, sikkert håndtering af brugerens login akkreditiver,,,,, 83,,,,,,,, 26,,,,,,,,,, det cyber - mandag envato tuts + kurser vil blive reduceret til $3.- og' ikke glip af, for de fleste websteder, har de forskellige områder inden for den (hjemmeside, brugerprofil admin side osv.), hvoraf nogle vil være offentlige, og andre vil blive begrænset til visse brugere.du ofte ønsker til entydigt at identificere brugere, så du kan give tilpassede indhold eller at tage højde for de specifikke oplysninger fra en bruger.mange steder er også nødt til at beskytte en del af området, såsom et administrativt område at opretholde og ajourføre indholdet af lokaliteten.i cms - lokalitet, nogle brugere kan være i stand til at skabe indhold, men andre skal godkende det indhold, før det er vist til offentligheden.,, sikring af brugernavn og password, uanset behovet, begrænsning eller tilpasning kræver, at identificere hver enkelt brugers adgang til din hjemmeside.for en internet for stedet betød for almindelige brugere, brugernavn og password, stadig er gældende, især fordi der ikke er en bedre løsning.der er andre muligheder, hvis du arbejder i særlige omgivelser, f.eks. en virksomhed, intranet, hvor du har kontrol over stedet, besøgende.,, og et fælles behov, logins og kodeord er ofte behandles på en måde, der efterlader det websted, og dens brugere, unødigt mere sårbar over for angreb på sikkerheden.af følgende eksempler på bedste praksis, du kan bedre beskytte din hjemmeside, og dens indhold fra hackere.konsekvenserne af dårlig beskyttelse kan være alvorlige.forestil dig et sted, hvor enhver bruger kunne efter indhold, der lod til at være fra virksomheden som følge af dårlig forvaltning eller online password lager, hvor enhver bruger, kan se på alle ordrer på stedet, lad os se på et par af sikkerhedshensyn, samtidig med logins og kodeord på deres websteder., brugernavne: e - mails eller generiske, login består af et brugernavn, som peger på dig, og du er et kodeord, validering af brugeren, som de hævder at være.websteder, ofte gør det muligt for brugeren at enten angive en skik brugernavn eller brug brugerens e - mail adresse som deres brugernavn.,, fordele, e - mails, ændrer ikke ofte, og de fleste websteder allerede indsamler disse oplysninger, så brugeren også vil være mindre tilbøjelige til at glemme deres e - mail - end et brugernavn, de har skabt.den e - mail - også vil automatisk være unikke brugere sjældent har en e - mail konto, og dem, der gør, ville i ikke have særskilte regnskaber.,, ulemper, de ulemper for en e - mail omfatte, at to mennesker, der deler en e - mail, kan ikke have særskilte regnskaber.desuden gælder det, at hvis din hjemmeside er en legitim årsag til en person, der har flere konti, kan dette ikke være muligt med e - mails, men lettere at gennemføre ved hjælp af brugernavne.det er sandsynligvis også en e - mail er lettere at hacke siden bruger sandsynligvis anvender samme e - mail på hver lokalitet, men størstedelen af brugernavne vil sandsynligvis ikke være meget vanskeligere at hacke, som brugerne har tendens til at genbruge brugernavne og passwords, genbrug, medmindre du har en særlig grund til at undgå en e - mail - adresse, foretrækker den e - mail til login brugernavn.anvendelse af e - mail er også blevet normen på websteder.glem ikke, at give en e - mail - baseret login med en mulighed for at ændre den e - mail.uden at dette element, en bruger skal oprette en ny konto og miste alle tidligere historie, blot fordi de ændrede internetudbydere eller mistet et tidligere konto på grund af eksamen eller at skifte job, som deres gamle e - mail til at gå væk.,, altid være forsigtig, mens de anvender e - mail som login til ikke vise det offentligt, for både privatlivets fred grunde og spam forhold.,, logins kan indeholde for mange informationer, indlogningsside af deres websted vil være det første punkt af forskning til en hacker.de hacker vil søger at fastslå, regnskaber, som er gyldige på et websted.korrekt håndtering af indlogningsside vil få hackeren er mere vanskeligt.til at begynde med, du burde minimere mængden af data, en mislykket login giver en hacker.din første tanke, når nogen kommer ind i et brugernavn, der ikke er anerkendt, kan udgøre et nyttigt budskab om, at de skal kontrollere deres brugernavn.du kan give en mere sikker side ved at udvise den samme fejl besked når brugernavn findes ikke, og når de kodeord matcher ikke kodeordet for en given bruger.budskabet skal angive, at kombinationen af brugernavn og password, ikke var korrekt, så brugeren ved at kontrollere både oplysninger, ikke bare et eller andet.,, hvis din hjemmeside bruger e - mails til login brugernavn, en angriber let kan bekræfte, om brugeren har en konto i din tjeneste, hvis du vender tilbage en anden besked til en ukendt login sammenlignet med en mislykket brugernavn og password kombination.det gør det en smule mindre belejligt for brugeren, men den øgede sikkerhed er normalt en bedre handel.,,,,, som det bemærkes, at tage de særlige besked til en invalid brugernavn, og øget sikkerhed for en værre bruger erfaring.at give et signal om, at et login findes ikke vil hjælpe brugeren meddelelse slåfejl, såsom maskinskrivning, john, i stedet for, jon, lettere.det bidrager også til en bruger, der ikke huske hvilket brugernavn, de brugte på din hjemmeside.- huske på, at disse typer meddelelser give hackere en enkel og let at kontrollere, hvis en bruger, der eksisterer på din hjemmeside.,,,,, du kan også hjælpe med en hacker, som bedre håndtering af flere forsøg på at logge ind.mistyping et brugernavn og password til mere end en gang forekommer temmelig normalt fra en mistyped karakter, til gennemførelse af to bogstaver, eller ved hjælp af kodeordet for et andet sted, i stedet for det rigtige kodeord.tillader ubegrænset login forsøg åbner døren for en brutal kraft angreb af brugernavne og passwords gentagne gange for at bestemme den korrekte adgangskode.elektroniske værktøjer og manuskripter fremskynde processen, der tillader en hacker for systematisk arbejde gennem mange potentielle passwords, til at finde den rette adgangskode.,,, indførelse af en stigende forsinkelse efter hver ikke login forsøg på hjælper også folie hackere.den første adgangskode forsøg sker normalt.den anden adgangskode er forsinket en brøkdel af et sekund, før de vendte tilbage til resultatet.yderligere forsøg er forsinket, stadig længere, før de vendte tilbage med et svar.denne forsinkelse giver mulighed for en minimal forstyrrelse af legitime bruger, der har begået en fejl, men forsinker hacker forsøger at tvinge det sted,.,, til mere følsomme data, en stærkere holdning kan tages af låsning af hensyn til efter en række fejlslagne forsøg.- konto deaktiverer det enten midlertidigt eller permanent.- stopper råstyrke angreb, som efter et punkt, login vil ikke fungere.et midlertidigt invaliderende, skal have minimal indvirkning på brugerne, så længe en besked til grund for låsen ud vises.en permanent lås kræver, at brugeren kontakt støtte til at løse problemet og bedre passer til logins, beskyttelse af vigtige data.,, sikre kodeord, kodeord er mest følsomt aspekt af adgangskode.opbevar aldrig kodeord i almindelig tekst.aldrig.nogensinde.det betyder næsten ethvert problem kan afsløre login oplysninger.selv krypterede koder bør undgås, da hvis hacker får adgang til krypterede data enkryption proces kan være meget lettere.enhver oplagring, hvor du kan finde et kodeord, gør det lettere for en hacker, til at gøre det samme.,, saltning og hashing, kodeord, bør oplagres saltet og drøftet.en salt er en tilfældigt, der genereres, enestående værdi opbevares for hver login og tilføjes før hashing.tilsætning af salt, forhindrer identiske passwords fra under samme hash og forhindrer en hacker fra opbygning af en liste over de hash resultat af mulige kodeord kombinationer på forhånd.ved at tilføje den tilfældige hash, et kodeord, abc123 (venligst brug aldrig sådan noget som et virkeligt password) vil resultere i en anden gang for alle brugere, en hash funktion bliver kodeordet til en bestemt længde værdi.der er funktioner, der specifikt er konstrueret til at passwords som f.eks. pbkdf2 eller bcrypt.den gpu forarbejdningsvirksomheder i moderne grafikkort kan udføre de beregninger, der er nødvendige for at få, og den kan bryde, mange svage algoritmer, hurtigt.- maskiner med henblik på at fastlægge de otte karakter kodeord, kodeord kan eller mindre, på under seks timer.,, brugere, ofte har en tendens til at genanvende de samme password til de steder, hvor de har konti.mange steder er begyndt at teste udsat papirer fra større hensyn til login hacker mod deres egne logins og for brugere, hvis brugernavn og password kombinationer match.evernote og facebook undersøgte for nylig login akkreditiver løsladt fra adobe og advaret - brugere, der anvender de samme kriterier.,, den nemmeste måde at håndtere passwords korrekt, er at anvende de redskaber, som er indeholdt i dit spind rammer.kodeord sikkerhed er kompliceret, og at kun én ting, der kan gå din bruger adgangskoder til angreb.ph over giver et offentligt bibliotek for folkesundhedsprogrammet med bcrypt.de ældre er bygget i. netto medlemskab udbydere, der anvendes svagere hashes, men den nye universelle tjenesteydere anvendelse pbkdf2.skinner, giver også bcrypt perle.,, at nulstille passwords, når du ordentligt sikkert kodeord, så de ikke kan hentes, man mister evnen til at give brugeren en glemt password.så, du er nødt til at tilbyde et alternativ til en bruger, der lovligt har glemt deres kodeord til at nulstille password på en sikker måde.,, kodeordet nulstille side, en god nulstille kodeord side gør det muligt for brugeren at ændre kodeord, uden at kende den aktuelle kodeord.den traditionelle metode giver brugeren adgang til deres e - mail - adresse, så sender et link til et websted, som giver dem mulighed for at nulstille kodeordet.at sende en forbindelse er mere sikre end at sende et kodeord, siden det nye kodeord er ikke skabt til brugeren til den side.at sende en ny kode pr. e - mail ville skabe en ny legitimation, at nogen beslaglægge den e - mail - vil være i stand til at bruge uden brugerens viden.hvis nogen fra den e - mail - og nulstiller password, vil brugeren, når de adgang til og forsøg på at genstarte deres kodeord.,, en god nulstille side bør heller ikke give validering, at en konto findes.logikken er den samme, som vi drøftede i forhold til ikke at give feedback, hvis en konto, ikke eksisterer, når logføring.selv om login eksisterer ikke i systemet.den bedste tilgang er at give et signal om, at vejledning er blevet sendt til den e - mail - adresse i filen.du skal sende en e - mail til ind i e - mail, da det kan være berettiget for at have glemt, som e - mail blev anvendt til en konto, som føres ind i en e - mail i stedet for personlige e - mail.,, kodeord nulstille forbindelserne, forbindelsen til at nulstille passwords skal være konstrueret, så den nulstille anmodning, har en begrænset levetid, og kan kun anvendes én gang.skabe et enestående udtryk for hver nulstille anmodning, bundet til den konto, anmodede om og opbevarer det i en database.dette symbol bliver en del af url mailede til at nulstille kodeordet.det blev også bør tildeles en udløbsdato og fjernes efter en nulstilling fuldfører.hvis nogen forsøger at bruge et bevis, der allerede er brugt eller udløb, anmodningen ville fejle.udløbet, skal være lang nok til, at e - mail til modtagelse og bruger til at gennemføre aktioner, men ikke så længe, så brug for langt ude i fremtiden.en tidsramme for et par timer normalt vil være tilstrækkeligt.,, placér et kodeord, via e - mail, placér et kodeord, ved hjælp af e - mail - gør også sikkerheden i deres sted, afhængig af integriteten af brugerens e - mail.hvis den e - mail - kan få adgang til, så er den person kan nulstille kodeord.lokaliteter kan føje sikkerheds spørgsmål, der skal besvares, før nulstilling af kodeord.sikkerhedsspørgsmål giver ekstra sikkerhed, hvis svarene er nemme at finde.en sikkerheds spørgsmål, "hvad er min by?"giver lidt sikkerhed, hvis svaret kan findes på den pågældende persons profil på facebook.for mere om at udvikle et godt spørgsmål, se http: //////////////goodsecurityquestions. kom /.,, to skridt autentificering, et login og kodeord kræver kun et par oplysninger, adgang til en hjemmeside.når oplysninger, så brugeren antages at være den rette person.at stjæle endnu mindre effektivt, kan du tilføje et andet skridt i retning af kontrolprocessen.ud over noget, som brugeren ved (brugernavn og password), brugeren skal også bruge noget, de har i deres nuværende besiddelse, almindeligvis en mobiltelefon via sms eller en ansøgning til dette formål.,, banker sandsynligvis var den første til at gennemføre denne proces med at skabe en sædvane hardware af koden.google populariserede anvendelse af sms - beskeder eller en app som andet skridt.mange steder nu bruge et login forenelig med google er gennemførelsen af rfc 6238.du kan finde biblioteker allerede gennemførelsen af denne teknik til mest populære rammer som f.eks. asp.net, asp.net, ruby på skinner, folkesundhedsprogrammet og django.,, ekstern godkendelse, for at undgå de problemer, du har en anden mulighed, lade en anden tage alt dette ved at integrere med en tredjepart til autentificering, såsom twitter og facebook eller openid.det giver fordele og ulemper.det tager væk det meste af sikkerhedsmæssige bekymringer, som vi har til debat her i parlamentet som en anden beskæftiger sig med disse spørgsmål.men de andre steder er også større hacker mål end dig.hvis du bruger et andet sted til at håndtere autentificering, så hvis det login er kompromitteret, hackere har adgang til dit sted, ved hjælp af en kendt tredjemand kan hjælpe og skade fra et ry og socialt synspunkt.den fordel, at logge ind med facebook og twitter er, at så mange brugere har allerede står der, at de ville være glade for at bruge det.andre personer kan se integration med disse områder som et negativt element og ikke bruge dit sted på grund af det, eller hvis det er den eneste mulighed, der gives til dem.,, konklusion, din webapplikationen er login spiller en afgørende rolle for at sikre din hjemmeside.sørger for at beskytte dit login vil gøre meget for at beskytte din hjemmeside, din hjemmeside er brugere og deres private oplysninger.at arbejde sikkert med logins, mindske mængden af data, dit login og kodeord nulstille sider kan potentielt give en hacker.også, sæt sikkerhedsforanstaltninger på plads for at gøre det vanskeligere at gætte dit kodeord via bruger vold.,, at beskytte kodeord er et afgørende mål for enhver lokalitet.dårligt beskyttede passwords få hackeren arbejde og kan ende med login prøvelse af din hjemmeside, der udsættes for offentligheden.ved hjælp af hashed og saltet kodeord er hacker opgave meget vanskeligere.endvidere at tilføje muligheden for et andet skridt i retning af login proces kan yde større beskyttelse til din hjemmeside er brugere.du kan også vælge at anvende en tredjepart til at håndtere logins på din hjemmeside.