تأیید هویت – نحوه انتقال کاربر / گذر از کاربر به API به صورت خودکار
من مطمئن نبودم که آیا این را در StackOverflow یا اینجا بپرسم، اما تصمیمی گرفتم که در اینجا مناسب تر است.
من یک اسکریپت محلی کاملا اتوماتیک ایجاد میکنم که در یک برنامه اجرا می شود. پس از راه اندازی، اسکریپت هرگز نباید هر گونه تعامل با کاربر را مورد نیاز باشد.
این اسکریپت نیاز به دسترسی به یک API وب دارد که تنها از احراز هویت کاربر / پاس استفاده می کند. من نیاز به پیدا کردن راه برای یک کاربر اجرای این اسکریپت و آن را به API از طرف آنها دسترسی داشته باشید.
من به عنوان خوانده شده https://stackoverflow.com/questions/2283937/how-shouldi-i-ethically-approach -user-password-storage-for-later-plaintext-retrie، و من متقاعد شده ام که ذخیره یک رمز عبور یک ایده بد است (حتی اگر همه مرورگرهای وب آن را انجام دهند). با این حال، API بعید است که هرگز ابزار جدید احراز هویت ایجاد کند، بنابراین من گیر هستم.
چه باید بکنم؟ صبر کنید تا API که ممکن است هرگز تغییر نکند؟ تظاهرات را انجام دهید و رمز عبور را ذخیره کنید؟ چیز دیگری؟
آیا مشترک است که گذر کلمه عبور متن ساده و استفاده از آنها برای ورود به وب سایت های دیگر؟
می توانم بگویم که شما حق دارید که پارانوئید باشد. من می توانم تا حدودی با شما در مورد استفاده از سایت های شناخته شده کمتر همدلی داشته باشم، هرچند این نقطه من با آن مخالف نیست- آنچه که شما در مورد آن صحبت می کنید، صرفا انحصاری نیست به سایت های با کیفیت پایین، کمتر شناخته شده جهان، و کلمه عبور را نمی توان به سادگی در متن ساده ذخیره کرد تا بتواند برای مهاجم برای آینده مفید باشد.
آنچه شما به آن اشاره می کنید اساسا نقص و نشت داده اطلاعات حساس / PII، یا اطلاعات شناسایی شخصی، در اینجا بیشتر بخوانید. یکی از جدیدترین نمونه های این اتفاق در مقیاس وسیع، نقص Equifax در سال 2017 بود.
من همچنین نحوهی که Equifax به مردم اجازه می دهد تا ببینند که آیا آنها به خطر افتاده اند، بسیار وحشتناک هستند. برای این که Equifax به شما کمک کند تا تعیین کنید که آیا اطلاعات شما در واقع نشت کرده است یا خیر، به شما نشان داده شده است، آنها نیاز دارند که نام خانوادگی خود را به عنوان آخرین 6 رقمی شماره امنیت اجتماعی تان وارد کنید. من این را می خواهم.
منابع مانند آیا من پوند؟ توسط محقق امنیتی Troy Hunt که فهرست ایمیل های شناخته شده ایمیل را بررسی می کند تا شما را در تعیین اینکه آیا ایمیل شما در حین نقض نشت کرده است شناسایی کرده است.
و به آخرین نکته شما، این وب سایت های مخرب وجود دارد و کاملا رایج هستند. تعدادی از روش ها برای اینکه چگونه مهاجمان می توانند مردم را به بازدید از سایت ها و افشای اطلاعات خود متمایل کنند، وجود دارد اما طرح کلی این به عنوان فیشینگ شناخته شده است . بیشتر در مورد این موضوع می توان گفت، اما این می تواند در قالب وب سایت های doppleganger، وب سایت های جعلی خریداری شده و تبلیغات گسترده ای باشد و حتی می تواند به وب سایت های راه اندازی نشانه های رمزنگاری معروف و غیره گسترش دهد.
امیدوارم از بالا به شما کمک کند اهمیت چرخاندن کلمات عبور، استفاده مجدد از گذرواژهها، و دائما هوشیاری آنلاین!
