原則として、パスワード回復機能は、攻撃者があなたの情報およびあなたに関する情報にアクセスするのを防ぐために設計されています。
それにもかかわらず、多くのサービスは、「パスワード回復」機能内であなたに関する情報を簡単に配布します。 私は、この情報があらゆる種類の非友好的な人々にとって非常に役立つことさえ提案します。
推測しなかった場合、指定されたアドレスを持つユーザーが登録されていないため、指定されたアドレスに手紙が送信されなかったというメッセージを送ってくれた有名なソーシャルサービスのスクリーンショット。
ユーザーが登録されているかどうかについての情報は何ですか?
1. ユーザー情報 。 したがって、ユーザーが登録されているリソースを確認するツールを作成できます。これは、この人物に関する個人情報の収集を容易にするのに役立ちます。
2. 特定のマスサービスに登録されているユーザーに関するメールのデータベースを確認し、受信した情報に基づいて、これらのユーザーにメールで何かを要求できます。
あなたは言う:「ナンセンス、あなたは電子メールのデータベースをフィルタリングすることはできません。」 まったく答えません。 テキスト付きの手紙を受け取り、SMSを番号XXXXに送信して、アカウントがブロックされないようにするための1つの方法です。 もう1つのことは、1つの手紙にあなたが登録されている5つのソーシャルネットワークのリストがあることです。 あなたについての5つの事実がより説得力があります!
パスワード回復を設計する方法は?
1.メールとログインの両方を求めるのはサディズムです! 多くの人々は、異なるパスワードだけでなく、異なるログイン/ニックネームも使用しています。
2.メッセージが送信されたかどうかについてのメッセージを表示しないでください-これはユーザーにとって不愉快です。ユーザーは封印されるだけで、パスワードを回復するための指示が書かれた約束の手紙は届きません。
3.ユーザーに画像を認識させるか、何らかの方法でボットから身を守るよう求めることができますが、これは個人情報を開示する問題全体を解決するものではなく、個人情報の大量開示の問題のみを解決します。 また、ユーザーを悩ませる可能性があります。
4.秘密の質問。 3年前のユーザーの考え方が違っていても、必ずしも明確な答えがあるわけではありません。
オプションHabrauserov。
Vtd
5.電子メールによるパスワード回復のリクエスト:「パスワードを回復するには、登録時に指定されたボックスからlostpassword@site.comを条件にPassRestoreを含む電子メールを送信します。」
サイ
6.携帯電話へのバインド。 最も安全なオプションは、パスワードを忘れ、SMSを送信し、それに応じてパスワードを受信することです。 そのような携帯電話番号を持つ人が(特定のインターネットリソース上に)存在するかどうかを確認してください。 ユーザーのこの検索は提供されません。
他に何ができますか?
ここで、ソリューションとしてパスワード回復を設計するための最も完成された推奨事項を紹介します。明らかに、このソリューションをもたらしたユーザーを示します。
この「パスワード回復」の機能に基づいて、他にどのような詐欺が本物に見えますか?