 | Эта страница содержит информацию, которая может быть устаревшей. В частности, некоторые из упомянутых алгоритмов шифрования и аутентификации больше не считаются безопасными. При создании «подтвержденной личности» используйте только те криптографические алгоритмы, которые считаются надежными. Обновлено в феврале 2014 г. |
Идентификационные данные пользователя обеспечивают защиту от взлома аккаунта
- По Thatcher131 , 14 мая , 2007
После сообщения на прошлой неделе о пяти учетных записях администраторов, которые были захвачены путем взлома их паролей, Mangojuice (с помощью нескольких других) предложил метод, который редакторы могут использовать, чтобы идентифицировать себя как первоначального владельца учетной записи, чтобы восстановить контроль над похищенным учетная запись. На момент написания этой статьи около 300 пользователей подтвердили свою личность с помощью этого метода.
Что это такое?
Шаблон. Идентификационные данные пользователя позволяют редакторам позже доказать, что именно они контролировали их учетную запись в день размещения шаблона. Это делается путем размещения публичной приверженности секретной строке на странице пользователя, чтобы в маловероятном случае взлома их учетной записи они могли убедить кого-то еще в том, что они являются реальным лицом, стоящим за именем пользователя, даже если пароль был изменен угонщиком.
Как это устроено
Редактор выбирает секретную строку ; это группа слов и цифр или фраза, известная только владельцу счета. Секретная строка может быть любой длины; хорошая строка будет содержать не менее 15 символов и включать уникальную информацию, которую может знать только владелец учетной записи, например номер телефона или личный адрес электронной почты (не адрес, связанный с вашей учетной записью в Википедии). Затем секретная строка обрабатывается с помощью криптографической хеш-функции, такой как SHA-2 (SHA-512, SHA-384, ...) или SHA-3, для генерации уникального значения хеш-функции или обязательства.. Обязательство размещается где-то в пользовательском пространстве редактора. Если учетная запись взломана или взломана, редактор предоставляет секретную строку доверенному администратору или разработчику, который проверяет, соответствует ли секретная строка значению обязательства. Поскольку хэш-функция является «односторонней», невозможно произвести обратный расчет, чтобы найти строковое значение, соответствующее заданному хэш-значению, и вероятность того, что случайная строка имеет такое же хэш-значение ( коллизия хэша ), ничтожна. Следовательно, знание строки, которая производит данное значение, является очень веским доказательством того, что человек, предоставляющий строку, является лицом, первоначально опубликовавшим ее. После проверки строки разработчики могут сбросить пароль, чтобы позволить первоначальному владельцу учетной записи восстановить контроль.
В качестве альтернативы пользователь может создать пару ключей PGP и разместить открытый ключ на своей пользовательской странице, а затем подтвердить свою личность, используя закрытый ключ для подписи любого сообщения, которое претендент хочет подписать. Однако это требует большей технической компетенции и необходимо обеспечить надежную защиту файла закрытого ключа (это уже не простое сообщение, хотя, конечно, его можно зашифровать с помощью парольной фразы).
Пример
Например, Пользователь: DonaldDuck1 выбирает «секретную строку», которая включает имена и дату рождения его племянников. Его строка,
Хьюи, Дьюи и Луи, 17 октября 1937 года.
Однако, если Дональд Дак1 упомянул свою семью в Википедии, об этом можно было бы слишком легко догадаться. Полезным вариантом было бы
Хьюи Октябрь Дьюи 17 Луи 1937. Яичный салат - это убийство!
Использование этого веб-сайта для расчета хеш-значения SHA-512 дает
b43f3e39de3f501217144badfc64687a2f516d5d1205d89e51c003715f8609adfbd085afcac3839f7d1008d185e4ab0040edecf62671dbf66a825823e7d3ad42
Пользователь: DonaldDuck1 затем поместил бы хеш-значение на свою пользовательскую страницу, используя Template: User Commit identity, например:
{{личность, подтвержденная пользователем | b43f3e39de3f501217144badfc64687a2f516d5d1205d89e51c003715f8609adfbd085afcac3839f7d1008d185e4ab0040edecf62671dbf66a825823edecf62671dbf66a825823e7d-512} SHA-512}
что выглядит так:
| Подтвержденная идентичность : b43f3e39de3f501217144badfc64687a2f516d5d1205d89e51c003715f8609adfbd085afcac3839f7d1008d185e4ab0040edecf62671dbf66a825823e7d3ad -life обязательство этого пользователя в отношении реальной жизни SHA- 42 . |
В случае взлома или взлома учетной записи DonaldDuck1 , он может отправить эту строку по электронной почте в офис Wikimedia Foundation. Если хеш-значение строки совпадает с хеш-значением, ранее опубликованным на его странице пользователя, он докажет, что является законным владельцем учетной записи.
Примечания
- Не теряйте свою секретную строку.
- Хотя по умолчанию в шаблоне используется SHA-512, можно использовать любую криптографическую хеш-функцию . См. Этот веб-сайт [ мертвая ссылка ] для получения информации об альтернативах.
- Трудно угадать вашу секретную строку на основе того, что вы публично рассказали о себе. Например, если вы используете свое настоящее имя в Википедии, ваш адрес или номер телефона можно угадать, поэтому обязательно сделайте часть своей строки нераспознаваемым секретом.
- Это не заменяет использование надежного пароля для вашей учетной записи. Лучше вообще никогда не красть вашу учетную запись.
Ресурсы
- Вычислить некоторые общие хеш-значения
- Вычислить хеш-значение SHA-3
- На этом веб-сайте есть несколько альтернативных хэш-функций [ мертвая ссылка ]
- Совершенная идентичность - Academic охват журнала - WikiWorld - Особенность и админы
- Арбитраж