Пишу про заинтересовавшие сервисы, блоги, твиттеры, а также собственные идеи и задумки.

Забыли пароль?

20 октября 2009, 13:25

Последнее время всё больше начинаешь беспокоиться за сохранность своих учёток в сети: подхватишь незаметно себе троян, который подменит hosts (кто не знает, это такой файлик в system32/drivers/etc, в котором можно осуществлять привязку определённых адресов к ипам), зайдёшь на свой любимый вконтакте, введёшь пароль, а он окажется в руках злоумышленников, ибо тот «вК» оказался ненастоящим. К слову, такой приём выманивания паролей называется фишингом. Это не единственная возможность узнать ваш пароль.

Конечно, большая часть проблем упирается в самого пользователя: надо лучше следить за своими действиями и своим компом, но всякое может случиться!

Что делать, если учётку-таки угнали? Всё дело упирается лишь в систему восстановление какого-то конкретного ресурса. В основном, для восстановления пароля высылают письмо на мыло, где есть ссылка для замены пароля. Либо новый пароль.
Если же вам выслали ваш же пароль, бегите от такого сервиса подальше: значит, в их базе он хранится в незашифрованном виде, а значит есть шанс, что он может попасть в нехорошие руки.

Посему меня заинтересовали вот какие вопросы...

Почему бы не усовершенствовать систему? Ведь если аккаунт угонят (в зависимости от типа сервиса, важность такой учётки может быть огромной: или это форум, на который вы не заходите, или это платный аккаунт на каком-то вип-сервисе) и заменят там e-mail, то восстановить свой акк назад уже не получится!

Примем за аксиому тот факт, что ваше мыло угнать нельзя (особенно, если там стоит совершенно независимый пароль, хотя это может тоже не быть панацеей, но не будем зацикливаться на этом).

Достаточно же просто для смены мыла отсылать ссылку на старый e-mail (либо контрольный вопрос, при его утере).

Можно в принципе и позаимствовать принципы восстановления у ICQ: вписанные мыла не теряются, а восстановление пароля на более ранние отвязывает поздние. Так при утере одного ящика, можно сразу вписать новый. Потому угонщик не долго будет радоваться обретению: при вашем восстановлении, он утратит контроль за акком и всё.

Это что касается восстановления на e-mail. Это не единственное решение в наше время: у WebMoney более продвинутая технология защиты, включая блокировки по IP, высылку смс с кодом подтверждения и т. п. Но это уже лишнее.

4 комментария
Алексей

Имхо, куда надёжнее — высылать по sms. У меня, например, ограничен приём сообщений с коротких нумеров (не люблю спамеров), поэтому скорей всего, этот вариант мне бы не подошёл. Ещё более продвинутый способ — звонок оператора лично абоненту. Но тогда это будет недешёвой услугой + придётся запоминать чего-то там, указанное при регистрации и невидимое пользователю (чтобы предотвратить редактирование) до самого конца пользования сервисом.

StereoMaster

Способ надёжный, но минусов хватает: у меня в последние месяцы мобила 85% времени разряжена, ибо не пользуюсь пока особо, да и аккумулятор менять надо. Принимать смски как-то неудобно: подключать к заряднику, ждать включения...

Да и что на случай утери симки или если просто мобила вне доступа :) Да и сомнительно, что какие-нить форумы станут требовать такую активацию и уведомления.

Алексей

Ну, таких индивидумов, наверное, в нашей стране немного.

Вообще, куда демократичнее ещё при регистрации давать пользователю выбор: как в случае утери пароля он желал бы получить новый с выбором не более одного из способов.

StereoMaster

как в случае утери пароля он желал бы получить новый с выбором не более одного из способов.

Ну это уже усложнение: реализовывать разные способы уведомления, конечно, удобно для юзеров (наверное), но не всегда труд оправдан.

Ваш комментарий
адрес не будет опубликован

ХТМЛ не работает

Ctrl + Enter
Популярное