Как сбросить пароль на игрушечном банкомате

Обновлено: 18.04.2024

pro_bel » 28 ноя 2011, 23:20

f119b » 28 ноя 2011, 23:24

В Биосе должен быть пункт типа "пароль на ОС" или "пароль на супервизор"
Дословно не помню, да и в конкретных биосах звучит пункты не много разные , но суть одна.
Пароль можно поставить на все ( и на загрузку ОС) , либо только на меню супервизора в биосе.

Добавлено спустя 1 минуту 50 секунд:
Убрать пароль - легко - заново назначить "пустой" - тупо на предложение "ввести новый пароль" нажать "ентер"

pro_bel » 28 ноя 2011, 23:31

f119b » 28 ноя 2011, 23:40

Set Supervisor Password

Впрочем, работа с паролями может быть организована несколько иначе. Если установлен только пароль администратора, то он запрашивается лишь при вызове BIOS Setup, а загрузка компьютера происходит стандартным образом. Если же установлены оба пароля (пользователя и администратора), то парольная защита действует как на вызов BIOS Setup, так и на загрузку компьютера. Отдельного уточнения по области действия паролей в этом случае не нужно. В остальном, отличий никаких — пароль пользователя позволяет только просматривать значения в BIOS Setup (менять разрешается только самые «безобидные» опции), пароль администратора дает полный доступ к BIOS Setup, при загрузке может быть использован любой из этих паролей.

Название опции:
Security Option
Возможные значения:
Setup, System

pro_bel » 29 ноя 2011, 00:29

BIOS в банкомате не так прост как на обычных PC.
как сбросить пароль уже разобрался, завтра опишу подробно.
а вот как убрать запрос пароля при загрузке? вопрос для меня пока открыт.

KDM » 29 ноя 2011, 02:44

Я тоже как-то поставил пароль на биос банкомата Opteva 520 и избавиться от него не получается, честно сказать сильно не старался, но полазив в меню биоса не нашёл, как его сбросить - поменять даёт, а пустой ввести не позволяет. При этом при каждой загрузке он просит его ввести, но если ничего не вводить, то через некоторое время всё равно начинает грузиться ОС.

А разве банкомат не продолжает загрузку? Как в Opteva 5x0/7x0, BIOS предлагает ввести пароль и если ничего не делать через некоторое время (минута) система продолжает загружаться.

В том случае если вы или ребенок забыли код, а накопленными средствами нужно воспользоваться, сейф можно «взломать». Для этого нужно вытащить батарейки и потом заново их вставить. После этого действия установленный вами код поменяется на первоначальный, заводской.

Как открыть детский сейф копилка?

Для того чтобы открыть сейф наберите код 0000 - загорится зелѐный индикатор, поверните кран по часовой стрелке и откройте дверцу при этом прозвучит звук, имитирующий скрип двери. С внутренней стороны дверцы есть переключатель Голос - Музыка. Используйте переключатель для выбора желаемого режима.

Как открыть детскую копилку сейф если забыл код?

Если вы забыли пароль: выньте батарейки и подождите минут 10-15, затем введите новый пароль. Если купюры плохо затягивает, электронный замок не отщёлкивается - замените батарейки!

Что делать если не открывается сейф?

  1. Не торопитесь и не применяйти больших усилий. .
  2. Проверьте,не перепутан ли ключ.
  3. Убедитесь,что замок закрыт,особенно если он не один. .
  4. Внимательно осмотрите ключ и скважину. .
  5. Убедитесь,что ключ вставлен до конца. .
  6. Плавно поворачивайте ключ вправо-влево,при этом прижимая его "от себя-на себя".

Как открыть копилку Хелло Китти?

Для этого необходимо ввести четыре нуля, повернуть ручку вправо и после открыть дверцу. Затем, удерживая пальцем символ «звездочка», надо ввести свой секретный пароль и после нажать символ «решетка». Теперь смело закрывайте дверцу сейфа, новый пароль готов!

Как открыть сейф Aiko если забыл пароль?

  1. нажать звездочку «*»;
  2. нажать клавишу «Enter»;
  3. выбрать необходимый режим (зависит от того, какой код нужно сменить);
  4. нажать клавишу «Enter»;
  5. набрать текущую комбинацию и нажать «Enter»;

Как открыть сейф с Крутилкой?

  1. производить вращение ручки лимба только против часовой стрелки при наборе первой цифры;
  2. при наборе второй цифры вращение производится по часовой стрелке;
  3. набор третьей цифры производится посредством вращения ручки против часовой стрелки.

Как открыть копилку банкомат?

СУПЕР-КОПИЛКА-БАНКОМАТ работает от 3 батареек типа АА. Открутите удерживающие шурупы с помощью отвертки, затем откройте крышку отсека для батареек. Вставьте новые батарейки. Проверьте полярность установленных батареек.

Posted on Oct 27, 2009

only your bank & you should never put it online like this.

Posted on Jul 20, 2009

Anonymous

after you hit the reset button hit 1234 enter that should be right..

Posted on Jan 18, 2011

Anonymous

WE have the same problem. Same bank. I finally recognized the flower on the front from the now out-of-business Limited Too. But I can't find our manual and can't reset the p/w. Help?

Posted on Jan 29, 2011

Add Your Answer

Tips for a great answer:

  • - Answer the question.
  • - If you need clarification, ask it in the comment box above.
  • - Better answers use proper spelling and grammar.
  • - Provide details, support with references or personal experience.

Tell us some more! Your answer needs to include more details to help people. You can't post answers that contain an email address. Please enter a valid email address. The email address entered is already associated to an account.Login to post Please use English characters only.

Upload an image from your computer

Draw a box over the problem!!

Edit Close Save changes

Attachments: Added items

Uploading: 0%

my-video-file.mp4

Complete. Click "Add" to insert your video. Add

Related Questions:

Can a PIN number be reset at any ATM machine?

No, it is not possible. Since the records is with your bank - the other bank ATM will not accept this option. Therefore, you cannot use other bank ATM to change the pin. Even when you receive the debit card first time, you have to activate your card in the ATM of your bank only initially and not with another bank ATM

I use my PNC Bank ATM card at a Fifth Third Bank

How to reset pin number for room gear atm safe

Start over with money

Here is a link to the PDF Instruction Manual. I have also copied the instructions for resting the amount to zero:

To Reset Account To Zero:
Turn on the ATM Safe by inserting your ATM card into the slot and entering your PIN code.
• Press and hold the 1, 2, and 3 keys (Fig 8).
• The display will read, "Reset to zero?"
• Release the 1, 2, and 3 keys and then press the "e" key.
If the electronic functions of ATM Safe stops working, open the battery door
(see instructions "To Install Batteries") and locate the RESET button above the batteries.
Press once to reset. Note: Account balance will not reset to zero.

Toy ATM Bank . Need a replacement ATM card. Made for/distributed by MerchSource,LLC. Blue Hat Toy Co . Foothill Ranch, CA. Can't gain access to the toy bank with money inside without the toy ATM card that.

There are several toy ATMs on the market, none of them identifiable by manufacturer online. :(
BUT, you MAY have an option, as some toy ATMs allow for you to access them if you lose the card by using ANY credit card, and then your toy's PIN.
Sadly, these are not meant as anything more than a toy, so replacement parts are not available. They are a non-renewable item, and if they break, or lose parts, they become refuse. Such is the life of mass produced toys from china.
I hope the credit card thing works for you. Otherwise, you will have to break the toy to extract your funds.
~M

Невзирая на то, что BIOS является мощным средством защиты, существуют способы обхода установленного в ней пароля.
Иногда любопытные или стремящиеся максимально защитить свои данные пользователи ставят пароли на всём, на чём только можно, но нередко эти пароли ими забываются. Тяжело переносится забытие пароля на BIOS (пароль на загрузку системы), зачастую это может привести к покупке новой материнской платы, однако этого можно избежать воспользовавшись слабостями архитектуры построения ЭВМ и преднамеренно оставленными разработчиками «чёрными ходами».

Полагаю, что всем (или почти всем) обитателям Хабрахабра известно, что пароль BIOS (так же, как и иные основные настройки системы) хранится в памяти CMOS (Complimentary Matal-Oxide-Semiconductor — Комплиментарный Металло-Оксидный Полупроводник), которая требует постоянной подпитки батарейкой, установленной на материнской плате.

Отсюда и следует один из способов обхода пароля, точнее его сброса вместе со всеми настройками, хранящимися в BIOS:

Способ 1 — Метод Чубайса

так как CMOS требует постоянной подпитки для сохранения данных, то из этого следует, что убрав такую подпитку (батарейку) на некоторое время (примерно 24 часа) мы добьёмся очистки BIOS. После необходимо снова вставить батарейку на нужное место и при запуске ЭВМ указать снова задать нужные параметры вроде времени, нового пароля (если уж он так сильно необходим) и прочие нужные вам настройки.

Способ эффективный, но долгий, а время, как известно, очень ценный ресурс и пользователь, как и IT специалист не всегда обладает им. Эти особенности делают этот способ не очень практичным и скорее крайним средством, чем реальной практикой. К тому же батарейку на некоторых моделях материнских плат бывает крайне сложно извлечь без использования дополнительных инструментов, поэтому есть смысл прибегнуть к способу, который описывается в инструкциях к материнским платам:

Способ 2 — Аварийная кнопка

на большей части материнских плат существуют специальные разъёмы для очистки памяти CMOS, которые обычно они расположены в непосредственной близости от батарейки (узнать местоположение такого разъёма можно из схемы материнской платы, приведённой в инструкции к ней или на сайте компании-изготовителя). Для очистки памяти CMOS необходимо замкнуть эти разъёмы, после чего включить ПК и заново выставить настройки BIOS.

Способ 3 — Инженерный пароль

Заключается во вводе вместо забытого пароля BIOS инженерного пароля для данной системной платы:

AWARD
_award Condo
01322222 d8on
589589 HLT
589721 J262
595595 J332
ALFAROME J64
Ally Lkwpeter
ALLY LKWPETER
aLLy Pint
aPAf PINT
AWARD PW SER
AWARD SW SKY_FOX
AWARD_SW SYXZ
Awkward BIOSTAR TTPTHA
CONCAT ZJAAADC

AMI
A.M.I. CONDO
AAAMMMIII HEWINTT RAND
AMI LKWPETER
AMI?SW PASSWORD
AMI_SW SER
BIOS

Однако стоить помнить, что данные пароли работают только на BIOS версии 4,55G и ниже (класс системных плат до i845P чипсета).

Способ 4 — Вспомним старину

Ещё один из методов сброса пароля заключается в использовании среды DOS. Для этого необходимо загрузиться в среду DOS (чистую DOS, а не эмулированную из-под Windows) и ввести такие команды:

* AWARD и AMI BIOS:
DEBUG
-O 70 17
-O 71 17
Q

* Phoenix BIOS:
DEBUG
-O 70 FF
-O 71 FF
Q

Помимо данного метода существуют программы определения или сброса пароля BIOS из среды ОС. Например: amikrack.exe и awardcrack.exe и прочие, но для их использования необходимо иметь доступ к ОС, что проблематично, если стоит пароль на дальнейшую загрузку после тестирования железа ПК.

Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс со всеми подробностями безопасной реализации функции сброса. Однако проблема в том, что такого ресурса не существует, по крайней мере, такого, в котором описывается всё, что мне кажется важным. Поэтому я решил написать его сам.

Видите ли, мир забытых паролей на самом деле довольно загадочен. Существует множество различных, совершенно приемлемых точек зрения и куча довольно опасных. Есть вероятность, что с каждой из них вы много раз сталкивались как конечный пользователь; поэтому я попытаюсь воспользоваться этими примерами, чтобы показать, кто делает всё правильно, а кто нет, и на чём нужно сосредоточиться для правильной реализации функции в своём приложении.




Хранение паролей: хэширование, шифрование и (ох!) простой текст

Мы не можем обсуждать, что делать с забытыми паролями, прежде чем не обсудим способ их хранения. В базе данных пароли хранятся в одном из трёх основных видов:

  1. Простой текст. Есть столбец с паролем, который хранится в обычном текстовом виде.
  2. Зашифрованный. Обычно с помощью симметричного шифрования (один ключ используется и для шифрования и для дешифровки), а зашифрованные пароли тоже хранятся в одном столбце.
  3. Хэшированный. Односторонний процесс (пароль можно хэшировать, но нельзя дехэшировать); пароль, хотелось бы надеяться, сопровождается солью, и каждый из них находится в собственном столбце.

Шифрование лучше, но имеет свои слабые стороны. Проблема шифрования — в дешифровке; можно взять эти безумно выглядящие шифры и преобразовать их обратно в простой текст, а когда это произойдёт, мы вернёмся к ситуации с читаемыми паролями. Как это происходит? Небольшой изъян проникает в код, занимающийся дешифровкой пароля, делая его публично доступным — это один из способов. Доступ к машине, на которой хранятся зашифрованные данные, получают взломщики — это второй способ. Ещё один способ опять-таки заключается в том, что похищают резервную копию базы данных, и кто-то также получает ключ шифрования, которые часто хранятся очень ненадёжно.

И это приводит нас к хэшированию. Идея хэширования заключается в том, что оно выполняется в одну сторону; единственный способ сравнения введённого пользователем пароля с его хэшированной версией — хэширование введённого и их сравнение. Чтобы предотвратить атаки при помощи инструментов наподобие «радужных таблиц», мы при помощи соли добавляем в процесс случайность (для полноты картины прочитайте мой пост о криптографическом хранении). В конечном итоге, при правильной реализации мы можем с большой долей уверенности считать, что хэшированные пароли больше никогда не станут простым текстом (о преимуществах различных алгоритмов хэширования я расскажу в другом посте).

Краткий аргумент о хэшировании и шифровании: единственная причина, по которой вам когда-нибудь потребуется зашифровать, а не хэшировать пароль — это когда вам нужно увидеть пароль в простом тексте, а вам этого никогда не должно хотеться, по крайней мере, в ситуации со стандартным веб-сайтом. Если вам это нужно, то, скорее всего, вы делаете что-то не так!

Чуть ниже в тексте поста есть часть скриншота порнографического веб-сайта AlotPorn. Он аккуратно обрезан, и так нет ничего такого, чего нельзя увидеть на пляже, но если это всё равно может вызвать какие-то проблемы, то не прокручивайте страницу вниз.

Всегда сбрасывайте пароль, никогда его не напоминайте

Вас когда-нибудь просили создать функцию напоминания пароля? Сделайте шаг назад и подумайте об этой просьбе в обратную сторону: зачем нужно это «напоминание»? Потому что пользователь забыл пароль. Что мы на самом деле хотим сделать? Помочь ему снова войти в систему.

Я понимаю, слово «напоминание» используется (часто) в разговорном смысле, но на самом деле мы пытаемся безопасно помочь пользователю снова быть онлайн. Так как нам нужна безопасность, есть две причины, по которым напоминание (т.е. отправка пользователю его пароля) не подходит:



Выглядит ненамного лучше, к сожалению; и электронная почта подтверждает наличие проблемы:


  1. Сайт не хэширует пароли. В лучшем случае, они шифруются, но, вполне вероятно, что они хранятся в текстовом виде; свидетельств обратного мы не видим.
  2. Сайт отправляет долговременный пароль (мы можем возвращаться и использовать его снова и снова) по незащищённому каналу.

Перечисление имён пользователей и его влияние на анонимность

Эту проблему лучше проиллюстрировать визуально. Проблема:


Разумеется, порно — довольно канонический пример важности конфиденциальности, однако опасность сопоставления личности с определённым веб-сайтом намного обширнее, чем описанная выше потенциально неловкая ситуация. Одна из опасностей — социальный инжиниринг; если нападающий сможет сопоставить человека с сервисом, то у него появится информация, которую он способен начать использовать. Например, он может связаться с человеком, выдавая себя за представителя веб-сайта, и запросить дополнительную информацию, пытаясь совершить точечный фишинг (spearphishing).

Какова же альтернатива? На самом деле, она довольно проста, и замечательно реализована на Entropay:


Здесь Entropay совершенно ничего не раскрывает о существовании в своей системе адреса электронной почты тому, кто не владеет этим адресом. Если вы владеете этим адресом и он не существует в системе, то вы получите подобное электронное письмо:


Разумеется, возможны приемлемые ситуации, в которых кто-то думает, что зарегистрировался на веб-сайте. но это не так, или сделал это с другого адреса почты. Показанный выше пример удачно справляется с обеими ситуациями. Очевидно, если адрес совпал, то вы получите письмо, упрощающее сброс пароля.

Тонкость выбранного Entropay решения в том, что проверка идентификации выполняется по электронной почте до любой онлайн-проверки. Некоторые сайты спрашивают у пользователей ответ на секретный вопрос (подробнее об этом ниже) до того, как сможет начаться сброс; однако, проблема этого в том, что нужно ответить на вопрос, предоставив при этом какой-либо вид идентификации (почту или имя пользователя), из-за чего затем почти невозможно ответить интуитивно понятно, не раскрывая существования учётной записи анонимного пользователя.

При таком подходе есть небольшое снижение юзабилити, потому что в случае попытки сброса несуществующего аккаунта нет мгновенной обратной связи. Разумеется, в этом и есть весь смысл отправки электронного письма, но с точки зрения настоящего конечного пользователя, если он введёт неправильный адрес, то впервые узнает об этом только при получении письма. Подобное может вызвать определённую напряжённость с его стороны, но это небольшая плата за столь редкий процесс.

Отправка пароля сброса против отправки URL сброса

Следующая концепция, которую нам нужно обсудить, связана со способом сброса пароля. Существует два популярных решения:

  1. Генерация нового пароля на сервере и его отправка по электронной почте
  2. Отправка электронного письма с уникальным URL, упрощающим процесс сброса

Но кроме этого у первого пункта существует ещё одна серьёзная проблема — он максимально упрощает блокировку учётной записи со злым умыслом. Если я знаю адрес почты того, кто владеет учётной записью на веб-сайте, то я могу заблокировать его в любой момент времени, просто сбросив его пароль; это атака типа «отказ в обслуживании», выложенная на блюдечке с голубой каёмочкой! Именно поэтому сброс должен выполняться только после успешной проверки у запрашивающего права на него.

Когда мы говорим об URL сброса, то подразумеваем адрес веб-сайта, который является уникальным для этого конкретного случая процесса сброса. Разумеется, он должен быть случайным, его не должно быть легко разгадать и он не должен содержать никаких внешних ссылок на учётную запись, упрощающих сброс. Например, URL сброса не должен быть просто путём наподобие «Reset/?username=JohnSmith».

Также для URL сброса нужно добавить лимит времени токена, чтобы процесс сброса можно было выполнить в течение определённого интервала, допустим, в пределах часа. Это гарантирует, что окно времени сброса будет минимальным, чтобы получивший этот URL сброса мог действовать только в рамках этого очень маленького окна. Разумеется, нападающий может снова начать процесс сброса, но ему понадобится получить ещё один уникальный URL сброса.

Наконец, нам нужно обеспечить одноразовость этого процесса. После завершения процесса сброса токен необходимо удалить, чтобы URL сброса больше не был работающим. Предыдущий пункт нужен для того, чтобы у нападающего было очень малое окно, в течение которого он может манипулировать URL сброса. Плюс, разумеется, после успешного завершения сброса токен больше не нужен.

Некоторые из этих шагов могут показаться чересчур избыточными, но они совершенно не мешают юзабилити и на самом деле повышают безопасность, хотя и в ситуациях, которые, мы надеемся, будут редкими. В 99% случаев пользователь будет задействовать сброс в течение очень короткого промежутка времени и не будет сбрасывать пароль снова в ближайшем будущем.

Роль CAPTCHA

О, CAPTCHA, средство защиты, которое все мы так любим ненавидеть! На самом деле, CAPTCHA средство не столько защиты, сколько идентификации — человек вы или робот (или автоматизированный скрипт). Её смысл в том, чтобы избежать автоматическую отправку форм, которая, разумеется, может применяться как попытка взлома защиты. В контексте сброса паролей CAPTCHA означает, что функцию сброса невозможно будет взломать грубым перебором, чтобы или потом спамить пользователю, или попытаться определить существование учётных записей (что, разумеется, будет невозможно, если вы следовали советам из раздела о проверке идентификации).

Разумеется, сама по себе CAPTCHA неидеальна; существует множество прецедентов её программного «взлома» и достижения достаточных показателей успеха (60-70%). Кроме того, существует решение, показанное в моём посте о взломе CAPTCHA автоматизированными людьми, при котором можно платить людям доли цента для решения каждой CAPTCHA и получения показателя успеха в 94%. То есть она уязвима, однако (слегка) повышает входной барьер.

Давайте взглянем на пример PayPal:


В данном случае процесс сброса просто не может начаться до решения CAPTCHA, поэтому теоретически автоматизировать процесс невозможно. Теоретически.

Однако для большинства веб-приложений это будет перебором и совершенно точно представляет собой снижение юзабилити — люди просто не любят CAPTCHA! Кроме того, CAPTCHA — это такая вещь, к которой при необходимости можно будет легко вернуться. Если сервис начинает подвергаться нападению (здесь пригождается логгинг, но подробнее об этом позже), то добавить CAPTCHA легче некуда.

Секретные вопросы и ответы

При всех рассмотренных нами способах мы имели возможность сбросить пароль, всего лишь имея доступ к учётной записи электронной почты. Я говорю «всего лишь», но, разумеется, незаконное получение доступа к чужой учётной записи почты должно быть сложным процессом. Однако это не всегда так.

На самом деле, представленная выше ссылка о взломе учётной записи Сары Пэйлин на Yahoo! служит двум целям; во-первых, она иллюстрирует, насколько легко можно взламывать (некоторые) почтовые аккаунты, во-вторых, она показывает, как можно со злым умыслом использовать плохие секретные вопросы. Но мы вернёмся к этому позже.

Проблема со сбросом паролей со стопроцентной зависимостью от электронной почты заключается в том, что целостность учётной записи сайта, пароль которого вы пытаетесь сбросить, становится стопроцентно зависимым от целостности учётной записи электронной почты. Любой, кто имеет доступ к вашей электронной почте, имеет доступ к любому аккаунту, который можно сбросить простым получением электронного письма. Для таких аккаунтов электронная почта является «ключом от всех дверей» вашей жизни онлайн.

Один из способов снижения этого риска — реализация паттерна секретного вопроса и ответа. Без сомнений, вы уже видели их: выбираете вопрос, на который только вы должны знать ответ, после чего при сбросе пароля вам его задают. Это добавляет уверенности в том, что человек, пытающийся выполнить сброс и в самом деле является владельцем аккаунта.

Вернёмся к Саре Пэйлин: ошибка была в том, что ответы на её секретный вопрос/вопросы легко можно было найти. В частности, когда ты такая значимая общественная фигура, информация о девичьей фамилии матери, истории обучения или о том, где кто-то мог жить в прошлом, не такая уж и секретная. На самом деле, большая её часть может быть найдена практически любым. Так и произошло с Сарой:

Хакер Дэвид Кернелл получил доступ к учётной записи Пэйлин, найдя подробности её биографии, такие как её вуз и дату рождения, а затем использовав функцию восстановления забытых паролей к учётным записям Yahoo!.

В первую очередь это ошибка проектирования со стороны Yahoo! — указав такие простые вопросы, компания по сути саботировала ценность секретного вопроса, а значит, и защиту своей системы. Разумеется, сброс паролей к учётной записи электронной почты всегда сложнее, ведь вы не можете подтвердить её владение, отправив владельцу электронное письмо (не имея второго адреса), но, к счастью, сегодня для создания такой системы не так уж много способов применения.

Вернёмся к секретным вопросам — существует вариант предоставить пользователю возможность создания собственных вопросов. Проблема в том, что в результате будут получаться ужасно очевидные вопросы:

Какого цвета небо?

Вопросы, ставящие людей в неудобное положение, когда для идентификации секретный вопрос использует человек (например, в колл-центре):

С кем я переспал на Рождество?

Или откровенно глупые вопросы:

Как пишется «пароль»?

Когда дело касается секретных вопросов, пользователей нужно спасти от самих себя! Другими словами, секретный вопрос должен определять сам сайт, а ещё лучше, задавать серию секретных вопросов, из которых может выбирать пользователь. И не просто выбирать один; в идеале пользователь должен выбрать два или более секретных вопросов в момент регистрации аккаунта, которые затем будут использоваться как второй канал идентификации. Наличие нескольких вопросов повышает степень уверенности в процессе проверки, а также даёт возможность добавления случайности (не всегда показывать одинаковый вопрос), плюс обеспечивает немного избыточности на случай, если настоящий пользователь забыл пароль.

Каким же должен быть хороший секретный вопрос? На это влияет несколько факторов:

Позвольте мне продемонстрировать, как секретные вопросы реализованы в PayPal и, в частности, какие усилия сайт прикладывает для идентификации. Выше мы видели страницу начала процесса (с CAPTCHA), а здесь мы покажем, что происходит после того, как вы вводите адрес почты и решаете CAPTCHA:


В результате пользователь получает такое письмо:


Пока всё вполне обычно, но вот что скрывается за этим URL сброса:

Итак, в дело вступают секретные вопросы. На самом деле, PayPal также позволяет сбросить пароль, подтвердив номер кредитной карты, поэтому существует дополнительный канал, к которому не имеют доступа множество сайтов. Я просто не могу изменить пароль, не ответив на оба секретных вопроса (или не зная номер карты). Даже если кто-то захватит мою электронную почту, он не сможет сбросить пароль учётной записи PayPal, если не знает обо мне чуть больше личной информации. Какой информации? Вот варианты секретных вопросов, предлагаемые PayPal:



Удобство системы секретных вопросов в том, что если вы не реализовали её сразу, то её можно добавить позже, если этого требует уровень защиты ресурса. Хорошим примером этого служит Apple, только недавно реализовавшая этот механизм [статья написана в 2012 году]. Начав однажды обновлять приложение на iPad, я увидел следующий запрос:



Что касается PayPal, то вопросы выбраны заранее и некоторые из них на самом деле довольно неплохи:


Ещё одним аспектом, который нужно рассмотреть относительно ответа на секретный вопрос, является хранение. Нахождение в ДБ простого текста представляет почти те же угрозы, что и в случае пароля, а именно — раскрытие базы данных мгновенно раскрывает значение и подвергает риску не только приложение, но и потенциально совершенно другие приложения, использующие те же секретные вопросы (это снова вопрос ягод асаи). Одним из вариантов является безопасное хэширование (стойкий алгоритм и криптографически случайная соль), однако в отличие от большинства случаев хранения паролей, здесь может быть уважительная причина видимости ответа как простого текста. Типичным сценарием является проверка личности живым оператором по телефону. Разумеется, в этом случае хэширование тоже применимо (оператор может просто ввести названный клиентом ответ), но в самом худшем случае секретный ответ должен находиться на каком-нибудь уровне криптографического хранилища, даже если это просто симметричное шифрование. Подведём итог: обращайтесь с секретами как с секретами!

На правах рекламы

VDSina предлагает надёжные серверы с посуточной оплатой, каждый сервер подключён к интернет-каналу в 500 Мегабит и бесплатно защищён от DDoS-атак!

Читайте также: