإجابة على المستخدم هو نفسه ؛
استخدام قناة طرف ثالث لإعادة تعيين كلمة المرور الخاصة بك ؛
استخدام الرموز المميزة لعناوين URL لتنفيذ بسيط وسريع ؛
تأكد من أن الرموز أو الرموز التي تم إنشاؤها هي:
;
;
;
.
.
()
, .
, , :
, ;
, , ;
, , CAPTCHA, ;
, , SQL-, .
( ) ( SMS), , .
, ;
, , ;
, ;
, ( !);
. , , .
, .
, , , , .
:
URL;
PIN-;
;
.
, , , . , , , .
(, , PIN- . .). , , . :
;
- JSON (JWT) , ;
, ;
;
, ;
.
URL
URL- URL- . :
URL.
.
Host URL- , HTTP-. URL- , .
, URL- HTTPS.
URL- .
, Referrer-Policy «noreferrer» (. : ), .
, URL-, .
, , .
. , , .
. URL , PIN, . .
PIN-
PIN- — ( 6 12 ), , SMS.
PIN-.
SMS .
PIN , .
PIN- .
PIN-, .
. , , .
, (, PIN-) . - , , . , .
(, ), . OTP, , .
, (, ). , — Google, GitHub Auth0.
:
- 8 , 12 - ;
, , ( );
, ;
, .
, . , .