Αντιμετώπιση προβλημάτων

Αρχική σελίδα Υλικό υπολογιστών Δικτύωση Προγραμματισμός λογισμικό Αντιμετώπιση προβλημάτων Λειτουργικά συστήματα Υπολογιστές
Γνώση Υπολογιστών >> Αντιμετώπιση προβλημάτων >  >> Οι κωδικοί πρόσβασης

Πώς εισάγετε έναν κωδικό πρόσβασης από το πληκτρολόγιο που είναι λιγότερο από έξι χαρακτήρες και με το μέγιστο των δέκα;

Η διαδικασία εισόδου σε έναν κωδικό πρόσβασης λιγότερο από έξι χαρακτήρες (αλλά όχι περισσότερο από δέκα) εξαρτάται εξ ολοκλήρου από την εφαρμογή ή το σύστημα απαιτώντας τον κωδικό πρόσβασης. Δεν υπάρχει καθολικός "τρόπος" για να αναγκάσετε έναν κωδικό πρόσβασης να είναι κάτω από έξι χαρακτήρες. Τα περισσότερα συστήματα κωδικών πρόσβασης θα είναι στην πραγματικότητα * επιβάλλουν * ένα ελάχιστο μήκος.

Ακολουθεί μια ανάλυση των σεναρίων και πώς θα προσπαθούσατε * να εισαγάγετε έναν κωδικό πρόσβασης που να πληροί αυτά τα κριτήρια:

1. Το σύστημα επιτρέπει σύντομους κωδικούς πρόσβασης:

* Απλή υπόθεση: Απλά πληκτρολογήστε τον επιθυμητό κωδικό πρόσβασης (μεταξύ 1 και 5 χαρακτήρων) απευθείας στο πεδίο κωδικού πρόσβασης και πατήστε "Enter" ή κάντε κλικ στο κουμπί "Υποβολή". Εάν το σύστημα το αποδέχεται, τελειώσατε.

2. Το σύστημα επιβάλλει ένα ελάχιστο μήκος κωδικού πρόσβασης (πιο κοινό):

* Δεν μπορείτε να εισαγάγετε απευθείας έναν κωδικό πρόσβασης μικρότερο από το ελάχιστο. Η εφαρμογή ή το σύστημα έχει σχεδιαστεί για να αποτρέψει αυτό για λόγους ασφαλείας. Τα τυπικά ελάχιστα είναι 6, 8, 10 ή ακόμα και 12 χαρακτήρες.

* Καταστυχή (γενικά δεν συνιστάται): Σε εξαιρετικά σπάνιες περιπτώσεις, μπορεί να υπάρχουν * ευπάθειες * στο σύστημα που θα σας επιτρέψει να παρακάμψετε την απαίτηση μήκους κωδικού πρόσβασης. Η εκμετάλλευση αυτών των τρωτών σημείων είναι συχνά παράνομη ή ανήθικη. Παραδείγματα μπορεί να περιλαμβάνουν:

* Εκμετάλλευση ενός σφάλματος στην επικύρωση του πελάτη: Ο ιστότοπος/εφαρμογή * μπορεί να ελέγξει το μήκος του κωδικού πρόσβασης χρησιμοποιώντας το JavaScript * πριν * την αποστολή του στο διακομιστή. Θα μπορούσατε ενδεχομένως να απενεργοποιήσετε το JavaScript ή να χρησιμοποιήσετε εργαλεία προγραμματιστή προγράμματος περιήγησης για να παρακάμψετε αυτόν τον έλεγχο. Ωστόσο, η επικύρωση από την πλευρά του διακομιστή πιθανότατα θα εξακολουθεί να αποτυγχάνει.

* έγχυση SQL (σε πολύ κακώς κωδικοποιημένα συστήματα): Σε εξαιρετικά παλιά ή κακώς γραπτά συστήματα, μπορεί να είναι * μπορεί να είναι δυνατή η δημιουργία μιας επίθεσης SQL έγχυσης που τροποποιεί απευθείας τις καταγραφές της βάσης δεδομένων, καθορίζοντας έναν σύντομο κωδικό πρόσβασης χωρίς να περάσει από την κατάλληλη επικύρωση. Αυτό είναι εξαιρετικά απίθανο και θα απαιτούσε βαθιά γνώση της ασφάλειας της βάσης δεδομένων.

* Εκμετάλλευση μιας αδυναμίας API: Εάν το σύστημα χρησιμοποιεί ένα API (διεπαφή προγραμματισμού εφαρμογών) για να αλλάξει τους κωδικούς πρόσβασης, μπορεί να έχει ευπάθεια. Θα μπορούσατε ενδεχομένως να δημιουργήσετε μια συγκεκριμένη κλήση API που παρακάμπτει τον έλεγχο μήκους.

Σημαντικές εκτιμήσεις και προειδοποιήσεις:

* Ασφάλεια: Η επιλογή ενός κωδικού πρόσβασης μικρότερο από το συνιστώμενο ελάχιστο είναι * εξαιρετικά * ανασφαλής. Οι σύντομοι κωδικοί πρόσβασης είναι πολύ πιο εύκολο να σπάσουν χρησιμοποιώντας επιθέσεις Brute-Force.

* Συμμόρφωση: Πολλά συστήματα έχουν πολιτικές κωδικού πρόσβασης για λόγους συμμόρφωσης (π.χ. HIPAA, PCI DSS). Η παράκαμψη αυτών των πολιτικών θα μπορούσε να έχει νομικές συνέπειες.

* Ηθική: Η προσπάθεια να παρακάμψει τα μέτρα ασφαλείας, ακόμη και για φαινομενικά ασήμαντους λόγους, μπορεί να θεωρηθεί ανήθικη ή ακόμα και παράνομη, ανάλογα με το πλαίσιο και τους ισχύοντες νόμους.

* Εργαλεία προγραμματιστή: Προσέξτε τη χρήση εργαλείων προγραμματιστή προγράμματος περιήγησης (όπως η κονσόλα) σε ιστότοπους. Μπορείτε να σπάσετε κατά λάθος τον ιστότοπο ή να εκθέσετε ευαίσθητες πληροφορίες.

* επικύρωση από την πλευρά του διακομιστή: Ποτέ μην υποθέτετε ότι η επικύρωση από την πλευρά του πελάτη (οι έλεγχοι JavaScript στο πρόγραμμα περιήγησης) είναι το μόνο μέτρο ασφαλείας. Συστήματα αξιόπιστων * Πάντα * Εκτελέστε επικύρωση στον διακομιστή.

Παράδειγμα σενάρια:

* Σύνδεση ιστότοπου: Εάν ένας ιστότοπος απαιτεί έναν ελάχιστο κωδικό πρόσβασης 8 χαρακτήρων, δεν μπορείτε * να χρησιμοποιήσετε έναν κωδικό πρόσβασης 5 χαρακτήρων. Το σύστημα θα το απορρίψει.

* Κωδικός πρόσβασης λογαριασμού Windows: Τα Windows έχουν μια πολιτική κωδικού πρόσβασης που συνήθως απαιτεί ελάχιστο μήκος. Θα πρέπει να αλλάξετε τις τοπικές ρυθμίσεις πολιτικής ασφαλείας για να επιτρέψετε μικρότερους κωδικούς πρόσβασης (οι οποίοι αποθαρρύνονται έντονα για λόγους ασφαλείας).

* Διαμόρφωση δρομολογητή: Μερικοί παλαιότεροι δρομολογητές ενδέχεται να μην επιβάλλουν ισχυρές πολιτικές κωδικού πρόσβασης. Σε αυτή την περίπτωση, θα μπορούσατε ενδεχομένως να χρησιμοποιήσετε έναν σύντομο κωδικό πρόσβασης, αλλά θα κάνατε το δίκτυό σας πολύ πιο ευάλωτο.

Συνοπτικά:

Ενώ τεχνικά * θα μπορούσατε * ενδεχομένως να βρείτε μια λύση σε ένα πολύ κακώς σχεδιασμένο σύστημα, στο 99,9% των περιπτώσεων, θα είστε * ανίκανοι * να εισαγάγετε έναν κωδικό πρόσβασης μικρότερο από το ελάχιστο μήκος που επιβάλλεται από την εφαρμογή ή το σύστημα. Και ακόμα κι αν *θα μπορούσατε *, δεν πρέπει ποτέ να το κάνετε λόγω των αυστηρών κινδύνων ασφαλείας που εμπλέκονται.

Συναφής σύστασή

Τελευταία άρθρα

Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα