что делать если рэп какой то причине ваш пароль сбросился
Как разблокировать телефон, если забыл пароль: 6 способов
Предлагаем вам шесть способов разблокировать смартфон, если вы забыли пароль или графический ключ. Не паникуйте, все поправимо.
В жизни бывает всякое, и ситуации, когда пользователь забывает пароль от своего смартфона, встречаются не так уж и редко. Не переживайте, эта ситуация кажется страшной лишь на первый взгляд, и производители смартфонов предусмотрели немало способов вам помочь. Давайте разбираться, как разблокировать телефон, не зная пароля.
Сразу отметим, что вопрос о том, как разблокировать телефон с отпечатком пальца, просто не стоит. Отпечаток пальца вы никак не сможете забыть, а если сам палец оказался поврежден, то разблокировать такой девайс можно просто, введя нужный пароль.
Воспользуйтесь возможностями аккаунта Google
Если вы забыли пароль от старого смартфона, работающего под управлением Android 5.0 или еще более ранней версии операционной системы, то вы можете снять блокировку экрана, воспользовавшись аккаунтом Google. Все, что для этого нужно — подключение к интернету.
Введите любой пароль или графический ключ пять раз. После этого на экране смартфона появится надпись «Забыли пароль?». Нажмите на нее и в появившемся окне введите логин и пароль от учетной записи Google, к которой привязан гаджет.
После успешного входа, экран смартфона разблокируется сам собой. Если же вы забыли и пароль от аккаунта Google, то вы можете восстановить его с помощью сервисов самого американского гиганта.
Воспользуйтесь функцией Smart Lock
Если первый способ подойдет только владельцам старых гаджетов, то функция Smart Lock наоборот рассчитана на свежие смартфоны, выпущенные после 2015 года. Начиная с Android 5.0, в смартфонах, работающих под управлением операционной системы Google, появилась возможность разблокировать их при соблюдении определенных условий.
К примеру, вы можете настроить автоматическое разблокирование девайса, когда к нему подключается доверенное устройство. Например, ваши смарт-часы или фитнес-браслет. Это же касается нахождения смартфона в определенной местности или его контакта с вами.
Главное достоинство функции в том, что она не требует от вас никакого вмешательства: смартфон будет автоматически разблокирован при соблюдении одного из вышеназванных условий. Ну а ее главный минус — настройку нужно производить заранее. Вы не сможете запустить Smart Lock, если ваш смартфон уже заблокирован, и вы забыли пароль. Если же вам повезло, и функция уже активна, просто выполните заданные вами же условия, и смартфон автоматически разблокируется.
Воспользуйтесь сервисами производителя
Как мы и писали в самом начале, многие производители предусмотрели собственные сервисы разблокировки смартфона. К примеру, у корейской Samsung есть сервис Find My Mobile. С его помощью можно отследить местоположение смартфона, удалить из него все данные, удаленно заблокировать гаджет или наоборот разблокировать его.
Для этого просто перейдите на сайт сервиса с компьютера или ноутбука, войдите в свой аккаунт Samsung, выберите свой смартфон и нажмите кнопку «Разблокировать». Вся процедура предельно проста и наглядна.
Воспользуйтесь сторонними программами
Как разблокировать телефон, если забыл графический пароль или обычный PIN-код, если остальные способы не помогают? Для этого вы можете воспользоваться сторонними программами. К примеру, бесплатная программа Tenorshare 4uKey без проблем поможет восстановить доступ к смартфону и даже удалить учетную запись Google на нем.
Установите программу на компьютер, после чего подключите к нему многострадальный смартфон. Tenorshare 4uKey сама предложит избавиться от блокировки. Правда, перед использованием этого приложения учтите — все данные, хранящиеся в памяти смартфона, будут утеряны.
Сбросьте смартфон до заводских настроек
Вам не слишком важны хранящиеся в смартфоне данные, но и пользоваться сторонними приложениями для восстановления доступа по какой-то причине очень не хочется? как можно разблокировать телефон, если забыл пароль, в этом случае? В любом Android-смартфоне есть функция сброса до заводских настроек с удалением всей хранящейся там информации. Причем воспользоваться ей можно, минуя интерфейс самой оболочки.
В зависимости от модели смартфона способ входа в инженерное меню может быть разным. Выключите смартфон, достаньте из него карту памяти при наличии таковой и попробуйте по очереди нажать и удерживать в течение 10-15 минут указанные ниже комбинации клавиш:
Одна из них должна запустить инженерное меню. С помощью кнопок увеличения и уменьшения громкости выберите в нем пункт Recovery, а затем — команду Wipe data/factory reset. Подтвердите сброс смартфона до заводских настроек.
В течение нескольких минут все настройки смартфона будут сброшены до исходного состояния, а вся пользовательская информация окажется удалена из его памяти. Если же у вас была настроена синхронизация данных с облаком Google, то при входе в свой аккаунт вы сможете восстановить, как минимум, часть утерянной информации.
Как разблокировать iPhone
Все вышеописанные способы касаются Android-смартфонов. Но что делать, если у вас iPhone? В этом случае в вашем арсенале есть только один способ — сброс смартфона до заводских настроек. Правда, если у вас есть их резервная копия в учетной записи iCloud, то никаких проблем с восстановлением данных не возникнет.
Для этой процедуры вам понадобится компьютер под Windows или macOS с установленной программой iTunes или Finder соответственно. В случае если у вас свежая модель iPhone, начиная с iPhone 8 и iPhone SE 2, выключите смартфон, после чего зажмите боковую кнопку, подключите его к компьютеру USB‑кабелем и не отпускайте кнопку до появления экрана восстановления.
Если у вас iPhone 7 и iPhone 7 Plus, используйте ту же процедуру, но вместо боковой кнопки зажимайте клавишу уменьшения громкости, а если у вас iPhone SE первого поколения, iPhone 6s или еще более старое устройство используйте кнопку домой.
После появления на ПК окна восстановления, нажмите «Восстановить» и следуйте простым и понятным инструкциям iTunes или Finder. Настройки смартфона будут сброшены до заводских, а затем программа предложит восстановить данные из резервной копии в iCloud.
Почему при вводе правильного пароля пишет пароль неверный
Многие из нас являются завсегдатаями сети Интернет. Каждый день мы посещаем различные ресурсы для получения новостей, коммуникации, скачивания полезной информации, просмотра фильмов и многого другого. Заходя на различные сайты, мы часто вводим привычный нам пароль, который знаем только мы и используем на различных ресурсах. Но вот сегодня что-то пошло не так. Почему же при вводе действительно правильно пароля система пишет «Пароль неверный»? И как устранить возникшую дисфункцию? Расскажем в нашем материале.
Причины ошибки «Пароль неверный»
Данную проблему можно встретить на различных устройствах, системах, веб-ресурсах. Она довольно распространена, и несмотря на разнообразие платформ всё многообразие причин можно свести примерно к следующему:
Ниже мы разберём способы решения проблемы для конкретных устройство, сайтов и операционных систем. А также, каким образом решить проблему, если вы вводите правильный пароль, но система пишет, что он некорректный.
Что делать, если при вводе правильного пароля на Айфоне появляется ошибка
Если такая ситуация возникла при вводе пароля на вашем айфоне (к примеру, при подключении к Wi-Fi), тогда выполните следующее:
Данные советы также актуальны для большинства планшетов, работающих на базе iOS.
Почему появляется уведомление «Пароль неверный» при корректном вводе пароля на Андроид
В случае моделей на базе ОС Андроид инструкция во многом похожа с советами для айфона. Советы можно применить для телефонов и таблетов на Андроид.
Выполните следующее, чтобы понять, почему выводится ошибка «Пароль неверный» при корректном вводе данных:
Ошибка на Windows при наборе правильных данных
В случае ОС Виндовс, в которой вы вводите пароль, и получаете уведомление, что пароль неверный, рекомендуем сделать следующее:
Способ решить проблему, если ВК пишет, что пароль неверный
При вводе правильного пароля в ВК система может выдавать уведомление о неправильном пароле. Почему так происходит и как решить проблему? Давайте разбираться.
Попробуйте сделать следующее:
Проблема с вводом данных на сервисе 1хбет
Вы можете столкнуться с проблемой выбора неправильного пароля на сайте букмекерской конторы 1хбет.
Для устранения проблемы сделайте следующее:
Каким образом поступить, если не получается зайти в Zoom
В случае популярного сервиса для общения Зум и проблем с вводом пароля для входа в конференцию рекомендуем сделать следующее:
Видео-инструкция
Выше мы рассмотрели, почему же при вводе вами правильного пароля система пишет, что этот пароль неверный. И какие способы помогут исправить проблему на различных устройствах и платформах. Наиболее частыми причинами проблемы является обычная невнимательность пользователя, путающего раскладки клавиатуры и различные пароли для набора. Используйте перечисленные нами советы, и вы сможете войти на целевой ресурс без каких-либо проблем.
что делать если рэп какой то причине ваш пароль сбросился
Почему не принимает пароль – разбираемся с проблемой
Довольно частой проблемой, что возникает у пользователей, является ситуация с непринятием пароля при пользовании каким-либо устройством или сервисом.
К примеру, вы пытаетесь разблокировать телефон или задействовать в нём какую-либо функцию, а вам в ответ пишет, что пароль неверен. А может вы ранее водили пароль на посещаемом вами сайте, но в один прекрасный день он стал недействителен (перестал приниматься). Ситуаций и сценариев может быть множество.
Если одни ситуации возникают из-за забывчивости, технических сбоев и подобного, то другие являются прямым следствием действий злоумышленников.
Давайте рассмотрим решение, которое необходимо применять, дабы решить возникшую проблему.
Содержание:
Решаем проблему с ошибкой «не принимает пароль»
Проблема может встречаться на самых различных устройствах, сайтах и прочих сервисах. Давайте рассмотрим типовые действия, которые необходимо предпринять в каждом конкретном случае.
Телефон или смартфон не принимает пароль – решение проблемы
Если проблема возникла на вашем телефоне или смартфоне, но вы абсолютно уверены в том, что вводимый вами пароль верен и его никто не менял, то в данной ситуации поможет полный сброс настроек, а в некоторых случаях перепрошивка аппарата (зависит от модели). Для каждого аппарата существует своя инструкция по сбросу и перепрошивке, которую вы можете подчеркнуть в комплектации, на официальном сайте производителя или просто на одном из тематических форумов, где подробно обсуждаются подобные технические моменты.
На компьютере не принимает пароль – что делать
Ежели имеет место быть сложность с принятием пароля на компьютере и вы не можете зайти в свою учётную запись пользователя, то данную проблему можно решить через сброс пароля, не прибегая к переустановке операционной системы.
На сайте или Интернет сервисе пароль не принимается – что предпринять
С сайтами, где вдруг перестал приниматься пароль, ситуация решается не менее просто. Ведь зачастую на большинстве сайтов имеется механизмы, которые этот самый пароль могут восстановить или назначить новый, взамен утраченного. Электронная почта, социальные сети, форумы и т.д. Даже если вы в явном виде не наблюдаете кнопки или ссылки, перейдя по которой можно заполнить форму по восстановлению доступа, всё равно такая возможность существует. Вам просто необходимо через обратную связь отправить руководству того или иного сайта или сервиса письмо, в котором описать ситуацию и спросить о дальнейших действиях.
Как мы можем видеть, неразрешимых проблем не существует, и проблема с тем, что не принимает пароль, также вполне решаема, причём независимо от того, где она возникает. Различаются лишь только типовые действия, которые необходимо совершить, дабы вернуть доступ к устройству, сайту, сервису и так далее.
В свою очередь, Вы тоже можете нам очень помочь.
Просто поделитесь статьей в социальных сетях и мессенджерах с друзьями.
Поделившись результатами труда автора, вы окажете неоценимую помощь как ему самому, так и сайту в целом. Спасибо!
После обновления смартфон Xiaomi требует пароль, что делать?
Компания Xiaomi делает хорошие смартфоны, которыми пользователи остаются довольны. Но не обходится без проблем. К примеру, типичная ситуация: после обновления смартфон Xiaomi начинает требовать пароль.
Явление характерно и для других случаев:
Это гугловская защита FPR — Factory Reset Protection. Она срабатывает в штатном режиме, если одновременно сбрасывается пароль Google и само устройство.
Проблема не дает возможности пользоваться смартфоном. И её нужно решить, как можно скорее. Варианты есть. О них – далее.
Подбор пароля
Есть небольшая вероятность, что подойдет стандартный пароль. Попробуйте один из следующих вариантов:
1. Четыре единицы: 1111.
2. Шесть восьмерок: 888888.
3. Восемь нулей: 00000000.
Если пароль подошел – замечательно. Значит, никаких действий совершать больше не нужно.
Обход защиты
Главная сложность в описанной ситуации заключается в том, что смартфон предлагает ввести ПИН-код. А у пользователя может быть установлен пароль. Кто-то находчивый придумал один очень простой вариант смены пароля на ПИН-код – временно.
Для этого нужно поделиться номером телефона при помощи почтового сервиса Gmail.
Делается это так:
1. Зайдите в настройки Wi-Fi.
2. В поле выбора пароля или SSID введите номер телефона. Можно напечатать свой.
3. Долгим нажатием на цифры вызовите контекстное меню и выберите в нем «Позвонить».
4. Сохраните на странице звонков новый контакт и выберите «Отправить» — с помощью Gmail.
5. Перейдите в настройки.
6. Выберите «Управление аккаунтом Google».
Там можно легко и быстро поменять пароль на ПИН-код. Потом этот код необходимо ввести на начальном экране. И всё на этом.
Позже ПИН-код можно опять сменить на пароль, когда защита уже будет отключена.
Чем хорош этот метод:
Действий мало. В статье 6 пунктов, но это для того, чтобы было точно понятно, как именно необходимо действовать.
И еще
Если телефон планируется перепрошить или сделать сброс до заводских настроек, то лучше заранее отвязать устройство от аккаунта Google, чтобы проблемы не возникало.
Кому интересно быть в курсе новых статей нашего сайта, предлагаем подписаться на нашу группу в ВК. Там мы оповещаем о новых статьях.
Забыл пароль от телефона OPPO
Блокировка экрана позволяет уберечь личные данные пользователя от посторонних. Также некоторые сервисы, такие как Google Pay, не работают, если не установлена защита. Но что делать, когда забыл пароль от телефона Oppo? Можно ли вернуть доступ к своему устройству? В статье подробно обсудим эту тему.
Мы не несем ответственности за проделанные вами действия! Вся информация указана только в целях ознакомления для пользователей, которые забыли пароль от своего устройства. Не используйте данную статью, чтобы получить доступ к чужому смартфону!
Как разблокировать телефон OPPO если забыл пароль
Ниже будут описаны все актуальные способы для ColorOS, которые помогут решить данную проблему.
Сброс к заводским настройкам
Хард Ресет стирает все данные и возвращает телефон к заводскому состоянию. Осуществить эту процедуру через системное меню нельзя, поскольку экран заблокирован. Но можно перевести мобильное устройство в режим recovery.
Учтите, что вся информация будет удалена со смартфона! Могут стереться даже данные с SD-карты.
Восстановления пароля с помощью Google-аккаунта
Данный вариант не всегда снимает пароль с телефона. Способ может не сработать на конкретной модели Oppo, но попробовать все же стоит.
Что делать, если нет интернета
Если на смартфоне отключен Wi-Fi и не удается включить его через шторку уведомлений, попробуйте перейти в инженерное меню. Нажмите внизу экрана «Экстренный вызов» и введите комбинацию: *#*#7378423#*#* или *#803#. Откройте пункт «Service Tests» – «WLAN». Далее подключитесь к Вай-фаю.
Если не получилось подключится по Wi-Fi – тогда вставьте рабочую SIM-карту с мобильным интернетом.
Удаление данных через Find My Device
Этот способ гарантирует удаление пароля с экрана блокировки, но побочным эффектом будет являться полная очистка пользовательских данных. Для выполнения процедуры понадобится компьютер или другой смартфон.
Использование программы ADB Run
Блокировку можно снять с помощью специальной утилиты ADB Run. Для этого не нужны root-права и разблокированный загрузчик. Вам понадобится только доступ к компьютеру, ЮСБ-кабель и включенная отладка по USB на смартфоне.
Обратите внимание! Активировать отладку на заблокированном устройстве невозможно. Если она не была включена ранее – ничего не получится. Второе обязательное условие – по умолчанию должна быть выставлена конфигурация «Передача файлов».
Таким способом можно быстро убрать графический ключ или цифробуквенный пароль. Огромный плюс – все данные останутся нетронутыми на устройстве.
Удаление пароля через TWRP Recovery
Способ подойдет тем, у кого установлено кастомное рекавери.
Установка новой прошивки ColorOS
Радикальный метод, после которого удалятся абсолютно все данные с девайса. Нужно обладать определенными техническими знаниями и навыками, чтобы правильно перепрошить телефон и не превратить его в «кирпич». В ближайшее время на нашем сайте появится отдельная статья с подробной инструкцией по установке новой прошивки. Если вкратце:
Обращение в службу поддержки
Если вы неопытный пользователь и не хотите проводить сложные действия с телефоном, лучше обратиться за помощью в службу поддержки. В России нужно позвонить по номеру: 8-800-100-67-76 или написать письмо на официальном сайте. Обязательно предоставьте следующую информацию:
Обычно заявка рассматривается в течение 7 рабочих дней. Для быстрой консультации можно обратиться по телефону, но, скорее всего, вас перенаправят на сайт, где нужно будет оставить текстовое сообщение.
Если вы указали верную информацию, телефон должны разблокировать. Еще один хороший вариант – обращение в авторизованный сервисный центр, в котором специалисты оперативно снимут пароль.
Теперь вы знаете, что делать, если забыли графический или обычный пароль от экрана блокировки. Существует 7 методов, с помощью которых можно решить данную проблему.
Как избежать блокировки OPPO в дальнейшем
Установите разблокировку по отпечатку пальца, если часто забываете графический ключ или цифробуквенную комбинацию. Также подойдет Face ID, но эта технология не всегда срабатывает корректно.
Рекомендуем использовать функцию Smart Lock, благодаря которой телефон не блокируется в некоторых сценариях. А именно:
Всё, что вы хотели знать о безопасном сбросе паролей. Часть 1
Недавно у меня появилось время снова поразмыслить над тем, как должна работать функция безопасного сброса пароля, сначала когда я встраивал эту функциональность в ASafaWeb, а потом когда помогал сделать нечто подобное другому человеку. Во втором случае я хотел дать ему ссылку на канонический ресурс со всеми подробностями безопасной реализации функции сброса. Однако проблема в том, что такого ресурса не существует, по крайней мере, такого, в котором описывается всё, что мне кажется важным. Поэтому я решил написать его сам.
Видите ли, мир забытых паролей на самом деле довольно загадочен. Существует множество различных, совершенно приемлемых точек зрения и куча довольно опасных. Есть вероятность, что с каждой из них вы много раз сталкивались как конечный пользователь; поэтому я попытаюсь воспользоваться этими примерами, чтобы показать, кто делает всё правильно, а кто нет, и на чём нужно сосредоточиться для правильной реализации функции в своём приложении.
Хранение паролей: хэширование, шифрование и (ох!) простой текст
Мы не можем обсуждать, что делать с забытыми паролями, прежде чем не обсудим способ их хранения. В базе данных пароли хранятся в одном из трёх основных видов:
Шифрование лучше, но имеет свои слабые стороны. Проблема шифрования — в дешифровке; можно взять эти безумно выглядящие шифры и преобразовать их обратно в простой текст, а когда это произойдёт, мы вернёмся к ситуации с читаемыми паролями. Как это происходит? Небольшой изъян проникает в код, занимающийся дешифровкой пароля, делая его публично доступным — это один из способов. Доступ к машине, на которой хранятся зашифрованные данные, получают взломщики — это второй способ. Ещё один способ опять-таки заключается в том, что похищают резервную копию базы данных, и кто-то также получает ключ шифрования, которые часто хранятся очень ненадёжно.
И это приводит нас к хэшированию. Идея хэширования заключается в том, что оно выполняется в одну сторону; единственный способ сравнения введённого пользователем пароля с его хэшированной версией — хэширование введённого и их сравнение. Чтобы предотвратить атаки при помощи инструментов наподобие «радужных таблиц», мы при помощи соли добавляем в процесс случайность (для полноты картины прочитайте мой пост о криптографическом хранении). В конечном итоге, при правильной реализации мы можем с большой долей уверенности считать, что хэшированные пароли больше никогда не станут простым текстом (о преимуществах различных алгоритмов хэширования я расскажу в другом посте).
Краткий аргумент о хэшировании и шифровании: единственная причина, по которой вам когда-нибудь потребуется зашифровать, а не хэшировать пароль — это когда вам нужно увидеть пароль в простом тексте, а вам этого никогда не должно хотеться, по крайней мере, в ситуации со стандартным веб-сайтом. Если вам это нужно, то, скорее всего, вы делаете что-то не так!
Чуть ниже в тексте поста есть часть скриншота порнографического веб-сайта AlotPorn. Он аккуратно обрезан, и так нет ничего такого, чего нельзя увидеть на пляже, но если это всё равно может вызвать какие-то проблемы, то не прокручивайте страницу вниз.
Всегда сбрасывайте пароль, никогда его не напоминайте
Вас когда-нибудь просили создать функцию напоминания пароля? Сделайте шаг назад и подумайте об этой просьбе в обратную сторону: зачем нужно это «напоминание»? Потому что пользователь забыл пароль. Что мы на самом деле хотим сделать? Помочь ему снова войти в систему.
Я понимаю, слово «напоминание» используется (часто) в разговорном смысле, но на самом деле мы пытаемся безопасно помочь пользователю снова быть онлайн. Так как нам нужна безопасность, есть две причины, по которым напоминание (т.е. отправка пользователю его пароля) не подходит:
Очевидно, первая проблема заключается в том, что страница в чем разница» rel=dofollow»>страница входа в систему не загружается по HTTPS, но сайт к тому же ещё и предлагает отправить пароль («Send Password»). Возможно, это пример упомянутого выше разговорного применения данного термина, поэтому давайте сделаем ещё один шаг и посмотрим, что произойдёт:
Выглядит ненамного лучше, к сожалению; и электронная почта подтверждает наличие проблемы:
Это говорит нам о двух важных аспектах usoutdoor.com:
Перечисление имён пользователей и его влияние на анонимность
Эту проблему лучше проиллюстрировать визуально. Проблема:
Подобные практики также вызывают возникновение опасности «перечисления имён пользователей», при котором можно проверить существование на веб-сайте целой коллекции имён пользователей или адресов почты простыми групповыми запросами и изучением ответов на них. У вас есть список адресов электронной почты всех сотрудников и несколько минут на написание скрипта? Тогда вы видите, в чём проблема!
Какова же альтернатива? На самом деле, она довольно проста, и замечательно реализована на Entropay:
Здесь Entropay совершенно ничего не раскрывает о существовании в своей системе адреса электронной почты тому, кто не владеет этим адресом. Если вы владеете этим адресом и он не существует в системе, то вы получите подобное электронное письмо:
Разумеется, возможны приемлемые ситуации, в которых кто-то думает, что зарегистрировался на веб-сайте. но это не так, или сделал это с другого адреса почты. Показанный выше пример удачно справляется с обеими ситуациями. Очевидно, если адрес совпал, то вы получите письмо, упрощающее сброс пароля.
Тонкость выбранного Entropay решения в том, что проверка идентификации выполняется по электронной почте до любой онлайн-проверки. Некоторые сайты спрашивают у пользователей ответ на секретный вопрос (подробнее об этом ниже) до того, как сможет начаться сброс; однако, проблема этого в том, что нужно ответить на вопрос, предоставив при этом какой-либо вид идентификации (почту или имя пользователя), из-за чего затем почти невозможно ответить интуитивно понятно, не раскрывая существования учётной записи анонимного пользователя.
При таком подходе есть небольшое снижение юзабилити, потому что в случае попытки сброса несуществующего аккаунта нет мгновенной обратной связи. Разумеется, в этом и есть весь смысл отправки электронного письма, но с точки зрения настоящего конечного пользователя, если он введёт неправильный адрес, то впервые узнает об этом только при получении письма. Подобное может вызвать определённую напряжённость с его стороны, но это небольшая плата за столь редкий процесс.
Ещё одно примечание, немного отклоняющееся от темы: функции помощи входу в систему, раскрывающие правильность имени пользователя или адреса электронной почты, обладают той же проблемой. Всегда отвечайте пользователю сообщением «Неправильное сочетание имени пользователя и пароля» (You username and password combination is invalid), а не подтверждайте явным образом существование идентификационной информации (например, «имя пользователя верное, но пароль введён неверно»).
Отправка пароля сброса против отправки URL сброса
Следующая концепция, которую нам нужно обсудить, связана со способом сброса пароля. Существует два популярных решения:
Но кроме этого у первого пункта существует ещё одна серьёзная проблема — он максимально упрощает блокировку учётной записи со злым умыслом. Если я знаю адрес почты того, кто владеет учётной записью на веб-сайте, то я могу заблокировать его в любой момент времени, просто сбросив его пароль; это атака типа «отказ в обслуживании», выложенная на блюдечке с голубой каёмочкой! Именно поэтому сброс должен выполняться только после успешной проверки у запрашивающего права на него.
Когда мы говорим об URL сброса, то подразумеваем адрес веб-сайта, который является уникальным для этого конкретного случая процесса сброса. Разумеется, он должен быть случайным, его не должно быть легко разгадать и он не должен содержать никаких внешних ссылок на учётную запись, упрощающих сброс. Например, URL сброса не должен быть просто путём наподобие «Reset/?username=JohnSmith».
Мы хотим создать уникальный токен, который можно будет отправить по почте как URL сброса, а затем сверить его с записью на сервере с учётной записью пользователя, подтвердив таким образом, что владелец учётной записи и в самом деле тот же самый человек, который пытается сбросить пароль. Например, токен может иметь вид «3ce7854015cd38c862cb9e14a1ae552b» и храниться в таблице вместе с ID пользователя, выполняющего сброс, и временем генерации токена (подробнее об этом чуть ниже). При отправке письма оно содержит URL наподобие «Reset/?id=3ce7854015cd38c862cb9e14a1ae552b», а когда пользователь загружает его, страница в чем разница» rel=dofollow»>страница запрашивает существование токена, после чего подтверждает информацию пользователя и разрешает изменить пароль.
Разумеется, поскольку описанный выше процесс (будем надеяться) позволяет пользователю создать новый пароль, нужно гарантировать загрузку URL по HTTPS. Нет, передать его POST-запросом по HTTPS недостаточно, этот URL с токеном должны использовать безопасность транспортного слоя, чтобы на форму ввода нового пароля невозможно было совершить атаку MITM и созданный пользователем пароль передавался по защищённому соединению.
Также для URL сброса нужно добавить лимит времени токена, чтобы процесс сброса можно было выполнить в течение определённого интервала, допустим, в пределах часа. Это гарантирует, что окно времени сброса будет минимальным, чтобы получивший этот URL сброса мог действовать только в рамках этого очень маленького окна. Разумеется, нападающий может снова начать процесс сброса, но ему понадобится получить ещё один уникальный URL сброса.
Наконец, нам нужно обеспечить одноразовость этого процесса. После завершения процесса сброса токен необходимо удалить, чтобы URL сброса больше не был работающим. Предыдущий пункт нужен для того, чтобы у нападающего было очень малое окно, в течение которого он может манипулировать URL сброса. Плюс, разумеется, после успешного завершения сброса токен больше не нужен.
Некоторые из этих шагов могут показаться чересчур избыточными, но они совершенно не мешают юзабилити и на самом деле повышают безопасность, хотя и в ситуациях, которые, мы надеемся, будут редкими. В 99% случаев пользователь будет задействовать сброс в течение очень короткого промежутка времени и не будет сбрасывать пароль снова в ближайшем будущем.
Роль CAPTCHA
О, CAPTCHA, средство защиты, которое все мы так любим ненавидеть! На самом деле, CAPTCHA средство не столько защиты, сколько идентификации — человек вы или робот (или автоматизированный скрипт). Её смысл в том, чтобы избежать автоматическую отправку форм, которая, разумеется, может применяться как попытка взлома защиты. В контексте сброса паролей CAPTCHA означает, что функцию сброса невозможно будет взломать грубым перебором, чтобы или потом спамить пользователю, или попытаться определить существование учётных записей (что, разумеется, будет невозможно, если вы следовали советам из раздела о проверке идентификации).
Разумеется, сама по себе CAPTCHA неидеальна; существует множество прецедентов её программного «взлома» и достижения достаточных показателей успеха (60-70%). Кроме того, существует решение, показанное в моём посте о взломе CAPTCHA автоматизированными людьми, при котором можно платить людям доли цента для решения каждой CAPTCHA и получения показателя успеха в 94%. То есть она уязвима, однако (слегка) повышает входной барьер.
Давайте взглянем на пример PayPal:
В данном случае процесс сброса просто не может начаться до решения CAPTCHA, поэтому теоретически автоматизировать процесс невозможно. Теоретически.
Однако для большинства веб-приложений это будет перебором и совершенно точно представляет собой снижение юзабилити — люди просто не любят CAPTCHA! Кроме того, CAPTCHA — это такая вещь, к которой при необходимости можно будет легко вернуться. Если сервис начинает подвергаться нападению (здесь пригождается логгинг, но подробнее об этом позже), то добавить CAPTCHA легче некуда.
Секретные вопросы и ответы
При всех рассмотренных нами способах мы имели возможность сбросить пароль, всего лишь имея доступ к учётной записи электронной почты. Я говорю «всего лишь», но, разумеется, незаконное получение доступа к чужой учётной записи почты должно быть сложным процессом. Однако это не всегда так.
На самом деле, представленная выше ссылка о взломе учётной записи Сары Пэйлин на Yahoo! служит двум целям; во-первых, она иллюстрирует, насколько легко можно взламывать (некоторые) почтовые аккаунты, во-вторых, она показывает, как можно со злым умыслом использовать плохие секретные вопросы. Но мы вернёмся к этому позже.
Проблема со сбросом паролей со стопроцентной зависимостью от электронной почты заключается в том, что целостность учётной записи сайта, пароль которого вы пытаетесь сбросить, становится стопроцентно зависимым от целостности учётной записи электронной почты. Любой, кто имеет доступ к вашей электронной почте, имеет доступ к любому аккаунту, который можно сбросить простым получением электронного письма. Для таких аккаунтов электронная почта является «ключом от всех дверей» вашей жизни онлайн.
Один из способов снижения этого риска — реализация паттерна секретного вопроса и ответа. Без сомнений, вы уже видели их: выбираете вопрос, на который только вы должны знать ответ, после чего при сбросе пароля вам его задают. Это добавляет уверенности в том, что человек, пытающийся выполнить сброс и в самом деле является владельцем аккаунта.
Вернёмся к Саре Пэйлин: ошибка была в том, что ответы на её секретный вопрос/вопросы легко можно было найти. В частности, когда ты такая значимая общественная фигура, информация о девичьей фамилии матери, истории обучения или о том, где кто-то мог жить в прошлом, не такая уж и секретная. На самом деле, большая её часть может быть найдена практически любым. Так и произошло с Сарой:
Хакер Дэвид Кернелл получил доступ к учётной записи Пэйлин, найдя подробности её биографии, такие как её вуз и дату рождения, а затем использовав функцию восстановления забытых паролей к учётным записям Yahoo!.
В первую очередь это ошибка проектирования со стороны Yahoo! — указав такие простые вопросы, компания по сути саботировала ценность секретного вопроса, а значит, и защиту своей системы. Разумеется, сброс паролей к учётной записи электронной почты всегда сложнее, ведь вы не можете подтвердить её владение, отправив владельцу электронное письмо (не имея второго адреса), но, к счастью, сегодня для создания такой системы не так уж много способов применения.
Вернёмся к секретным вопросам — существует вариант предоставить пользователю возможность создания собственных вопросов. Проблема в том, что в результате будут получаться ужасно очевидные вопросы:
Какого цвета небо?
Вопросы, ставящие людей в неудобное положение, когда для идентификации секретный вопрос использует человек (например, в колл-центре):
С кем я переспал на Рождество?
Или откровенно глупые вопросы:
Как пишется «пароль»?
Когда дело касается секретных вопросов, пользователей нужно спасти от самих себя! Другими словами, секретный вопрос должен определять сам сайт, а ещё лучше, задавать серию секретных вопросов, из которых может выбирать пользователь. И не просто выбирать один; в идеале пользователь должен выбрать два или более секретных вопросов в момент регистрации аккаунта, которые затем будут использоваться как второй канал идентификации. Наличие нескольких вопросов повышает степень уверенности в процессе проверки, а также даёт возможность добавления случайности (не всегда показывать одинаковый вопрос), плюс обеспечивает немного избыточности на случай, если настоящий пользователь забыл пароль.
Каким же должен быть хороший секретный вопрос? На это влияет несколько факторов:
Позвольте мне продемонстрировать, как секретные вопросы реализованы в PayPal и, в частности, какие усилия сайт прикладывает для идентификации. Выше мы видели страницу начала процесса (с CAPTCHA), а здесь мы покажем, что происходит после того, как вы вводите адрес почты и решаете CAPTCHA:
В результате пользователь получает такое письмо:
Пока всё вполне обычно, но вот что скрывается за этим URL сброса:
Итак, в дело вступают секретные вопросы. На самом деле, PayPal также позволяет сбросить пароль, подтвердив номер кредитной карты, поэтому существует дополнительный канал, к которому не имеют доступа множество сайтов. Я просто не могу изменить пароль, не ответив на оба секретных вопроса (или не зная номер карты). Даже если кто-то захватит мою электронную почту, он не сможет сбросить пароль учётной записи PayPal, если не знает обо мне чуть больше личной информации. Какой информации? Вот варианты секретных вопросов, предлагаемые PayPal:
Вопрос о школе и больнице может быть слегка сомнительным с точки зрения простоты поиска, но остальные не так плохи. Однако для повышения безопасности PayPal требует дополнительной идентификации для изменения ответов на секретные вопросы:
PayPal — довольно утопический пример безопасного сброса пароля: он реализует CAPTCHA для снижения опасности грубого перебора, требует два секретных вопроса, а затем требует ещё один вид совершенно другой идентификации только для смены ответов — и это после того, как пользователь уже выполнил вход. Разумеется именно этого мы и ожидали бы от PayPal; это финансовая организация, работающая с большими суммами денег. Это не означает, что каждый сброс пароля должен следовать этим этапам — в большинстве случаев это перебор — однако это хороший пример для случаев, когда безопасность — серьёзный бизнес.
Удобство системы секретных вопросов в том, что если вы не реализовали её сразу, то её можно добавить позже, если этого требует уровень защиты ресурса. Хорошим примером этого служит Apple, только недавно реализовавшая этот механизм [статья написана в 2012 году]. Начав однажды обновлять приложение на iPad, я увидел следующий запрос:
Затем я увидел экран, на котором можно было выбрать несколько пар секретных вопросов и ответов, а также спасательный адрес электронной почты:
Что касается PayPal, то вопросы выбраны заранее и некоторые из них на самом деле довольно неплохи:
Каждая из трёх пар вопросов и ответов представляет отдельное множество возможных вопросов, поэтому существует достаточное количество способов конфигурирования учётной записи.
Ещё одним аспектом, который нужно рассмотреть относительно ответа на секретный вопрос, является хранение. Нахождение в ДБ простого текста представляет почти те же угрозы, что и в случае пароля, а именно — раскрытие базы данных мгновенно раскрывает значение и подвергает риску не только приложение, но и потенциально совершенно другие приложения, использующие те же секретные вопросы (это снова вопрос ягод асаи). Одним из вариантов является безопасное хэширование (стойкий алгоритм и криптографически случайная соль), однако в отличие от большинства случаев хранения паролей, здесь может быть уважительная причина видимости ответа как простого текста. Типичным сценарием является проверка личности живым оператором по телефону. Разумеется, в этом случае хэширование тоже применимо (оператор может просто ввести названный клиентом ответ), но в самом худшем случае секретный ответ должен находиться на каком-нибудь уровне криптографического хранилища, даже если это просто симметричное шифрование. Подведём итог: обращайтесь с секретами как с секретами!
И последний аспект секретных вопросов и ответов — они более уязвимы для социального инжиниринга. Пытаться напрямую выпытывать пароль к чужому аккаунту — это одно дело, а завязать разговор о его образовании (популярный секретный вопрос) — совершенно другое. На самом деле, вы вполне реально можете общаться с кем-то о многих аспектах его жизни, которые могут представлять секретный вопрос, и не вызывать при этом подозрений. Разумеется, сама суть секретного вопроса в том, что он связан с чьим-то жизненным опытом, поэтому он запоминается, и именно в этом заключается проблема — люди любят рассказывать о своём жизненном опыте! С этим мало что можно поделать, только если выбрать такие варианты секретных вопросов, чтобы их с меньшей вероятностью можно было бы вытянуть социальным инжинирингом.
На правах рекламы
VDSina предлагает надёжные серверы с посуточной оплатой, каждый сервер подключён к интернет-каналу в 500 Мегабит и бесплатно защищён от DDoS-атак!