Вход в личный кабинет пользователя byfly авторизация: Авторизация

Содержание

Использование сетей Wi-Fi, требующих предварительной аутентификации, на устройстве iPhone или iPad

Узнайте, как использовать сети Wi-Fi, требующие предварительной аутентификации, которые являются общедоступными подписными или платными сетями.

Что такое сеть, требующая предварительной аутентификации?

Такие сети еще называют «подписными» или «точками доступа Wi-Fi». Часто эти сети Wi-Fi действуют в кафе, интернет-кафе, гостиницах, аэропортах и других общественных местах. В некоторых странах и регионах операторы сотовой связи бесплатно предоставляют и обслуживают подписные сети.

Подключение к подписной сети Wi-Fi

  1. Нажмите «Настройки» > Wi-Fi.
  2. Нажмите имя сети и подождите, пока откроется экран входа. Также можно нажать кнопку «Подробнее»  рядом с нужной сетью, а затем нажать «Подкл. к этой сети».
  3. Если появится запрос, введите имя пользователя и пароль, введите адрес электронной почты или примите общие положения и условия.

После выполнения входа вы сможете получить доступ к Интернету. При использовании сетей Wi-Fi могут взиматься сборы и другие платежи. Чтобы получить дополнительную информацию, обратитесь к оператору связи.

Если подключение к сети отменяется до входа в сеть

При нажатии кнопки «Отмена» на экране входа устройство отключается от подписной сети Wi-Fi.

Если вы подключились к сети с экрана Wi-Fi, нажав кнопку «Подробнее» , появится сообщение о том, что сеть не подключена к Интернету. Выберите один из приведенных ниже вариантов.

  • «Исп. без Интернета». При выборе этого варианта закрывается экран приветствия, отключается автоматический вход для сети. Устройство остается зарегистрированным в сети, благодаря чему доступны другие способы использования сетевых ресурсов.
  • «Другая сеть». При выборе этого варианта закрывается экран приветствия, отменяется регистрация устройства в сети. Снова открывается экран настроек Wi-Fi, где можно выбрать другую сеть.
  • «Отмена». При выборе этого варианта произойдет возврат к экрану приветствия.

Если не удается автоматически подключиться к сети

Устройство iPhone или iPad может запомнить подписную сеть Wi-Fi и необходимую информацию для входа, чтобы автоматически подключаться к ней при попадании в зону действия.

Если устройство не подключается автоматически к подписной сети Wi-Fi, выполните следующие действия:

  1. Нажмите «Настройки» > Wi-Fi.
  2. Нажмите кнопку «Подробнее»  рядом с нужной сетью.
  3. Убедитесь, что включена функция автоподключения к сети.

Если не требуется подключаться автоматически, отключите параметр «Автоподключение». Чтобы при следующем подключении к сети появился экран приветствия, отключите параметр «Автовход».

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: 

Личный кабинет пользователя Байфлай

Байфлай – это официальный представитель торговой марки «Белтелеком». Он является ведущим оператором в Беларуси, который специализируется на услугах электросвязи. Главная задача компании заключается в предоставлении самых лучших условий для получения качественного доступа к сети интернет. Для того, чтобы пользоваться предоставляемыми услугами в полной мере, необходимо использовать личный кабинет пользователя Байфлай. Это открывает массу возможностей, в частности, клиенты смогут оперативно получать информацию о тарифах и смогут задавать свои вопросы и получать на них ответы от сотрудников-консультантов компании.

Подключение клиента к сервису

Для того, чтобы воспользоваться всеми преимуществами уникального сервиса, в первую очередь нужно получить полный доступ. Это значит, что для начала пользователь подает заявку на подключение интернета, после проводятся монтажные работы.

Для получения информации относительно того, куда стоит обратиться за помощью, требуется сначала воспользоваться вкладкой «Куда обратиться». Там будет указан подробный список всех отделений по городам, чтобы пользователь смог выбрать для себя наиболее подходящий вариант.

Как только человеку подключат интернет, он подпишет договор с компанией Байфлай, сразу же предоставляется логин и пароль. Их можно использовать для авторизации в личном кабинете пользователя. Байфлай среди своих клиентов пользуется огромным спросом, поскольку всегда предлагает сотрудничать на самых выгодных условиях.

Кабинет пользователя

Авторизация нового пользователя

Как только данные для входа были получены, можно смело приступать к следующей стадии. Для авторизации необходимо сначала посетить официальный сайт и отыскать там кабинет пользователя.

Кабинет на сайте Байфлай

Перед клиентом появляется два поля, куда нужно ввести логин и пароль. Эти данные можно прочесть в договоре между клиентом и компанией. Если при введении данных будет совершена ошибка, то система уведомит об этом пользователя и отметит красным цветом.

Вход

Как только логин и пароль к личному кабинету пользователя Байфлай будут указаны верно, останется только нажать на кнопку «Войти». После непродолжительной загрузки человек сможет пользоваться всеми преимуществами своего личного кабинета.

Авторизация по логину

Если был утерян договор и забыт пароль, то его можно восстановить при обращении в абонентский отдел компании Байфлай.

Восстановление пароля

Авторизация по номеру карты выглядит таким образом:

Авторизация по номеру карты

Преимущества и особенности функционирования личного кабинета

Как только пользователь впервые зайдет в свой личный кабинет, перед ним сразу же появится информация о стоянии счета. Самое главное, что можно узнать из первой страницы:

  • баланс на данный момент;
  • используемый логин;
  • информация об используемом тарифе.

Конечно, в момент применения функций и возможностей личного кабинета пользователя на сайте Байфлай, потребуется часто переходить с одной категории на другую. По этой причине, чтобы в любой момент можно было вернуться на информационную страницу, а также получить необходимые данные, потребуется перейти по ссылке «Состояние счета».

Основное меню обладает всеми необходимыми вкладками для удобного поиска информации. Например, если зайти в «Тарифы и услуги», то можно ознакомиться со всеми популярными предложениями для клиентов. Также они смогут подробно анализировать каждый вариант, сравнивая плюсы и минусы, чтобы определить для себя наиболее выгодный тариф.

При этом клиенту предоставляется подробная информация относительно того, как ему сменить имеющийся тариф. Клиент, таким образом, получает полный список всех предоставляемых услуг с их особенностями и возможностью в любой момент отказаться от неподходящих условий. Для этого нужно всего лишь найти и нажать на кнопку «удалить» возле соответствующей услуги.

Также там можно обнаружить вкладку «Платежи», чтобы получить подробную выписку каждой оплаты услуг. В случае необходимости имеется возможность распечатать квитанции. Особенно выгодно пользоваться услугами компании по той причине, что для оплаты можно выбирать любой способ.

Способы оплаты

Над всеми вкладками располагаются номера договора и приложения, с которыми клиент в любой момент может ознакомиться. В том же поле располагается подробная информация о самом клиенте. К ней можно отнести следующие данные:

  • фамилия;
  • имя;
  • отчество;
  • данные для связи с пользователем;
  • адрес проживания.

С левой стороны можно обнаружить сообщения от провайдера. Именно там располагается вся необходимая информация о новинках и последних внедрениях «Байфлай». Там еще можно обнаружить возможность для настроек личного кабинета, чтобы сделать его максимально удобным для пользователя.

Важно учитывать, что если клиенту не нравится использовать пароль, который ему выдали при подключении к интернету, то его можно будет изменить при помощи личного кабинета. Для этого достаточно только выбрать соответствующий раздел в личном кабинете и дважды ввести новый пароль, чтобы система убедилась в его правильности.

Система личного кабинета обязательно уведомит клиента относительно того, насколько его комбинация будет защищенной. Рекомендуется использовать цифры, буквы, разные регистры, а также как можно больше символов.

Услуга обещанный платеж

Личный кабинет пользователя Байфлай предоставляет возможность для осуществления всевозможных услуг, а также дает полный спектр информации относительно последних проведенных платежей.

Так, например, услуга Обещанный платеж особенно удобна в том случае, если клиенту срочно требуется доступ к интернету, а нельзя произвести оплату в данный момент. При этом, обещанный платеж действует аж трое суток. В течение этого периода пользователь обязуется совершить реальный платеж, сумма которого должна быть не меньше обещанного.

Активация карты

У пользователя услуг Байфлай имеется возможность активировать карту для экспресс-оплаты. Для этого необходимо в специальные поля ввести PIN1, который является кодом активации, а также PIN2. После этого останется только нажать на кнопку «Применить». В этой же самой позиции у пользователя имеется возможность просмотреть историю зачисления платежей. Данные предоставляются за девяносто дней и не больше. По истечению срока информация с базы данных подчищается.

Просмотр статистики

Пользователи личного кабинета также могут воспользоваться информацией относительно подробной статистики, что касается предоставляемых услуг. В определенной вкладке клиенту открывается возможность ознакомиться со счетчиками абонента и еще разрешается просмотреть статистику по соединениям. Для того, чтобы ознакомиться с определенной информацией, достаточно будет только указать определенный период, а также ввести адрес электронного мыла, куда будет отправлено сообщение с необходимыми данными.

Заказ услуг

Пакет услуг

Последняя из вкладок в списке, располагающаяся в главном меню ЛК, посвящается исключительно для того, чтобы заказывать услуги. Важно учитывать, что для использования этой услуги потребуется иметь положительный баланс на счете. Среди наиболее популярных предложений можно смело выделить «Виртуальный телефонный номер» и «Smart Zala».

Также вы можете посетить личный кабинет Ликард, чтобы проверить баланс бонусов или получить другую полезную информацию.

Что такое единый вход (SSO) и как он работает?

Безопасность

К

  • Тайна Теравайнен

Что такое единый вход (SSO)?

Единый вход (SSO) — это служба аутентификации сеанса и пользователя, которая позволяет пользователю использовать один набор учетных данных для входа, например имя пользователя и пароль, для доступа к нескольким приложениям. SSO может использоваться предприятиями, малыми и средними организациями, а также отдельными лицами для упрощения управления несколькими учетными данными.

Единый вход позволяет пользователям входить в несколько приложений без необходимости запоминать пароль для каждого из них.

Как работает единый вход?

Единый вход — это механизм федеративного управления идентификацией. Использование такой системы иногда называют федерацией идентификации . Открытая авторизация (OAuth) — это платформа, которая позволяет использовать данные учетной записи конечного пользователя сторонними службами, такими как Facebook, без раскрытия пароля пользователя.

OAuth выступает в качестве посредника от имени конечного пользователя, предоставляя службе токен доступа, который разрешает совместное использование определенной информации об учетной записи. Когда пользователь пытается получить доступ к приложению от поставщика услуг, поставщик услуг отправляет запрос поставщику удостоверений для аутентификации. Затем поставщик услуг проверяет аутентификацию и регистрирует пользователя.

В базовой веб-службе единого входа модуль агента на сервере приложений извлекает определенные учетные данные для проверки подлинности для отдельного пользователя с выделенного сервера политик единого входа при проверке подлинности пользователя в репозитории пользователей, таком как каталог облегченного протокола доступа к каталогам. Служба аутентифицирует конечного пользователя для всех приложений, на которые ему предоставлены права, и устраняет будущие запросы пароля для отдельных приложений во время одного и того же сеанса.

Типы конфигураций SSO

Некоторые службы единого входа используют протоколы, такие как Kerberos или язык разметки утверждений безопасности (SAML):

  • В установке на основе Kerberos после предоставления учетных данных пользователя выдается билет на предоставление билетов (TGT). TGT извлекает сервисные билеты для других приложений, к которым пользователь хочет получить доступ, не запрашивая у пользователя повторный ввод учетных данных.
  • SAML — это стандарт расширяемого языка разметки, упрощающий обмен данными аутентификации и авторизации пользователей между защищенными доменами. Службы SSO на основе SAML включают в себя связь между пользователем, поставщиком удостоверений, который поддерживает каталог пользователей, и поставщиком услуг.
  • SSO на основе смарт-карты просит конечного пользователя использовать карту, содержащую учетные данные для входа, для первого входа в систему. После использования карты пользователю не нужно повторно вводить имя пользователя или пароль. На смарт-картах единого входа хранятся либо сертификаты, либо пароли.

Риски безопасности SSO

Хотя единый вход удобен для пользователей, он создает риски для безопасности предприятия. Злоумышленник, который получает контроль над учетными данными SSO пользователя, получает доступ ко всем приложениям, на которые у пользователя есть права, что увеличивает размер потенциального ущерба.

Во избежание злонамеренного доступа SSO следует сочетать с управлением идентификацией. Организации также могут использовать двухфакторную аутентификацию (2FA) или многофакторную аутентификацию с единым входом для повышения безопасности.

Социальная система единого входа

Google, LinkedIn, Apple, Twitter и Facebook предлагают популярные сервисы SSO, которые позволяют конечным пользователям входить в сторонние приложения, используя свои учетные данные для аутентификации в социальных сетях. Хотя система единого входа в социальных сетях удобна для пользователей, она может представлять угрозу безопасности, поскольку создает единую точку отказа, которую могут использовать злоумышленники.

Многие специалисты по безопасности рекомендуют конечным пользователям воздерживаться от использования социальных служб SSO, поскольку, как только злоумышленники получат контроль над учетными данными SSO пользователя, они смогут получить доступ ко всем другим приложениям, использующим те же учетные данные.

Единый вход для предприятий

Корпоративное программное обеспечение и службы единого входа (eSSO) — это менеджеры паролей с клиентскими и серверными компонентами, которые регистрируют пользователя в целевых приложениях путем воспроизведения учетных данных пользователя. Эти учетные данные почти всегда представляют собой имя пользователя и пароль. Целевые приложения не нужно модифицировать для работы с системой eSSO.

Преимущества и недостатки SSO

Преимущества единого входа включают следующее:

  • Пользователям необходимо запоминать и управлять меньшим количеством паролей и имен пользователей для каждого приложения.
  • Процесс входа в систему и использования приложений упрощен — нет необходимости повторно вводить пароли.
  • Вероятность фишинга снижена.
  • Службы ИТ-поддержки, скорее всего, получат меньше жалоб или проблем с паролями.

К недостаткам SSO относятся следующие:

  • Не учитываются определенные уровни безопасности, которые могут потребоваться для каждого входа в приложение.
  • Если доступность потеряна, пользователи блокируются во всех системах, подключенных к SSO.
  • Если неавторизованные пользователи получат доступ, они могут получить доступ к более чем одному приложению.

Поставщики системы единого входа

Различные поставщики предлагают продукты, услуги и функции SSO. К поставщикам системы единого входа относятся следующие:

  • Rippling позволяет пользователям входить в облачные приложения с нескольких устройств.
  • Avatier Identity Anywhere — это SSO для платформ на основе контейнеров Docker.
  • OneLogin от One Identity — это облачная платформа управления идентификацией и доступом, поддерживающая единый вход.
  • Okta — инструмент с функцией SSO. Okta также поддерживает 2FA и в основном используется предприятиями.

Примечание редактора: Эта статья была написана Тайной Теравайнен в 2020 году. Редакторы TechTarget отредактировали ее в 2022 году, чтобы сделать ее более удобной для читателей.

Последнее обновление: ноябрь 2022 г.


Продолжить чтение О едином входе (SSO)

  • Какие преимущества SSO в контакт-центрах?
  • Введение в лучшие практики AWS IAM
  • Тенденции IAM формируют будущее безопасности
  • Пошаговое руководство по созданию пользователя IAM в AWS
  • Средства управления идентификацией и доступом для защиты сетей

Копните глубже в управление идентификацией и доступом

  • Используйте эти 6 типов аутентификации пользователей для защиты сетей

    Автор: Кайл Джонсон

  • поставщик удостоверений

    Автор: Бен Луткевич

  • 6 постоянных проблем с безопасностью корпоративной аутентификации
  • 6 ключевых преимуществ управления идентификацией и доступом

    Автор: Шэрон Ши

Сеть


  • Планирование пропускной способности беспроводной сети и требования к ней

    При планировании потребностей в пропускной способности беспроводной сети подсчитайте общее количество конечных точек, отслеживайте использование пропускной способности приложения и учитывайте . ..


  • Стоят ли инвестиции в частные беспроводные сети?

    Частные беспроводные сети обеспечивают больший контроль над сетями, но подходят не для каждой организации. Вот что бы…


  • Новые коммутаторы Arista поддерживают 800GbE для гиперскейлеров

    Новые коммутаторы Arista предоставляют больше возможностей для предприятий и более высокие скорости для гиперскейлеров, требовательных к пропускной способности. Последний …

ИТ-директор


  • 10 факторов, которые изменят роль ИТ-директора в 2023 году

    Да, экономика является важным фактором в том, как ИТ-директора будут выполнять свою работу в следующем году. Инсайдеры указывают на девять других факторов, которые будут …


  • Федеральная торговая комиссия (FTC) продлевает полномочия по обеспечению соблюдения антимонопольного законодательства на 2023 год

    Ожидается, что крупные антимонопольные дела будут разыграны в 2023 году, пока федеральные регулирующие органы рассматривают новые интерпретации существующих . ..


  • Как уменьшить цифровой углеродный след ИТ

    Цифровые технологии имеют скрытые экологические издержки, которые слишком немногие лидеры имеют в виду. Узнайте, какие технологии имеют …

Корпоративный настольный компьютер


  • Рынок корпоративных конечных устройств приближается к 2023 году

    Современные корпоративные организации могут выбирать из множества вариантов на рынке конечных устройств. Узнайте о некоторых основных …


  • Как контролировать файлы Windows и какие инструменты использовать

    Мониторинг файлов в системах Windows имеет решающее значение для обнаружения подозрительных действий, но существует так много файлов и папок, которые нужно хранить…


  • Как Microsoft Loop повлияет на службу Microsoft 365

    Хотя Microsoft Loop еще не является общедоступным, Microsoft опубликовала подробную информацию о том, как Loop может соединять пользователей и проекты. ..

Облачные вычисления


  • 6 разработчиков вариантов PaaS с открытым исходным кодом, о которых следует знать в 2023 году

    PaaS с открытым исходным кодом — хороший вариант для разработчиков, которым нужен контроль над хостингом приложений и упрощенное развертывание приложений, но не…


  • 10 лучших провайдеров PaaS 2023 года и что они вам предлагают

    PaaS — хороший вариант для разработчиков, которым нужен контроль над хостингом приложений и упрощенное развертывание приложений, но не все PaaS …


  • Интерпретация и применение рекомендаций AWS Compute Optimizer

    Трудно найти правильный баланс между производительностью, доступностью и стоимостью. Узнайте, как включить и применить AWS Compute…

ComputerWeekly.com


  • Топ-10 ИТ-историй финансовых услуг 2022 года

    Представляем вашему вниманию 10 лучших ИТ-статей журнала Computer Weekly за 2022 год, посвященных финансовым услугам, в которых рассматриваются движения и изменения, произошедшие за последний год


  • 10 лучших интервью ИТ-лидеров 2022 года

    Computer Weekly беседует с большим количеством лидеров ИТ, чем любое другое издание, поэтому мы можем поделиться своими мыслями о последних стратегиях и . ..


  • 10 лучших ИТ-историй стран Бенилюкса 2022 года

    Вот 10 лучших статей журнала Computer Weekly для стран Бенилюкса за 2022 год

Рекомендации по проверке подлинности учетных записей и управлению паролями

Примечание редактора . В этом посте представлены обновленные рекомендации, в том числе последние из официальных документов Google Best Practices for Password Management для пользователей и разработчиков систем.

Управление учетными записями, аутентификация и управление паролями могут быть сложными. Часто управление учетными записями — это темный угол, который не является главным приоритетом для разработчиков или менеджеров по продуктам. Полученный опыт часто не соответствует ожиданиям некоторых ваших пользователей в отношении безопасности данных и взаимодействия с пользователем.

К счастью, Google Cloud предоставляет несколько инструментов, которые помогут вам принимать правильные решения в отношении создания, безопасного обращения и аутентификации учетных записей пользователей (в данном контексте — всех, кто идентифицирует себя в вашей системе — клиентов или внутренних пользователей). Независимо от того, отвечаете ли вы за веб-сайт, размещенный в Google Kubernetes Engine, за API на Apigee, за приложение, использующее Firebase, или за другой сервис с аутентифицированными пользователями, в этом посте изложены рекомендации, которым необходимо следовать, чтобы обеспечить безопасный, масштабируемый и удобный система аутентификации аккаунта.

1. Хешируйте эти пароли

Мое самое важное правило для управления учетными записями — безопасно хранить конфиденциальную информацию о пользователях, включая их пароль. Вы должны относиться к этим данным как к священным и обращаться с ними надлежащим образом.

Ни при каких обстоятельствах не храните открытые пароли. Вместо этого ваша служба должна хранить криптографически стойкий хэш пароля, который нельзя отменить, — созданный с помощью Argon2id или Scrypt. Хэш должен быть дополнен значением, уникальным для этих конкретных учетных данных для входа. Не используйте устаревшие технологии хеширования, такие как MD5, SHA1, и ни при каких обстоятельствах не используйте обратимое шифрование и не пытайтесь изобрести собственный алгоритм хеширования. Используйте перец, который не хранится в базе данных, для дополнительной защиты данных в случае взлома. Рассмотрите преимущества повторного хэширования пароля несколько раз.

Разработайте свою систему с расчетом на то, что в конечном итоге она будет скомпрометирована. Спросите себя: «Если бы моя база данных была эксфильтрирована сегодня, угрожала ли бы безопасность моих пользователей моей службе или другим службам, которыми они пользуются?» А также «Что мы можем сделать, чтобы уменьшить потенциальный ущерб в случае утечки?»

Еще одно замечание: если вы могли бы создать пароль пользователя в виде открытого текста в любое время, кроме как сразу после того, как он вам его предоставил, то это проблема с вашей реализацией.

Если в вашей системе требуется обнаружение почти повторяющихся паролей, например изменение «Пароля» на «pAssword1», сохраните хэши распространенных вариантов, которые вы хотите запретить, со всеми буквами, нормализованными и преобразованными в нижний регистр. Это можно сделать при создании пароля или при успешном входе в уже существующие учетные записи. Когда пользователь создает новый пароль, сгенерируйте варианты того же типа и сравните хэши с хэшами из предыдущих паролей. Используйте тот же уровень безопасности хэширования, что и с реальным паролем.

2. Разрешите использование сторонних поставщиков удостоверений, если это возможно

Сторонние поставщики удостоверений позволяют вам полагаться на доверенную внешнюю службу для проверки подлинности пользователя. Google, Facebook и Twitter являются широко используемыми провайдерами.

Вы можете внедрить внешних поставщиков удостоверений вместе с существующей внутренней системой аутентификации, используя такую ​​платформу, как Identity Platform. Платформа Identity имеет ряд преимуществ, в том числе более простое администрирование, меньшую поверхность атаки и многоплатформенный SDK. Мы коснемся других преимуществ в этом списке.

3. Разделите понятия идентификации пользователя и учетной записи пользователя

Ваши пользователи не являются адресом электронной почты. Это не номер телефона. Это даже не уникальное имя пользователя. Любой из этих факторов аутентификации должен быть изменяемым без изменения содержимого или личной информации (PII) в учетной записи. Ваши пользователи — это многомерная кульминация их уникальных, персонализированных данных и опыта работы с вашим сервисом, а не сумма их учетных данных. Хорошо спроектированная система управления пользователями имеет низкую связанность и высокую степень согласованности между различными частями профиля пользователя.

Разделение концепций учетной записи пользователя и учетных данных значительно упростит процесс внедрения сторонних поставщиков удостоверений, позволяя пользователям изменять свое имя пользователя и связывать несколько удостоверений с одной учетной записью пользователя. С практической точки зрения может быть полезно иметь абстрактный внутренний глобальный идентификатор для каждого пользователя и связывать его профиль и один или несколько наборов данных аутентификации с помощью этого идентификатора, а не накапливать все это в одной записи.

4. Разрешить связывание нескольких удостоверений с одной учетной записью пользователя

Пользователь, который аутентифицируется в вашей службе, используя свое имя пользователя и пароль на одной неделе, может выбрать вход через Google на следующей неделе, не понимая, что это может создать дублирующую учетную запись. Точно так же у пользователя может быть очень веская причина связать несколько адресов электронной почты с вашим сервисом. Если вы правильно разделили идентификацию пользователя и аутентификацию, процесс привязки нескольких методов аутентификации к одному пользователю будет простым.

Серверная часть должна учитывать возможность того, что пользователь частично или полностью пройдет процесс регистрации, прежде чем поймет, что использует новое стороннее удостоверение, не связанное с его существующей учетной записью в вашей системе. Этого проще всего добиться, попросив пользователя предоставить общие идентификационные данные, такие как адрес электронной почты, телефон или имя пользователя. Если эти данные соответствуют существующему пользователю в вашей системе, потребуйте от него также пройти аутентификацию у известного поставщика удостоверений и связать новый идентификатор со своей существующей учетной записью.

5. Не блокируйте длинные и сложные пароли

NIST публикует рекомендации по сложности и надежности паролей. Поскольку вы используете (или очень скоро будете) использовать надежный криптографический хеш для хранения паролей, многие проблемы будут решены для вас. Хэши всегда будут давать вывод фиксированной длины независимо от длины ввода, поэтому ваши пользователи должны иметь возможность использовать пароли любой длины. Если вам необходимо ограничить длину пароля, делайте это исходя из ограничений вашей инфраструктуры; часто это вопрос использования памяти (память, используемая для операции входа в систему * потенциальные одновременные входы в систему на машину) или, что более вероятно, — максимальный размер POST, допустимый вашими серверами. Мы говорим о цифрах от сотен КБ до более 1 МБ. Серьезно. Ваше приложение уже должно быть защищено, чтобы предотвратить злоупотребление большими входными данными. Это не создает новых возможностей для злоупотреблений, если вы используете элементы управления для предотвращения заполнения учетных данных и как можно скорее хэшируете ввод, чтобы освободить память.

Ваши хешированные пароли, скорее всего, уже состоят из небольшого набора символов ASCII. Если нет, вы можете легко преобразовать двоичный хэш в Base64. Имея это в виду, вы должны разрешить своим пользователям использовать в своих паролях буквально любые символы, которые они пожелают. Если кому-то нужен пароль, состоящий из клингонских, эмодзи и символов ASCII с пробелами на обоих концах, у вас не должно быть технических причин для отказа. Просто не забудьте выполнить нормализацию Unicode, чтобы обеспечить кросс-платформенную совместимость. Дополнительную информацию о Unicode и поддерживаемых символах в паролях см. в техническом документе для разработчиков систем (PDF).

Любой пользователь, пытающийся использовать экстремальный пароль, вероятно, следует рекомендациям по паролю (PDF), включая использование диспетчера паролей, который позволяет вводить сложные пароли даже на ограниченных клавиатурах мобильных устройств. Если пользователь может ввести строку в первую очередь (т. е. спецификация HTML для ввода пароля запрещает перевод строки и возврат каретки), пароль должен быть приемлемым.

6. Не вводите необоснованных правил для имен пользователей

Для сайта или службы вполне разумно требовать имена пользователей длиннее двух или трех символов, блокировать скрытые символы и не допускать пробелов в начале и конце имени пользователя. Однако некоторые сайты перебарщивают с такими требованиями, как минимальная длина в восемь символов или блокировка любых символов, кроме 7-битных букв и цифр ASCII.

Сайт с жесткими ограничениями на имена пользователей может предлагать разработчикам некоторые короткие пути, но это происходит за счет пользователей, а крайние случаи могут отпугнуть некоторых пользователей.

В некоторых случаях лучше всего назначить имена пользователей. Если это относится к вашей службе, убедитесь, что назначенное имя пользователя удобно для пользователя, поскольку им необходимо вспомнить и сообщить его. Буквенно-цифровые генерируемые идентификаторы должны избегать визуально неоднозначных символов, таких как «Il1O0». Вам также рекомендуется выполнить сканирование по словарю любой случайно сгенерированной строки, чтобы убедиться, что в имени пользователя нет непреднамеренных сообщений. Эти же рекомендации относятся и к автоматически сгенерированным паролям.

7. Подтвердите личность пользователя

Если вы запрашиваете у пользователя контактную информацию, вам следует подтвердить этот контакт как можно скорее. Отправьте код подтверждения или ссылку на адрес электронной почты или номер телефона. В противном случае пользователи могут сделать опечатку в своей контактной информации, а затем потратить значительное время на использование вашего сервиса только для того, чтобы обнаружить, что нет учетной записи, соответствующей их информации, при следующей попытке входа в систему. Эти учетные записи часто теряются и их невозможно восстановить без ручного вмешательства. Что еще хуже, контактная информация может принадлежать кому-то другому, что передает полный контроль над учетной записью третьему лицу.

8. Разрешить пользователям изменять свое имя пользователя

Устаревшие системы или любая платформа, предоставляющая учетные записи электронной почты, на удивление часто не позволяют пользователям изменять свое имя пользователя. Есть очень веские причины не выпускать автоматически имена пользователей для повторного использования, но у постоянных пользователей вашей системы в конечном итоге появятся веские причины использовать другое имя пользователя, и они, вероятно, не захотят создавать новую учетную запись.

Вы можете удовлетворить желание своих пользователей изменить свои имена пользователей, разрешив псевдонимы и позволив пользователям выбирать основной псевдоним. Вы можете применять любые необходимые вам бизнес-правила поверх этой функциональности. Некоторые организации могут ограничивать количество изменений имени пользователя в год или запрещать пользователю отображать или связываться с ним через что-либо, кроме основного имени пользователя. Поставщикам адресов электронной почты рекомендуется никогда не выдавать адреса электронной почты повторно, но они могут использовать псевдоним старого адреса электронной почты для нового. Прогрессивный поставщик адресов электронной почты может даже позволить пользователям использовать собственное доменное имя и иметь любой адрес, который они пожелают.

Если вы работаете с устаревшей архитектурой, может быть очень сложно выполнить эту передовую практику. Даже у таких компаний, как Google, есть технические препятствия, которые делают это сложнее, чем может показаться. При проектировании новых систем приложите все усилия, чтобы разделить концепцию удостоверения пользователя и учетной записи пользователя и разрешить связывание нескольких удостоверений с одной учетной записью пользователя, и это будет гораздо меньшей проблемой. Независимо от того, работаете ли вы над существующим или новым кодом, выберите правильные правила для своей организации, уделяя особое внимание тому, чтобы ваши пользователи могли расти и меняться с течением времени.

9. Позвольте вашим пользователям удалять свои учетные записи

Поразительное количество служб не имеет средств самообслуживания, позволяющих пользователю удалить свою учетную запись и связанную с ней личную информацию. В зависимости от характера вашего сервиса это может включать или не включать общедоступный контент, который они создали, например публикации и загрузки. У пользователя есть ряд веских причин навсегда закрыть учетную запись и удалить всю свою личную информацию. Эти проблемы должны быть сбалансированы с вашим пользовательским интерфейсом, безопасностью и требованиями соответствия. Многие, если не большинство систем, работают под каким-либо нормативным контролем (таким как PCI или GDPR), который предоставляет конкретные рекомендации по хранению данных, по крайней мере, для некоторых пользовательских данных. Распространенное решение, позволяющее избежать проблем с соблюдением требований и ограничить возможность утечки данных, — позволить пользователям запланировать автоматическое удаление своей учетной записи в будущем.

В некоторых случаях вы можете быть обязаны по закону выполнить запрос пользователя на своевременное удаление его PII. Вы также значительно увеличиваете свою уязвимость в случае утечки данных, когда происходит утечка данных из «закрытых» учетных записей.

10. Примите сознательное решение о продолжительности сеанса

Продолжительность сеанса часто упускается из виду аспектом безопасности и аутентификации. Google прилагает много усилий, чтобы убедиться, что пользователи являются теми, за кого они себя выдают, и будет перепроверять их на основе определенных событий или поведения. Пользователи могут предпринять шаги, чтобы еще больше повысить свою безопасность.

У вашей службы может быть веская причина держать сеанс открытым на неопределенный срок для некритических аналитических целей, но должны быть пороговые значения, после которых вы запрашиваете пароль, второй фактор или другую проверку пользователя.

Подумайте, как долго пользователь может быть неактивным перед повторной аутентификацией. Проверяйте личность пользователя во всех активных сеансах, если кто-то выполняет сброс пароля. Запрашивать аутентификацию или второй фактор, если пользователь меняет основные аспекты своего профиля или выполняет конфиденциальное действие. Повторно аутентифицироваться, если местоположение пользователя значительно изменится за короткий промежуток времени. Подумайте, имеет ли смысл запрещать вход в систему более чем с одного устройства или места одновременно.

Когда ваша служба действительно завершает сеанс пользователя или требует повторной аутентификации, предложите пользователю в режиме реального времени или предоставьте механизм для сохранения любых действий, которые они не сохранили с момента последней аутентификации. Пользователя очень расстраивает, когда он долго заполняет форму, а потом обнаруживает, что все введенные данные потеряны, и ему приходится снова входить в систему.

11.

Используйте двухэтапную аутентификацию

Учитывайте практические последствия кражи учетной записи пользователя при выборе методов двухэтапной аутентификации (также известной как двухфакторная аутентификация, MFA или 2FA). Одноразовые пароли на основе времени (TOTP), коды подтверждения электронной почты или «магические ссылки» удобны для потребителя и относительно безопасны. Аутентификация SMS 2FA устарела NIST из-за множества недостатков, но это может быть наиболее безопасный вариант, который ваши пользователи примут для того, что они считают тривиальной услугой.

Предложите самую безопасную аутентификацию 2FA, какую только можете. Аппаратная двухфакторная аутентификация, такая как ключ безопасности Titan, идеально подходит для вашего приложения. Даже если библиотека TOTP недоступна для вашего приложения, проверка электронной почты или двухфакторная аутентификация, предоставляемая сторонними поставщиками удостоверений, — это простое средство повысить вашу безопасность без больших затрат или усилий. Просто помните, что ваши учетные записи пользователей защищены настолько, насколько слабый метод 2FA или восстановления учетной записи.

12. Сделать идентификаторы пользователей нечувствительными к регистру

Вашим пользователям все равно, и они могут даже не помнить точный регистр своего имени пользователя. Имена пользователей должны быть полностью независимы от регистра. Тривиально хранить имена пользователей и адреса электронной почты в нижнем регистре и преобразовывать любой ввод в нижний регистр перед сравнением. Обязательно укажите локаль или примените нормализацию Unicode для любых преобразований.

Смартфоны составляют постоянно растущий процент пользовательских устройств. Большинство из них предлагают автозамену и автоматическое использование заглавных букв в текстовых полях. Предотвращение такого поведения на уровне пользовательского интерфейса может быть нежелательным или совершенно неэффективным, и ваша служба должна быть достаточно надежной, чтобы обрабатывать адрес электронной почты или имя пользователя, которые были непреднамеренно автоматически написаны заглавными буквами.

13. Создайте безопасную систему аутентификации

Если вы используете такой сервис, как Identity Platform, многие проблемы безопасности решаются автоматически. Тем не менее, ваш сервис всегда должен быть правильно спроектирован, чтобы предотвратить злоупотребления. Основные соображения включают реализацию сброса пароля вместо его извлечения, подробное ведение журнала активности учетной записи, ограничение количества попыток входа в систему для предотвращения заполнения учетных данных, блокировку учетных записей после слишком большого количества неудачных попыток входа и требование двухфакторной аутентификации для нераспознанных устройств или учетных записей, которые простаивал длительное время. Существует много других аспектов безопасной системы аутентификации, поэтому см. раздел «Дополнительная литература» ниже для ссылок на дополнительную информацию.

Дополнительная литература

Существует ряд отличных ресурсов, которые помогут вам в процессе разработки, обновления или переноса вашей учетной записи и системы управления аутентификацией.