من أفضل ممارسات الأمان أن تُظهر نماذج الإدخال "كلمة مرور غير صحيحة" بدلاً من إظهار "كلمة مرور غير صحيحة". اسم المستخدمأو كلمة المرور." وهذا ما يسمى "أفضل الممارسات" سيئة.
على سبيل المثال، يتبع Stripe وGitHub هذه الممارسة.
والفكرة هي أنه إذا كان المهاجم يعرف اسم مستخدم، فيمكنه استهداف هذا الحساب باستخدام حقن SQL، أو القوة الغاشمة، أو التصيد الاحتيالي، وما إلى ذلك.
ولكن هنا تكمن المشكلة.
كل ما على المتسلل فعله هو التسجيل لمعرفة ما إذا كان اسم المستخدم صالحًا أم لا. لماذا إذن تهتم بتشويش نموذج تسجيل الدخول؟ سيتم إيقاف المتسلل الأغبى والكسول فقط من خلال رسالة "اسم المستخدم أو كلمة المرور غير صحيحة". لا تحصل على أي أمان، لكن المستخدمين يفقدون الوضوح.
يحتوي Stripe على حقل reCAPTCHA لمنع البرامج النصية البدائية من مهاجمة نموذج تسجيل الدخول الخاص بهم. ومع ذلك، فقد تم اختراقه عدة مرات (،) وربما لن يكون مثاليًا أبدًا. حتى لو كان اختبار reCAPTCHA مثاليًا، فيمكن للمتسلل التحقق يدويًا من أسماء المستخدمين عند محاولة التسجيل ثم أتمتة الهجوم على صفحة تسجيل الدخول.
لمنع المهاجمين من معرفة ما إذا كان الحساب موجودًا أم لا، يجب أن يقبل نموذج تسجيل الدخول الخاص بك عنوان البريد الإلكتروني فقط وألا يُظهر ما إذا كان التسجيل ناجحًا أم لا في الواجهة. وبدلاً من ذلك، سيتلقى المستخدم رسالة بريد إلكتروني لإعلامه بأنه مسجل. الطريقة الوحيدة التي يعرف بها المهاجم ما إذا كان الحساب موجودًا هي عن طريق الوصول إلى البريد الإلكتروني للهدف.
رسالة "اسم المستخدم أو كلمة المرور الخاطئة" هي هراء كامل.
المشاكل المحتملة التي تؤدي إلى مثل هذه الأخطاء:
إذا كانت حالة العميل غير متصل بالإنترنت:
في معظم الحالات، تتعلق المشكلة بإدخال غير صحيح لتسجيل الدخول أو كلمة المرور الخاصة بالعميل ويتم حلها عن طريق إعادة كتابة تسجيل الدخول وكلمة المرور. إذا قام العميل بالفعل بإدخال كل شيء بشكل صحيح، فيجب إعادة إنشاء الاتصال. إذا لم يكن العميل متأكدًا من صحة كلمة المرور التي تم إدخالها، فيمكنه التحقق من حسابه الشخصي (PA)، والذي نوصي العميل بمحاولة تسجيل الدخول إلى جهاز الكمبيوتر الخاص به. إذا قال العميل أنه قام بتسجيل الدخول بنجاح، فيجب عليك أن تسأل ما إذا كان قد أدخل معلومات تسجيل الدخول وكلمة المرور الخاصة به. يحدث أن يقوم العميل تلقائيًا بتسجيل الدخول إلى الحساب الشخصي عند فتح المتصفح. إذا لم تنجح المحاولة وتلقى العميل رسالة تفيد بتسجيل دخول أو كلمة مرور غير صحيحة، فإننا نقوم بإنشاء طلب بنوع "نسيت كلمة المرور" ونصدر للعميل كلمة مرور مؤقتة، يقوم العميل من خلالها بتسجيل الدخول إلى خادم الإحصائيات وتعيين نفسه كلمة مرور دائمة. ستظهر المعلومات حول تغيير كلمة المرور بنجاح أو فشل كتعليق في التطبيق الذي تم إنشاؤه.
إذا، عند النقر على أيقونة VPN، يحدث الاتصال على الفور، أي. لا تظهر نافذة إدخال تسجيل الدخول وكلمة المرور الخاصة بك، تحتاج إلى النقر بزر الماوس الأيمن على أيقونة VPN في مجلد "اتصالات الشبكة"، وتحديد "خصائص" - علامة التبويب "الإعدادات" - حدد المربع "طلب الاسم وكلمة المرور والشهادة وما إلى ذلك". إذا لم تتمكن من تحديد المربع، فستحتاج إلى إلغاء تحديد "استخدام اسم تسجيل الدخول وكلمة المرور تلقائيًا من Windows:" في علامة التبويب "الأمان".
غالبًا ما يُطلق على أيقونة اتصال VPN اسم "الخط المباشر"، ويمكنك العثور عليها على النحو التالي:
في نظام التشغيل Windows XP:
1. ابدأ - الإعدادات - اتصالات الشبكة
2. ابدأ - لوحة التحكم - اتصالات الشبكة
3. جهاز الكمبيوتر - لوحة التحكم - اتصالات الشبكة
4. جهاز الكمبيوتر - جوار الشبكة (يسار) - إظهار اتصالات الشبكة (يسار)
5. ابدأ – كافة البرامج – الملحقات – الاتصالات – اتصالات الشبكة
في نظام التشغيل Windows 2000:
1. ابدأ - الإعدادات - الشبكة والوصول عن بعد
2. ابدأ - لوحة التحكم - الشبكة والوصول عن بعد
في نظام التشغيل Windows Vista:
ابدأ - لوحة التحكم - مركز الشبكة - إدارة اتصالات الشبكة (على الجانب الأيسر من النافذة)
على ويندوز 7:
ابدأ - لوحة التحكم - الشبكة والإنترنت - مركز الشبكة والمشاركة - تغيير إعدادات المحول (على الجانب الأيسر من النافذة)
إذا كانت حالة العميل متصلة بالإنترنت:
تحقق مما هو مكتوب في عمود IP المؤطر. للقيام بذلك، تحتاج إلى تحريك المؤشر فوق علامة الاتصال بالإنترنت في حالة الاتصال بالإنترنت.
إذا كان عنوان IP المؤطر: ----- (لا يوجد عنوان IP)، فإننا نبلغ العميل أن الجلسة السابقة لم تنته بشكل صحيح وبعد 15 دقيقة، ستنتهي الجلسة بشكل صحيح وسيعمل كل شيء (قد يحدث هذا بسبب الإجراءات غير الصحيحة التي يتخذها العميل عند قطع الاتصال بالإنترنت، وإعادة تشغيل خوادم VPN الخاصة بنا).
إذا كان عنوان IP المؤطر: (هو) - نوضح ما إذا كان العميل يستخدم أي جهاز نشط (نظرًا لأنه يمكن إنشاء اتصال VPN بواسطة جهاز التوجيه نفسه). تحقق من العنصر "تاريخ تغييرات المنفذ"، إذا كانت هناك سجلات حديثة للتغييرات في عنوان التبديل والمنفذ، فإننا نتحقق من بيانات العميل (الاسم الكامل والعنوان)، وإذا كان كل شيء صحيحًا، فإننا نعلق أيضًا على إمكانية حدوث ذلك سرقة كلمة المرور. نوضح أيضًا ما إذا كان العميل قد أعطى تسجيل الدخول وكلمة المرور الخاصة به لأصدقائه ومعارفه وجيرانه، لأنه في بعض الحالات، لا توجد سرقة لكلمة المرور في حد ذاتها، وينسى العميل ببساطة أنه أعطى اسم المستخدم وكلمة المرور الخاصة به لشخص ما. إذا تم التأكد من حقيقة السرقة، فإننا نقوم بإبلاغ العميل بضرورة تغيير كلمة المرور، أو إذا لم يتمكن العميل من القيام بذلك بمفرده، فإننا نقوم بذلك من خلال مكتب المساعدة وكلمة مرور مؤقتة حسب التعليمات.
إذا كانت السرقة موجودة:نقوم بتحويل المكالمة إلى TP2، حيث يقوم المهندسون بفحص السرقة، وإذا لزم الأمر، إعادة ضبط الجلسة. يشار إلى الحل التفصيلي للمشكلة في "التشخيص".
مخطط انسيابي لمعالجة طلبات العملاء للخطأ 691
حتى أثناء عملية تسجيل الدخول إلى لوحة إدارة جهاز التوجيه، يمكنك مواجهة عدد من المشكلات، على سبيل المثال، أحدها هو كلمة مرور جهاز التوجيه الخاطئة. دعونا نتعرف على سبب حدوث هذا الموقف وكيف يمكنك القضاء عليه بنفسك. سيكون من المفيد لك أيضًا قراءة هذا المقال:
للوصول إلى لوحة إدارة جهاز التوجيه، ستحتاج إلى إدخال معلومات تسجيل الدخول وكلمة المرور القياسية، عادةً ما تكون هذه ( المشرف المشرف)، والذي يتم الإشارة إليه على جميع أجهزة التوجيه. ولكن يحدث أنه عندما تفتح نافذة متصفح وتحاول تسجيل الدخول إلى لوحة الإدارة الخاصة بجهاز التوجيه، فإنه يخبرك بكلمة مرور خاطئة. يمكن أن يحدث هذا نتيجة لعدد من الأسباب.
أشر في النافذة المشرف المشرفويكتب " اسم المستخدم او كلمة المرور التي ادخلتها خاطئه". الآن دعونا نتعرف على السبب:
حل للمشكلة:
على الأجهزة زيكسيل: العنوان 192.168.1.1( my.keenetic.net). تسجيل الدخول - المشرف. وكلمة المرور هي 1234. قيد التشغيل ZyXEL البداية الحركيةلم يتم توفير المعلومات. وبشكل افتراضي، إعدادات جهاز التوجيه غير محمية. سيطالبك جهاز التوجيه نفسه بإعداد كلمة مرور.
أجهزة التوجيه لينكسيس: العنوان - 192.168.1.1. اسم المستخدم وكلمة المرور - المشرف. ولا يشيرون إلى هذه المعلومات على الجهاز؛ وعلى الأرجح يريدون من المستخدمين تكوينها باستخدام القرص.