ایده‌های مهندسی خیلی خیلی کوچولو – سه

در این مجموعهایده‌های ساده و در عین حال ارزشمندی را که دیده‌ام معرفی می‌کنم. مصداق عملی اکثر این ایده‌ها را «با چشم‌های خودم» دیده‌ام ولی برای تمرکز بیشتر بر نفس ایده‌ها، از ذکر محل مشاهده‌ی آن‌ها و سایر جزییات خودداری کرده و به ذکر انتزاعی آن‌ها اکتفا می‌کنم.

می‌توان در سایت‌های اینترنتی که کاربران باید برای ورود به حساب کاربری شخصی «نام کاربری» (username) و «کلمه‌ی عبور» (password) خود را وارد کنند، به جای این‌که از کاربران خواست اطلاعات حساسی مانند کلمه‌ی کاربری‌شان را تایپ کنند از روش تصویری و هوشمندانه‌تری استفاده کرد.

در روش سنتی اطلاعات کاربران به صورت کامل توسط صفحه‌کلید تایپ می‌شود. چون کلمه‌ی عبور به صورت کامل وارد می‌شود در صورتی که سیستم نرم‌افزاری کاربر به روز نباشد ممکن است این اطلاعات به سرقت رود [از طریق سرقت کوکی‌ها و یا نرم‌افزارهای هولناک «ثبت‌-هرآن‌چه-تایپ-‌می‌شود» (KeyLogger)]. مثلا در بیشتر سایت‌های سرویس رایگان ای‌میل هنوز از این روش قدیمی و بالقوه خطرناک استفاده می‌شود:

traditional-login

اما در روش تصویری اطلاعاتی مانند کلمه‌ی عبور تایپ نمی‌شود. در ضمن فقط بخشی از کلمه‌ی عبور از کاربر پرسیده می‌شود و از او خواسته می‌شود که مثلا حرف شش‌ام، حرف یکی‌مانده به آخر و حرف آخر از کلمه‌ی عبورش را با موش (mouse) روی صفحه‌ی کلید تصویری انتخاب کند. دفعه‌ی بعدی ممکن است ترکیب دیگری از کلمه‌ی عبور کاربر خواسته شود:

modern-login

دقت کنید که کاربر اطلاعات مهم را تایپ نمی‌کند و فقط بخشی از آن را به سیستم می‌دهد. البته برای امنیت بالاتر این روش می‌تواند تعداد بیشتری از حروف کلمه‌ی عبور را سئوال کند یا این‌که با سیستم قبلی ترکیب شود، یعنی کماکان از کاربر خواسته می‌شود اطلاعات دیگری را وارد کند (مثلا پاسخ به یک سئوال امنیتی یا غیره).

نویسنده: bamdadi

eng

17 دیدگاه برای «ایده‌های مهندسی خیلی خیلی کوچولو – سه»

  2. بعضي از نرم‌افزارهاي جاسوسي از صفحه عكس مي‌گيرند و كليك‌هاي ماوس را هم مونيتور مي‌كنند!
    ولي به هر حال ايده قشنگي است و امنيت را تا حد زيادي بالا مي‌برد.

    لایک

    پاسخ

  6. خب یه مساله ای هست
    یه آدمی مثل من که پسش 15 حرفه اگه بخوام هر سری وقت بذارم ببینم حرف دهم چی بود نهم چی بود اصلا بی خیال سایت میشم:))

    لایک

    پاسخ

  8. در جواب اقا عرفان عرض کنم که نرم افزار هایی که از صفحه SnapShot میگیرند خیلی خیلی تند تند عکس بگیرن 10 ثانیه یه باره !
    تو این مدت حداقل 2-3 تا حرف رو زدید !
    ضمن اینکه ممکنه وقتی عکس میگیره شما دارید از روی یه حرفی با ماوس رد میشید ولی قصد کلیک روی اون حرف رو ندارید.
    از این روش کامل تر اینه که یه ماکرو از حرکت ماوس رو save کنن. که برای مقابله با این هم معمولا معمولا صفحه کلیدی که برای شما میاد به هم ریخته میاد ! بنابر این اگر بعدا همون جایی کلیک کنن که شما کلیک کردی اینبار روی یه حرف دیگه کلیک میشه !! بنا بر این فعلا این ایده امنیت بالایی داره

    مهدی

    لایک

    پاسخ

  9. مطمئنا پس از مدتی کار این سیستم هم راههای نفوذ ان پیدا میشود شما دقت داشته اشید که با روش تصویری اگر یک Key Logger تنظیم شود که برای یک مدت روی سیستم فعالیت کند و اطلاعات آنرا به سرقت ببرد با این روش کم کم تمامی کلمه های رمز عبور کشف میشود
    ولی در کل ممنون خیلی جالب بود و لا اقل امنیت این مورد از موارد قبلی بسیار بیشتر بود
    موفق باشید

    لایک

    پاسخ

  13. albate bishtar rooye sokhanam ba doostan ahle IT bood ke pasokh dade boodam va bug haye in ravesh ro goshzad karde boodan, mikhastam bedoonan ke belakhare in yeki az raveshhae morede ghabool bankhaye bozorg donyast , vali tardidi nist ke dar donyae IT security 100% vojod nadare, …….

    لایک

    پاسخ

  15. اصلا ایده جالبی نبود ! چون :
    1- از لحاظ تکنیکی این امر امکان ندارد ، چون روی اغلب سرویسها ، رمز عبور شما به صورت hash شده ثبت میشن و امکان دسترسی کاراکتر به کاراکتر آنها وجود ندارد . برای اطلاعات بیشتر اینجا را نگاه کنید : http://en.wikipedia.org/wiki/Cryptographic_hash_function

    2- اگر سرویسی هم وجود داشت که همچین قابلیتی داشته باشه ، مسلما استفاده از آن بسیار سخت و رنج آور بود !! مثلا خود شما الان فکر کن حرف سوم و حرف هفتم و حرف وسط پسوردت چیه ! ؟
    ——————————————————————————-
    بامدادی: در صورتی که نرم‌افزار کی‌لاگر روی دستگاهی که باهاش کار می‌کنید نصب شده باشه کلمه‌ی عبور شما قبل از این‌که در کامپیوتر ذخیره بشه توی کی‌لاگر ذخیره می‌شه. این خیلی خطرناکه. دوم این‌که اگر کسی کنار دست شما یا دورتر نشسته باشه و نگاه بکنه، با اگر نرم‌افزار کلمه‌ی عبور رو انکریپت نکنه چون کل کلمه‌ی عبور تایپ می‌شه خطر دزدیده شدنش بیشتره.
    این روش که من آوردم امروزه در تقریبا همه‌ی سایت‌های خیلی مهم، مثل بانک‌ها یا حساب‌های شخصی مهم مورد استفاده قرار می‌گیره.

    لایک

    پاسخ

  17. ممنون از پست جالبتون.
    چون من دارم روي چنين سيستم هاي احراز اصالت كار مي كنم(GPS( ممنون ميشم سايتي رو بهم معرفي كنيد كه از اين روش استفاده مي كنه.

    لایک

    پاسخ

من همه‌ی کامنت‌های وارده را می‌خوانم. اما ‌لطفا توجه داشته باشید که بنا به برخی ملاحظات شخصی از انتشار و پاسخ دادن به کامنت‌‌هایی که (۱) ادبیات تند، گستاخانه یا بی‌ادبانه داشته باشند، یا (۲) در ارتباط مستقیم با موضوع پستی که ذیل آن نوشته شده‌اند نباشند و یا (۳) به وضوح با نشانی ای‌میل جعلی نوشته شده باشند معذور هستم. در صورتی که مطلبی دارید که دوست دارید با من در میان بگذارید، از صفحه‌ی تماس استفاده کنید. با تشکر از توجه شما به بامدادی.