Игорь Тетерин

Речь пойдет об аутентификации на сайтах. Аутентификация – очень важная вещь, от нее зависит безопасность всего вашего проекта. Если система была продумана недостаточно хорошо, то в случае хранения приватной информации о проекте будут слагать истории на аналогах hacknet.ru о том, как получить чужие данные и управлять ими. Обычные почтовые системы сколько существуют, столько и исправляют свои системы аутентификации. К тому же система аутентификации может содержать систему восстановления пароля, что еще больше подрывает безопасность. На своем опыте приходилось открывать пару ящиков именно за счет слабой системы аутентификации. Не буду спорить, для новичков поломать mail.ru покажется невозможным, но это не так сложно. Речь далее пойдет не о взломе mail.ru, а о способах аутентификации и защиты от взлома.

Способы

Существует несколько стандартных способов аутентификации. Но любые способы основываются на какой-либо идентифицирующей информации. И чем меньше идентификационных данных, тем слабее защита. Например, аутентификация на основе лишь имени и пароля куда опаснее, чем если к этому добавится верификация по IP-адресу. Приведу несколько примеров, начиная с самого слабого: