비밀번호 해싱 및 사용자 지원

우리는 최근에 더 나은 암호 저장 전략으로 옮겼습니다.

• bCrypt를 거친 후 비밀번호가 저장됩니다.
• 주소를 확인하기 위해 계정 생성시 사용자에게 활성화 링크가 전송됩니다
• 비밀번호 힌트없이 비밀번호를 잊어 버리면 링크가 이메일로 전송됩니다.
• 링크는 24 시간 후에 만료되며 새 링크를 요청해야합니다.
• 직원이 계정을 만들면 임의의 강력한 암호가 포함 된 이메일이 전송됩니다. 로그인하면 사용자가 알지 못하는 것으로 재설정해야하며 bCrypt'd입니다.

이제 이것은 "모범 사례"와 일치하지만,이 모든 것을 이해하지 못하는 일반 사용자의 지원 요청이 많이 증가했습니다. 로그인 만하면됩니다.

우리는 종종 다음에 대해 불평하는 사용자로부터 요청을받습니다.

• 잘못된 비밀번호 (초기화해야하는 비밀번호에서 끝에 공백이있는 경우가 종종 있습니다). 그들은 우리에게 그들이 무엇을 사용하고 있는지 말하지만 우리는 그들에게 실제 암호가 무엇인지 말할 방법이 없습니다.
• 그들이 보낸 이메일을받지 못했다고 말하면 (활성화, 재설정 등). 많은 문제 해결 후 이메일에서 오타가 발생했거나 올바른 이메일 계정을 확인하지 않았거나 단순히 스팸 폴더로 이동했음을 알았습니다.

물론 암호가 없기 때문에 시도해 볼 수 없습니다. 실패한 시도를 기록하고 있지만 다른 계정에 사용 된 암호 일 가능성이 높고 일반 텍스트 로그 파일에 저장하지 않았기 때문에 사용한 암호도 지 웁니다. 이로 인해 문제를보고 할 때 도움이되지 않습니다.

대부분의 사람들이 이와 같은 문제를 어떻게 처리하는지 궁금합니다.

잘못된 비밀번호 (초기화해야하는 비밀번호에서 끝에 공백이있는 경우가 종종 있습니다). 그들은 우리에게 그들이 무엇을 사용하고 있는지 말하지만 우리는 그들에게 실제 암호가 무엇인지 말할 방법이 없습니다.

로그인하고 일회용 비밀번호를 강제로 재설정하는 일회성 GUID 링크를 포함 시켜서 고칠 수 있습니다. 사용자에게 강제로 복사하여 붙여 넣지 마십시오. 또한 양식의 비밀번호 끝에서 공백을 제거하지 마십시오.

그들이 보낸 이메일을받지 못했다고 말하면 (활성화, 재설정 등). 많은 문제 해결 후 이메일에서 오타가 발생했거나 올바른 이메일 계정을 확인하지 않았거나 단순히 스팸 폴더로 이동했음을 알았습니다.

발신 이메일이 스팸이 아닌지 확인하고 (일부 일반적인 메일 서비스에서 테스트 계정을 설정했을 수 있음) 발생하는 모든 것을 기록하고 새로운 재설정을 요청하려고 할 때 사용자에게보고하십시오 (예 : johndoee @ gmail로 메일 발송) .com 실패, 사용자를 찾을 수 없음, 철자가 정확합니까?) 또한 맞춤법 및 스팸 문제에 대해 사용자에게 명확하게 설명하십시오.

또한 다른 사람들이 말했듯이 OpenID 및 기타 타사 인증도 옵션입니다.

Facebook, OpenID, Google과 같은 타사 인증 방법을 사용한다고 말하고 싶습니다. 그러나 사용자가 비밀번호를 기억하지 못하면 타사 인증 시스템을 사용하지 못할 수 있습니다.

상황에 따라 SSL 클라이언트 인증서와 같은 다른 시스템을 사용할 수 있습니다 (최종 사용자에게는 확실히 설치하기는 어렵지만 회사이고 설치를 자동화 할 수있는 경우), Windows SSO, 모바일 앱 등

당신은 그것을해야합니까? 가장 먼저해야 할 일은 보호 대상과 보호 대상을 결정하는 것입니다. 아마도 모범 사례의 비용이 들지 않을 수도 있고 모범 사례가 공격자를 막지 못할 수도 있습니다.

NSA에 반대하는 사람들이 원하는 것을 원한다면 포기하고 사용자의 삶을 편하게 만드십시오. 신용 카드 번호가 있다면 필요한 보안 수준에 필요한 문제를 해결해야합니다. 나쁜 사람이 있기를 원하고 돈과 시간을 투자하기 때문입니다. 그것은 가족 사진 앨범에 대한 액세스 권한입니다. 모든 보안이 필요합니까?

보안을 이해하기에 좋은 출발점으로 Buce Scheiners 작품 (Secrets and Lies)을 읽어보십시오.

가장 먼저 눈에 띄는 것은 이메일이 정크 메일로 전송된다는 것입니다. 실제 이메일로 인식되도록 이메일을 설정하는 것은 쉬운 일이 아닙니다. 이메일이 잘못 표시되는 것을 방지하는 방법을 살펴 보시기 바랍니다 (SO에 대한 별도의 질문이 있습니까?)

두 번째로 추천하는 것은 사용자에게 암호 복구 이메일을 시작하는 원 클릭 웹 사이트 / 앱을 제공하는 것입니다. 이메일 이외의 다른 방법으로 거부하면 안전하지 않으며 선례가 잘못됩니다.

그들이 당신을 불러 내고 당신에게 그들의 비밀번호를 크게 말해 줄 것이라는 사실은이 사용자들에게, 비밀번호와 그것이 보호하는 정보가 그렇게 큰 것이 아니라는 것을 말해줍니다. 나는 은행 암호로 그런 일을 절대하지 않을 것입니다. 그러나 실제로 자격이없는 것들에 대한 암호를 요구하는 사이트가 많이 있습니다. 나는 그들 모두를 위해 사용하는 하나의 표준 비밀번호를 가지고 있으며, "강력한 비밀번호가 아닌 헤이"또는 "비밀번호를 만들고 정기적으로 변경하도록 강요 할 것입니다"등등 그 서비스. 나는 당신의 인생에서 "비즈니스 가치"사람들과 짧은 대화를하면서 실제로 db에 일반 텍스트를 유지하고 요청시 사람들에게 이메일로 보내는 것이 더 나은 방법인지 알 수 있습니다.

실제로 이것이 안전해야한다면, 내 고객 중 하나가 우리가 코딩 한 시스템으로 무엇을했는지 시도 할 수 있습니다. 상대방과 통화하는 동안 DB로 이동하여 이메일 주소를 귀하의 것으로 변경하십시오. 그런 다음 웹으로 이동하여 비밀번호 분실을 클릭하십시오. 이메일을 기다렸다가 로그인하십시오. 웹 사이트를 사용하여 비밀번호를 비밀번호 또는 고객과 구두로 동의하는 다른 비밀번호로 변경하십시오. 이메일 주소를 다시 자신의 주소로 변경하고 "모든 설정이 완료되었습니다. 이제 새 비밀번호가 활성화되었습니다!" 행복한 고객이며 모든 일이 무엇인지 설명 할 필요가 없습니다.

과거에 문맹이 많은 사용자가있는 시스템에서 사용한 마지막 방법은 전화 번호와 확인 번호가 제공된 화면으로 사용자를 안내하는 것이 었습니다. 그들은 전화 번호로 전화를 걸어 수동 수단을 통해 신원을 확인한 다음 확인을 읽었습니다. 지원 담당자가 별도의 시스템에 로그인하여 번호를 입력 한 후 클라이언트에게 다시 보낼 두 번째 번호를 얻었습니다. 클라이언트는 두 번째 코드를 사용하여 비밀번호 재설정 페이지로 계속 진행합니다. 지원 담당자의 서브넷에서 클라이언트 버전의 페이지를 실행할 수없고 클라이언트에서 지원 화면을 실행할 수 없습니다.

지원 담당자가 VPN을 사용하여 한 위치에서 양쪽 끝을 실행할 수 있기 때문에 방탄하지는 않지만 지원 계정이 활동에 대한 책임으로 기록되었으므로 감사하기에 충분했습니다.

INSANE가 아닌 보안 규칙을 구현하여 가능합니다. 이렇게하면 시스템 사용이 너무 어려워서 클라이언트가 사용자와 친구에게 암호를 해독하여 작동하게하기 때문에 보안 수준이 떨어집니다.

당신은 그들에게 NORMAL 링크를 보낸 다음 아래 암호를 보낼 수 없습니다. 이메일 클라이언트에 의해 링크가 끊어지면 "활성화 코드"... "이메일에 포함 된 활성화 코드 유형"... 5 자리로 양식을 표시하십시오. 숫자는 신용 카드에 적합하며 간단한 로그인을 위해 복잡한 정책이 필요하십니까? 코드가 작동하지 않으면 TRIMmed 문자열로 검사를 반복 하시겠습니까? 덜 안전하지 않을 것 같아요? :)

나에게도 자주 발생합니다 ... 암호를 두 번 클릭하면 끝 공간이 복사됩니다. 왜 점검이 실패했을 때 종료 흰색 문자를 제거하고 프로세스를 반복하여 peple이 알아낼 수 없습니까? 그런 다음 실수로 CL을 누르지 않았는지 확인하기 위해 TOGGLE 레터 케이스를 확인하십시오.

당신은 그것을 너무 심하게 복잡하게 만들었습니다. "비밀번호 재설정"및 "초기 비밀번호"는 아니지만 "확인 코드"및 "확인 번호를 입력하여 이메일로 보내드립니다", "이메일이 없으십니까? xxx@yyy.com으로 전송되었습니다. 확인하십시오." 스팸 메일이 아직 없으십니까? 확인 이메일을 다시 보내십시오 ". HTML 본문에서 링크입니다. http://xxx.com/conf-12345-mymail-gmail-com.html . 어떤 메일 클라이언트도이 문제를 해결하지 않습니다.