Reset password token имеет неверное значение что это
Reset password token is invalid #2871
Comments
jimiguru commented Feb 17, 2014
I’m having a devil of a time with this one.
Rails 4
Devise 3.2.2
Postgres 9.3.2
Using @token, not @reset_password_token
Token is being set properly in the DB as is remember_password_sent_at timestamp.
I can query on the command line for users = @token and get the desired result.
No matter what, when attempting to reset the PW I get Reset password token invalid.
The text was updated successfully, but these errors were encountered:
josevalim commented Feb 17, 2014
Hrm, can you post the logs of the web request? Maybe the information is not being sent as expected?
jimiguru commented Feb 17, 2014
josevalim commented Feb 17, 2014
Yeah, with the tokens filtered, it doesn’t really help. 😛 But you can see the token in the database query, is that the token you expected?
jimiguru commented Feb 17, 2014
Actually, the token being generated and stored in the DB differs than the token in the email.
For instance, I just attempted again and the token generated and stored by Devise is:
The token in the email notification is:
jimiguru commented Feb 17, 2014
Relevant line from the mailer template:
josevalim commented Feb 17, 2014
Right. That’s the idea. I am out of clues as what can be happening. Can you please provide an application that reproduces the error?
jimiguru commented Feb 17, 2014
So it may be that there is some hashing going on between the email process and Devise, sorry I’m not that familiar with the inner workings of Devise.
Anyway, the Token that is created and saved to the User model is the token that is being sought on the reset attempt.
It’s a mystery to me why this doesn’t work.
Token generated from log:
Token in email:
reset_password_token=_GEqBpbzGtuhR7jchNjC
Token in reset attempt:
«reset_password_token» = ‘bfef35e411e3d3009ef7466dd85adf7bc03223d95c0dc5ead6f1cc8a61765aa4’
Токен недействителен при сбросе пароля с помощью удостоверения ASP.NET
Я реализовал ASP.NET Identity в своем приложении MVC, скопировав код из шаблонов VS 2013. Основная вещь работает, но мне не удалось заставить работать сброс пароля. Когда я показываю страницу «забытый пароль», создается электронное письмо, содержащее токен. Этот токен возвращается методом:
Когда я нажимаю ссылку, открывается форма для сброса пароля, в которой пользователь может ввести свой адрес электронной почты и новый пароль. Затем выполняется вызов функции смены пароля:
Мне это кажется хорошим, но в результате всегда получается «Недействительный токен», и я не понимаю, почему это так.
5 ответов
Токен, сгенерированный UserManager в ASP.NET Identity, обычно содержит символы » + «, которые при передаче в качестве строки запроса заменяются на » » (пробел) в URL-адресе. В ResetPassword ActionResult замените » » на » + » следующим образом:
Это должно делать свое дело. У меня была такая же проблема, и я нашел ответ здесь.
Просто хотел добавить, что наиболее распространенной проблемой за пределами кодирования / декодирования HTML является то, что в вашей пользовательской записи в базе данных может отсутствовать SecurityStamp. В ASP.NET Identity есть ошибка, когда одна функция устанавливает значение null при создании токена, тогда как другая при проверке токена проверяет наличие пустой строки.
Если ваш SecurityStamp имеет значение null или пустую строку, это вызовет проблему с недопустимым токеном.
В моем случае это произошло из-за того, что данные в базе данных были неправильно импортированы из другой базы данных. Поле SecurityStamp было пустым, поэтому я получил ошибку неверного токена.
Если ваш SecurityStamp изменится после создания вашего токена, токен также недействителен.
Так, например, вы генерируете свой токен, используя
Форма восстановления пароля
У нас уже созданы формы регистрации и авторизации и реализован функционал подтверждения адреса электронной почты, настало время добавить функционал восстановления пароля.
Замечание! Перед тем как продолжить, рекомендую сначала прочитать предыдущие статьи, связанные с созданием формы регистрации и авторизации. Если Вы это уже сделали, то можете идти дальше.
Замечание! После скачивания архива с исходными файлами статьи, не забудьте поменять данные для подключения к базе данных и указать адрес Вашего сайта. Всё это нужно сделать в файле dbconnect.php.
И так приступим. Первое что нам нужно сделать, это добавить ссылку » Забыли пароль? «, на страницу авторизации рядом с кнопкой » Войти «.
Открываем файл » form_auth.php «, и сразу после ячейки с кнопкой » Войти «, добавляем ячейку со ссылкой » Забыли пароль? «, которая будет ввести на файл » reset_password.php «.
Файл » reset_password.php » будет отвечать за вывод страницы восстановления пароля.
Алгоритм восстановления пароля
На страницу восстановления пароля, попросим пользователя ввести свой почтовый адрес. При обработке данной формы мы проверим, зарегистрирован ли пользователь с таким почтовым адресом, если да, то на указанный почтовый адрес отправим письмо со ссылкой, которая будет ввести на страницу установки нового пароля, иначе, если такой пользователь не зарегистрирован то, выведем сообщение об ошибке.
И так, создаём файл » reset_password.php » и пишем код.
Добавляем блок JavaScript кода, для проверки формата введённого почтового адреса. То есть с помощью этого кода мы проверяем, ввёл ли пользователь правильный почтовый адрес.
Дальше, добавим блок для вывода разных сообщений. Эти сообщения мы будем добавлять в сессию при обработке формы с этой страницы.
Дальше, выведем форму, которая попросит пользователя ввести свой почтовый адрес. Эту форму мы будем вывести только для не авторизованных пользователей. То есть если пользователь уже авторизован, и он напрямую зайдёт на страницу » site.ru/reset_password.php » то он получить сообщение о том, что он уже авторизован.
Условие «if(!isset($_GET[«hidden_form»]))«, нужно для того чтобы спрятать эту форму после её успешной обработки. Вместо этой формы мы выведем какое-то сообщение.
Идём в браузер, заходим на страницу авторизации, нажимаем на ссылку » забыли пароль » и смотрим, что у нас получилось.
Обработка формы восстановления пароля
Обращаем внимание на значение атрибута » action » формы восстановления пароля. В нём мы указали файл » send_link_reset_password.php «.
Соответственно нам нужно создать этот файл и приступить к написанию кода для обработки данной формы.
Добавляем новое поле в таблицу users
Заходим в phpMyAdmin, открываем таблицу » users «, и кликаем на вкладке » структура «. Выбираем радио-кнопку » После «, из выпадающего списка выбираем поле » password » и нажимаем на кнопку ОК.
После нажатия на кнопку OK, откроется следующее окно, где нужно будет ввести необходимые данные.
После того как ввели необходимые данные, нажимаем на кнопку » сохранить «.
Всё, поле » reset_password_token «, добавили. Идём дальше.
Открываем созданный файл » send_link_reset_password.php » и пишем код.
Дальше мы должны проверить капчу и обработать полученный почтовый адрес. В указанное место » //(1) Место для следующего куска кода » пишем следующий код:
После успешной обработки капчи и полученного почтового адреса, мы должны сделать запрос к базе данных, для того чтобы проверить зарегистрирован ли у нас такой пользователь, и подтверждён ли указанный почтовый адрес.
В указанное место » // (2) Место для составления запроса к БД «, пишем следующий код:
Зарегистрирован ли у нас такой пользователь, мы проверили, теперь проверим, подтверждён ли указанный почтовый адрес. В указанное место » // (3) Место для следующего куска кода «, пишем следующий код:
Если указанный почтовый адрес не подтверждён, то мы в сессию добавляем сообщение об ошибке и перенаправляем пользователя обратно на страницу восстановления пароля.
Иначе, мы составляем токен, добавляем его в базу данных, в поле » reset_password_token » таблицы » users » и отправляем пользователю письмо со ссылкой на страницу установки нового пароля.
Как видите из представленного кода, ссылка получает параметры email и токен, а формируется она следующим образом:
Посмотрим на содержание полученного письма:
И так, как мы видим, письмо отправилось успешно. С этим этапом мы закончили.
Установка нового пароля
В письме, если наведём мышку на ссылку, то, заметим что в левом нижнем углу появиться адрес данной ссылки. Из этого адреса, мы видим, что ссылка введёт на файл » set_new_password.php «.
Данный файл будет отвечать за вывод страницы установки нового пароля. То есть, с помощью этого файла, мы выведем форму, через которую пользователь сможет установить новый пароль.
Создаём этот файл » set_new_password.php «, открываем его и пишем следующий код:
Здесь мы проверяем, существуют ли параметры token и email в ссылке, если они существуют, то идём дальше, иначе, выводим сообщение об ошибке. Вы можете сделать так чтобы, в случае ошибки, пользователя перенаправили на главную страницу.
Дальше нам нужно проверить, совпадает ли токен из ссылки с токеном из базы данных. Если токены совпадают, то выводим форму установки нового пароля, иначе, выводим сообщение об ошибке.
В указанное место » //(1) Место для вывода формы установки нового пароля «, подключаем шапку и подвал, добавляем блок JavaScript кода и выводим форму установки нового пароля.
В итоге, у нас получилась вот такая страничка:
JavaScript код, нужен для того чтобы проверить длину вводимого пароля, и совпадает ли пароль из поля » Повторите пароль » с паролем из поле » Введите новый пароль «.
Обработка формы установки нового пароля
Как Вы заметили, в значение атрибута » action » указан файл » update_password.php «. С помощью этого файла мы обработаем форму установки нового пароля. То есть, обновим пароль в базе данных, у указанного пользователя.
Создаём этот файл » update_password.php » и пишем следующий код:
Здесь мы проверяем, была ли нажата кнопка » Изменить пароль «.
Как Вы заметили, мы обработчику передаём скрытно токен и email. Токен здесь нужен для того чтобы мы смогли возвращаться обратно на страницу установки нового пароля, в случае какой-то ошибки, которая может возникнуть при обработке формы. То есть для того чтобы возвращаться из обработчика обратно на страницу установки нового пароля, нам нужно в ссылку передать токен и email.
Поэтому в обработчике, мы должны проверить существуют ли эти данные в массиве POST. Также мы должны обработать полученный пароль.
В указанное место » //(1) Место для следующего куска кода «, пишем следующий код:
Теперь, после успешной обработки полученных данных, настало время, обновить пароль у указанного пользователя.
В указанное место » //(2) Место для следующего куска кода «, пишем следующий код:
Если пароль был изменён успешно, без ошибок, то мы увидим соответствующее сообщение:
На этом всё дорогие читатели, с реализации функционала восстановления пароля мы закончили. Но, перед тем как завершить данную статью, хочу Вам показать ещё один способ восстановления пароля.
Данный способ проще в реализации, но он имеет один небольшой недостаток. Я его Вам показываю только для того чтобы Вы знали что существует и такой вариант реализации. В чем его недостаток описано ниже.
Простой способ восстановления пароля
Данный способ отличается от предыдущего тем, что на указанную почту отправляется не ссылка на страницу установки нового пароля, а уже сгенерированный пароль.
Здесь также необходимо добавить ссылку » Забыли пароль «, при нажатии на которой попадаем на страницу где нужно ввести почтовый адрес. В предыдущем способе, за эту страницу отвечал файл » reset_password.php «. Можно его взять оттуда, потому что он будет такой же и в этом способе.
После того как пользователь ввёл свой адрес электронной почты и нажал на кнопку » Восстановить «, мы на указанный адрес отправим новый сгенерированный пароль.
За обработку формы восстановления пароля, из файла » reset_password.php «, у нас будет отвечать файл » send_new_password.php «, поэтому в значение атрибута » action «, у формы, напишем название этого файла. Создаём данный файл, открываем его и читаем дальше :).
Код данного файла, очень похож на код файла » send_link_reset_password.php «, за исключением некоторых строк. Поэтому копируем весь код файла » send_link_reset_password.php «, и вставляем его в файл » send_new_password.php «. Изменения нужно внести внутри блока else, который находится внутри цикла while.
Значит в указанное место » Место, где нужно произвести изменения » пишем следующий код:
Здесь мы генерируем новый пароль, то есть берем последние 7 символов из хэша, который формируется за счёт указанного email и текущего времени. Обновляем пароль в базе данных для указанного пользователя. И на указанный почтовый адрес отправляем письмо с новым паролем.
На указанный почтовый адрес, придёт такое письмо:
И всё, пароль восстановлен. Теперь пользователь может авторизоваться со своим новым паролем.
В чем недостаток данного способа?
А недостаток здесь в том что, злоумышленник или любой другой пользователь может ввести email какого-то другого зарегистрированного пользователя и автоматически изменить его пароль.
Согласитесь, что зарегистрированный пользователь сильно удивится, что его пароль, внезапно изменился. Конечно, потери не критичны, но всё-таки это неприятно.
И здесь я завершаю свою статью. Теперь Вы знаете, как реализовать функционал восстановления пароля двумя способами, и можете использовать эти способы реализации в своих проектах.
Замечание! После скачивания архива с исходными файлами статьи, не забудьте поменять данные для подключения к базе данных и указать адрес Вашего сайта. Всё это нужно сделать в файле dbconnect.php.
Желаю хорошего дня и отличного настроения!
Похожие статьи:
Видео прикол по теме:
Понравилась статья?
Тогда поделитесь ею с друзьями и подпишитесь на новые интересные статьи.
Поделиться с друзьями:
Подписаться на новые статьи:
Поддержите пожалуйста мой проект!
Если у Вас есть какие-то вопросы или предложения, то можете писать их в комментариях или мне на почту sergiu1607@gmail.com. И если Вы заметили какую-то ошибку в статье, то прошу Вас, сообщите мне об этом, и в ближайшее время я всё исправлю.
Автор статьи: Мунтян Сергей
Недопустимый токен при сбросе пароля с удостоверением ASP.NET
Я реализовал ASP.NET Identity в своем приложении MVC, скопировав код из шаблонов VS 2013. Основная вещь работает, но я не мог заставить Сбросить пароль работать. Когда я показываю страницу «забыл пароль», создается электронное письмо с токеном. Этот токен возвращается методом:
Когда я нажимаю на ссылку, открывается форма сброса пароля, и пользователь может ввести свой адрес электронной почты и новый пароль. Затем производится вызов функции смены пароля:
Это выглядит хорошо для меня, но результатом всегда является «Неверный токен», и я не понимаю, почему это так.
У кого-нибудь есть идея, почему она не работает? И где, черт возьми, хранится токен? Я думал, что это должно быть в базе данных где-то вокруг AspNetUsers Таблица.
5 ответов
Токен, сгенерированный UserManager в ASP.NET идентичность обычно содержит + «символы, которые при передаче в виде строки запроса изменяются на» «(пробел) в URL. В вашем ResetPassword ActionResult заменить» » с » + » как это:
Это должно делать свое дело. У меня была такая же проблема, и я нашел ответ здесь.
Просто хотел добавить, что самая распространенная проблема за пределами кодирования / декодирования HTML заключается в том, что в вашей пользовательской записи в базе данных может отсутствовать метка SecurityStamp. В ASP.NET Identity существует ошибка, когда одна функция устанавливает его в null при создании токена, тогда как другая при проверке токена проверяет наличие пустой строки.
Если ваш SecurityStamp имеет значение null или пустую строку, это вызовет проблему неверного токена.
Если твой SecurityStamp Изменения после генерации вашего токена токен также недействителен.
Так, например, вы генерируете свой токен, используя
Ваш SecurityStamp обновляется и токен теперь недействителен
Всё, что вы хотели знать о безопасном сбросе паролей. Часть 1
Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс со всеми подробностями безопасной реализации функции сброса. Однако проблема в том, что такого ресурса не существует, по крайней мере, такого, в котором описывается всё, что мне кажется важным. Поэтому я решил написать его сам.
Видите ли, мир забытых паролей на самом деле довольно загадочен. Существует множество различных, совершенно приемлемых точек зрения и куча довольно опасных. Есть вероятность, что с каждой из них вы много раз сталкивались как конечный пользователь; поэтому я попытаюсь воспользоваться этими примерами, чтобы показать, кто делает всё правильно, а кто нет, и на чём нужно сосредоточиться для правильной реализации функции в своём приложении.
Хранение паролей: хэширование, шифрование и (ох!) простой текст
Мы не можем обсуждать, что делать с забытыми паролями, прежде чем не обсудим способ их хранения. В базе данных пароли хранятся в одном из трёх основных видов:
Шифрование лучше, но имеет свои слабые стороны. Проблема шифрования — в дешифровке; можно взять эти безумно выглядящие шифры и преобразовать их обратно в простой текст, а когда это произойдёт, мы вернёмся к ситуации с читаемыми паролями. Как это происходит? Небольшой изъян проникает в код, занимающийся дешифровкой пароля, делая его публично доступным — это один из способов. Доступ к машине, на которой хранятся зашифрованные данные, получают взломщики — это второй способ. Ещё один способ опять-таки заключается в том, что похищают резервную копию базы данных, и кто-то также получает ключ шифрования, которые часто хранятся очень ненадёжно.
И это приводит нас к хэшированию. Идея хэширования заключается в том, что оно выполняется в одну сторону; единственный способ сравнения введённого пользователем пароля с его хэшированной версией — хэширование введённого и их сравнение. Чтобы предотвратить атаки при помощи инструментов наподобие «радужных таблиц», мы при помощи соли добавляем в процесс случайность (для полноты картины прочитайте мой пост о криптографическом хранении). В конечном итоге, при правильной реализации мы можем с большой долей уверенности считать, что хэшированные пароли больше никогда не станут простым текстом (о преимуществах различных алгоритмов хэширования я расскажу в другом посте).
Краткий аргумент о хэшировании и шифровании: единственная причина, по которой вам когда-нибудь потребуется зашифровать, а не хэшировать пароль — это когда вам нужно увидеть пароль в простом тексте, а вам этого никогда не должно хотеться, по крайней мере, в ситуации со стандартным веб-сайтом. Если вам это нужно, то, скорее всего, вы делаете что-то не так!
Чуть ниже в тексте поста есть часть скриншота порнографического веб-сайта AlotPorn. Он аккуратно обрезан, и так нет ничего такого, чего нельзя увидеть на пляже, но если это всё равно может вызвать какие-то проблемы, то не прокручивайте страницу вниз.
Всегда сбрасывайте пароль, никогда его не напоминайте
Вас когда-нибудь просили создать функцию напоминания пароля? Сделайте шаг назад и подумайте об этой просьбе в обратную сторону: зачем нужно это «напоминание»? Потому что пользователь забыл пароль. Что мы на самом деле хотим сделать? Помочь ему снова войти в систему.
Я понимаю, слово «напоминание» используется (часто) в разговорном смысле, но на самом деле мы пытаемся безопасно помочь пользователю снова быть онлайн. Так как нам нужна безопасность, есть две причины, по которым напоминание (т.е. отправка пользователю его пароля) не подходит:
Очевидно, первая проблема заключается в том, что страница входа в систему не загружается по HTTPS, но сайт к тому же ещё и предлагает отправить пароль («Send Password»). Возможно, это пример упомянутого выше разговорного применения данного термина, поэтому давайте сделаем ещё один шаг и посмотрим, что произойдёт:
Выглядит ненамного лучше, к сожалению; и электронная почта подтверждает наличие проблемы:
Это говорит нам о двух важных аспектах usoutdoor.com:
Перечисление имён пользователей и его влияние на анонимность
Эту проблему лучше проиллюстрировать визуально. Проблема:
Подобные практики также вызывают возникновение опасности «перечисления имён пользователей», при котором можно проверить существование на веб-сайте целой коллекции имён пользователей или адресов почты простыми групповыми запросами и изучением ответов на них. У вас есть список адресов электронной почты всех сотрудников и несколько минут на написание скрипта? Тогда вы видите, в чём проблема!
Какова же альтернатива? На самом деле, она довольно проста, и замечательно реализована на Entropay:
Здесь Entropay совершенно ничего не раскрывает о существовании в своей системе адреса электронной почты тому, кто не владеет этим адресом. Если вы владеете этим адресом и он не существует в системе, то вы получите подобное электронное письмо:
Разумеется, возможны приемлемые ситуации, в которых кто-то думает, что зарегистрировался на веб-сайте. но это не так, или сделал это с другого адреса почты. Показанный выше пример удачно справляется с обеими ситуациями. Очевидно, если адрес совпал, то вы получите письмо, упрощающее сброс пароля.
Тонкость выбранного Entropay решения в том, что проверка идентификации выполняется по электронной почте до любой онлайн-проверки. Некоторые сайты спрашивают у пользователей ответ на секретный вопрос (подробнее об этом ниже) до того, как сможет начаться сброс; однако, проблема этого в том, что нужно ответить на вопрос, предоставив при этом какой-либо вид идентификации (почту или имя пользователя), из-за чего затем почти невозможно ответить интуитивно понятно, не раскрывая существования учётной записи анонимного пользователя.
При таком подходе есть небольшое снижение юзабилити, потому что в случае попытки сброса несуществующего аккаунта нет мгновенной обратной связи. Разумеется, в этом и есть весь смысл отправки электронного письма, но с точки зрения настоящего конечного пользователя, если он введёт неправильный адрес, то впервые узнает об этом только при получении письма. Подобное может вызвать определённую напряжённость с его стороны, но это небольшая плата за столь редкий процесс.
Ещё одно примечание, немного отклоняющееся от темы: функции помощи входу в систему, раскрывающие правильность имени пользователя или адреса электронной почты, обладают той же проблемой. Всегда отвечайте пользователю сообщением «Неправильное сочетание имени пользователя и пароля» (You username and password combination is invalid), а не подтверждайте явным образом существование идентификационной информации (например, «имя пользователя верное, но пароль введён неверно»).
Отправка пароля сброса против отправки URL сброса
Следующая концепция, которую нам нужно обсудить, связана со способом сброса пароля. Существует два популярных решения:
Но кроме этого у первого пункта существует ещё одна серьёзная проблема — он максимально упрощает блокировку учётной записи со злым умыслом. Если я знаю адрес почты того, кто владеет учётной записью на веб-сайте, то я могу заблокировать его в любой момент времени, просто сбросив его пароль; это атака типа «отказ в обслуживании», выложенная на блюдечке с голубой каёмочкой! Именно поэтому сброс должен выполняться только после успешной проверки у запрашивающего права на него.
Когда мы говорим об URL сброса, то подразумеваем адрес веб-сайта, который является уникальным для этого конкретного случая процесса сброса. Разумеется, он должен быть случайным, его не должно быть легко разгадать и он не должен содержать никаких внешних ссылок на учётную запись, упрощающих сброс. Например, URL сброса не должен быть просто путём наподобие «Reset/?username=JohnSmith».
Мы хотим создать уникальный токен, который можно будет отправить по почте как URL сброса, а затем сверить его с записью на сервере с учётной записью пользователя, подтвердив таким образом, что владелец учётной записи и в самом деле тот же самый человек, который пытается сбросить пароль. Например, токен может иметь вид «3ce7854015cd38c862cb9e14a1ae552b» и храниться в таблице вместе с ID пользователя, выполняющего сброс, и временем генерации токена (подробнее об этом чуть ниже). При отправке письма оно содержит URL наподобие «Reset/?id=3ce7854015cd38c862cb9e14a1ae552b», а когда пользователь загружает его, страница запрашивает существование токена, после чего подтверждает информацию пользователя и разрешает изменить пароль.
Разумеется, поскольку описанный выше процесс (будем надеяться) позволяет пользователю создать новый пароль, нужно гарантировать загрузку URL по HTTPS. Нет, передать его POST-запросом по HTTPS недостаточно, этот URL с токеном должны использовать безопасность транспортного слоя, чтобы на форму ввода нового пароля невозможно было совершить атаку MITM и созданный пользователем пароль передавался по защищённому соединению.
Также для URL сброса нужно добавить лимит времени токена, чтобы процесс сброса можно было выполнить в течение определённого интервала, допустим, в пределах часа. Это гарантирует, что окно времени сброса будет минимальным, чтобы получивший этот URL сброса мог действовать только в рамках этого очень маленького окна. Разумеется, нападающий может снова начать процесс сброса, но ему понадобится получить ещё один уникальный URL сброса.
Наконец, нам нужно обеспечить одноразовость этого процесса. После завершения процесса сброса токен необходимо удалить, чтобы URL сброса больше не был работающим. Предыдущий пункт нужен для того, чтобы у нападающего было очень малое окно, в течение которого он может манипулировать URL сброса. Плюс, разумеется, после успешного завершения сброса токен больше не нужен.
Некоторые из этих шагов могут показаться чересчур избыточными, но они совершенно не мешают юзабилити и на самом деле повышают безопасность, хотя и в ситуациях, которые, мы надеемся, будут редкими. В 99% случаев пользователь будет задействовать сброс в течение очень короткого промежутка времени и не будет сбрасывать пароль снова в ближайшем будущем.
Роль CAPTCHA
О, CAPTCHA, средство защиты, которое все мы так любим ненавидеть! На самом деле, CAPTCHA средство не столько защиты, сколько идентификации — человек вы или робот (или автоматизированный скрипт). Её смысл в том, чтобы избежать автоматическую отправку форм, которая, разумеется, может применяться как попытка взлома защиты. В контексте сброса паролей CAPTCHA означает, что функцию сброса невозможно будет взломать грубым перебором, чтобы или потом спамить пользователю, или попытаться определить существование учётных записей (что, разумеется, будет невозможно, если вы следовали советам из раздела о проверке идентификации).
Разумеется, сама по себе CAPTCHA неидеальна; существует множество прецедентов её программного «взлома» и достижения достаточных показателей успеха (60-70%). Кроме того, существует решение, показанное в моём посте о взломе CAPTCHA автоматизированными людьми, при котором можно платить людям доли цента для решения каждой CAPTCHA и получения показателя успеха в 94%. То есть она уязвима, однако (слегка) повышает входной барьер.
Давайте взглянем на пример PayPal:
В данном случае процесс сброса просто не может начаться до решения CAPTCHA, поэтому теоретически автоматизировать процесс невозможно. Теоретически.
Однако для большинства веб-приложений это будет перебором и совершенно точно представляет собой снижение юзабилити — люди просто не любят CAPTCHA! Кроме того, CAPTCHA — это такая вещь, к которой при необходимости можно будет легко вернуться. Если сервис начинает подвергаться нападению (здесь пригождается логгинг, но подробнее об этом позже), то добавить CAPTCHA легче некуда.
Секретные вопросы и ответы
При всех рассмотренных нами способах мы имели возможность сбросить пароль, всего лишь имея доступ к учётной записи электронной почты. Я говорю «всего лишь», но, разумеется, незаконное получение доступа к чужой учётной записи почты должно быть сложным процессом. Однако это не всегда так.
На самом деле, представленная выше ссылка о взломе учётной записи Сары Пэйлин на Yahoo! служит двум целям; во-первых, она иллюстрирует, насколько легко можно взламывать (некоторые) почтовые аккаунты, во-вторых, она показывает, как можно со злым умыслом использовать плохие секретные вопросы. Но мы вернёмся к этому позже.
Проблема со сбросом паролей со стопроцентной зависимостью от электронной почты заключается в том, что целостность учётной записи сайта, пароль которого вы пытаетесь сбросить, становится стопроцентно зависимым от целостности учётной записи электронной почты. Любой, кто имеет доступ к вашей электронной почте, имеет доступ к любому аккаунту, который можно сбросить простым получением электронного письма. Для таких аккаунтов электронная почта является «ключом от всех дверей» вашей жизни онлайн.
Один из способов снижения этого риска — реализация паттерна секретного вопроса и ответа. Без сомнений, вы уже видели их: выбираете вопрос, на который только вы должны знать ответ, после чего при сбросе пароля вам его задают. Это добавляет уверенности в том, что человек, пытающийся выполнить сброс и в самом деле является владельцем аккаунта.
Вернёмся к Саре Пэйлин: ошибка была в том, что ответы на её секретный вопрос/вопросы легко можно было найти. В частности, когда ты такая значимая общественная фигура, информация о девичьей фамилии матери, истории обучения или о том, где кто-то мог жить в прошлом, не такая уж и секретная. На самом деле, большая её часть может быть найдена практически любым. Так и произошло с Сарой:
Хакер Дэвид Кернелл получил доступ к учётной записи Пэйлин, найдя подробности её биографии, такие как её вуз и дату рождения, а затем использовав функцию восстановления забытых паролей к учётным записям Yahoo!.
В первую очередь это ошибка проектирования со стороны Yahoo! — указав такие простые вопросы, компания по сути саботировала ценность секретного вопроса, а значит, и защиту своей системы. Разумеется, сброс паролей к учётной записи электронной почты всегда сложнее, ведь вы не можете подтвердить её владение, отправив владельцу электронное письмо (не имея второго адреса), но, к счастью, сегодня для создания такой системы не так уж много способов применения.
Вернёмся к секретным вопросам — существует вариант предоставить пользователю возможность создания собственных вопросов. Проблема в том, что в результате будут получаться ужасно очевидные вопросы:
Какого цвета небо?
Вопросы, ставящие людей в неудобное положение, когда для идентификации секретный вопрос использует человек (например, в колл-центре):
С кем я переспал на Рождество?
Или откровенно глупые вопросы:
Как пишется «пароль»?
Когда дело касается секретных вопросов, пользователей нужно спасти от самих себя! Другими словами, секретный вопрос должен определять сам сайт, а ещё лучше, задавать серию секретных вопросов, из которых может выбирать пользователь. И не просто выбирать один; в идеале пользователь должен выбрать два или более секретных вопросов в момент регистрации аккаунта, которые затем будут использоваться как второй канал идентификации. Наличие нескольких вопросов повышает степень уверенности в процессе проверки, а также даёт возможность добавления случайности (не всегда показывать одинаковый вопрос), плюс обеспечивает немного избыточности на случай, если настоящий пользователь забыл пароль.
Каким же должен быть хороший секретный вопрос? На это влияет несколько факторов:
Позвольте мне продемонстрировать, как секретные вопросы реализованы в PayPal и, в частности, какие усилия сайт прикладывает для идентификации. Выше мы видели страницу начала процесса (с CAPTCHA), а здесь мы покажем, что происходит после того, как вы вводите адрес почты и решаете CAPTCHA:
В результате пользователь получает такое письмо:
Пока всё вполне обычно, но вот что скрывается за этим URL сброса:
Итак, в дело вступают секретные вопросы. На самом деле, PayPal также позволяет сбросить пароль, подтвердив номер кредитной карты, поэтому существует дополнительный канал, к которому не имеют доступа множество сайтов. Я просто не могу изменить пароль, не ответив на оба секретных вопроса (или не зная номер карты). Даже если кто-то захватит мою электронную почту, он не сможет сбросить пароль учётной записи PayPal, если не знает обо мне чуть больше личной информации. Какой информации? Вот варианты секретных вопросов, предлагаемые PayPal:
Вопрос о школе и больнице может быть слегка сомнительным с точки зрения простоты поиска, но остальные не так плохи. Однако для повышения безопасности PayPal требует дополнительной идентификации для изменения ответов на секретные вопросы:
PayPal — довольно утопический пример безопасного сброса пароля: он реализует CAPTCHA для снижения опасности грубого перебора, требует два секретных вопроса, а затем требует ещё один вид совершенно другой идентификации только для смены ответов — и это после того, как пользователь уже выполнил вход. Разумеется именно этого мы и ожидали бы от PayPal; это финансовая организация, работающая с большими суммами денег. Это не означает, что каждый сброс пароля должен следовать этим этапам — в большинстве случаев это перебор — однако это хороший пример для случаев, когда безопасность — серьёзный бизнес.
Удобство системы секретных вопросов в том, что если вы не реализовали её сразу, то её можно добавить позже, если этого требует уровень защиты ресурса. Хорошим примером этого служит Apple, только недавно реализовавшая этот механизм [статья написана в 2012 году]. Начав однажды обновлять приложение на iPad, я увидел следующий запрос:
Затем я увидел экран, на котором можно было выбрать несколько пар секретных вопросов и ответов, а также спасательный адрес электронной почты:
Что касается PayPal, то вопросы выбраны заранее и некоторые из них на самом деле довольно неплохи:
Каждая из трёх пар вопросов и ответов представляет отдельное множество возможных вопросов, поэтому существует достаточное количество способов конфигурирования учётной записи.
Ещё одним аспектом, который нужно рассмотреть относительно ответа на секретный вопрос, является хранение. Нахождение в ДБ простого текста представляет почти те же угрозы, что и в случае пароля, а именно — раскрытие базы данных мгновенно раскрывает значение и подвергает риску не только приложение, но и потенциально совершенно другие приложения, использующие те же секретные вопросы (это снова вопрос ягод асаи). Одним из вариантов является безопасное хэширование (стойкий алгоритм и криптографически случайная соль), однако в отличие от большинства случаев хранения паролей, здесь может быть уважительная причина видимости ответа как простого текста. Типичным сценарием является проверка личности живым оператором по телефону. Разумеется, в этом случае хэширование тоже применимо (оператор может просто ввести названный клиентом ответ), но в самом худшем случае секретный ответ должен находиться на каком-нибудь уровне криптографического хранилища, даже если это просто симметричное шифрование. Подведём итог: обращайтесь с секретами как с секретами!
И последний аспект секретных вопросов и ответов — они более уязвимы для социального инжиниринга. Пытаться напрямую выпытывать пароль к чужому аккаунту — это одно дело, а завязать разговор о его образовании (популярный секретный вопрос) — совершенно другое. На самом деле, вы вполне реально можете общаться с кем-то о многих аспектах его жизни, которые могут представлять секретный вопрос, и не вызывать при этом подозрений. Разумеется, сама суть секретного вопроса в том, что он связан с чьим-то жизненным опытом, поэтому он запоминается, и именно в этом заключается проблема — люди любят рассказывать о своём жизненном опыте! С этим мало что можно поделать, только если выбрать такие варианты секретных вопросов, чтобы их с меньшей вероятностью можно было бы вытянуть социальным инжинирингом.
На правах рекламы
VDSina предлагает надёжные серверы с посуточной оплатой, каждый сервер подключён к интернет-каналу в 500 Мегабит и бесплатно защищён от DDoS-атак!