امنیت

آشفته بازار طراحی سایت

چند روز گذشته به دلایلی قصد حضور در یک کلاس برنامه نویسی داشتم. و با کمی جستجو به دو مجموعه معتبر رسیدم: مجتمع فنی تهران و آموزشگاه دانشگاه شریف.

خیلی کشش ندم. توی سایتشون ثابت نام کردم و امیل های زیر بهم رسید و بهت زده شدم.

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

میبینید؟ در هر دو ایمیل پسورد من بصورت “متن ساده” نمایش داده شده.

در قسمت “فراموش کردن رمز عبور” در سایت لایتک این جمله آمده: “کلمه عبور شما به پست الکترونیکی ثبت شده شما در هنگام ثبت نام، ارسال خواهد شد.”

و در سایت مجتمع فنی: “در صورتی که کلمه عبور خود را فراموش کرده اید لطفا آدرس ایمیل خود را برای دریافت مجدد کلمه عبور وارد کنید.”

اینها همگی دلالت دارند بر اینکه پسورد های کاربران در دیتابیس سایت به صورت متن ساده نگهداری میشه. کوچکترین ضعف امنیتی که منجر به دسترسی یک هکر به دیتابیس بشه منجر میشه به یک فاجعه مخصوصأ برای کاربر هایی که در جاهای مختلف، از جمله ایمیلی که باهاش توی سایت ثابت نام کردند، از یک پسورد استفاده میکنند.

دسترسی به ایمیل اصلی یک نفر میتونه منجر بشه به هک شدن زنجیره ای همه اکانت های اون شخص.

متاسفانه هنوز هستند “طراح های سایت” خود خوانده ای که الفبای امنیت رو بلد نیستند و با توجه به اینکه استفاده از الگوریتم های رمزنگاری یک طرفه برای نگهداری پسورد ها بسیار ساده است، به نتایج زیر می شه رسید:

  • کاری رو که ادعاش رو دارند بلد نیستند
  • امنیت کاربرها پشیزی براشون ارزش نداره

راه حل:

همونطور که همیشه گفته شده شما باید با فرض امن نبودن سایت ها ثابت نام کنید. پس:

  • از پسورد های یکه و غیر مشابه استفاده کنید.
  • ترجیها دو ایمیل داشته باشید که یکیش برای کارهای روزمره و دیگری برای کارهای خصوصی یا مهم باشه
  • اطلاعات مهم شخصی رو در اختیار سایت هایی که اهمیتی به امنیت اطلاعات شما نمیدند نذارید

اگر ایده ای برای تکمیل این لیست دارید، کامنت بذارید تا همگی استفاده کنیم.

Standard

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.