З папулярнасцю розных інтэрнэт-сэрвісаў, якіх цяпер функцыянуе вялікае мноства, актуальным пытаннем стала забеспячэнне бяспекі дадзеных карыстача кожнага з іх. Раней, яшчэ на світанку развіцця інтэрнэт-тэхналогій, рашэннем была простая аўтарызацыя пры дапамозе лагіна і пароля і магчымасць змяніць апошні з дапамогай email. Карыстальнік рэгістраваўся, мог стварыць рахунак і выкарыстоўваць яго для доступу да функцый сэрвісу. Прывязка ў такім выпадку ажыццяўлялася да паштовай скрыні. Аднак, як паказаў час, такі спосаб аказаўся недастаткова надзейным.
Праблемы прывязкі да email-адрасе
Па меры з'яўлення новых сэрвісаў (форумаў, блогаў, сацыяльных сетак) стала ясна, што падобная схема абароны персанальных дадзеных наведвальнікаў з'яўляецца недастаткова надзейнай. Да прыкладу, атрымаўшы доступ да паштовай скрыні чалавека, зламыснікі могуць з лёгкасцю змяніць паролі на ўсіх сэрвісах, якімі ён карыстаўся (пры дапамозе функцыі 'Аднавіць пароль »зрабіць гэта можна на ўсіх пляцоўках). Усё, што застаецца зрабіць у такім выпадку, - толькі зноўку стварыць рахунак, што азначае поўную страту дадзеных і неабходнасць аднаўляць іх нанова.
Што такое рахунак у тэлефоне і яго абарона
Такім чынам, з прычыны няпоўнай эфектыўнасці абароны па email многія сэрвісы звярнуліся да новага метаду аўтарызацыі - пры дапамозе СМС і тэлефона карыстальніка. Пра тое, як працуе абарона дадзеных з дапамогай пошты, мы ўжо разабралі, роўна як і што такое рахунак. У тэлефоне ж для распрацоўшчыкаў крыюцца зусім новыя магчымасці, бо цяпер ён ёсць у кожнага, а ўзламаць яго дыстанцыйна практычна немагчыма. Менавіта тэлефон з'яўляецца тым ключом, якія злучаюць рэальнага карыстальніка з яго акаўнтам, і менавіта гэтым шляхам пайшлі распрацоўшчыкі самых буйных і самых перадавых праектаў. Там, дзе патрэбна была максімальная бяспеку (сацыяльныя сеткі, паштовыя сэрвісы, банкінг), карыстальнікам сталі паказваць інструкцыю аб тым, як дадаць рахунак на тэлефон і як правільна аўтарызавацца з дапамогай свайго мабільнага. На нейкі час праца з такой схемай зрабіла абарону дадзеных у Інтэрнэце досыць эфектыўнай.
Як працуе прывязка акаўнта да тэлефона
Такім чынам, як жа працуе аўтарызацыя пры дапамозе СМС? Варта адзначыць, што яе асновай з'яўляецца генераваны ў выпадковым парадку код, які прыходзіць на тэлефон і які трэба убіць у запісе сэрвісу. У цэлым мы ўжо ведаем, што такое рахунак. У тэлефоне ж павінна быць функцыя прыёму СМС-паведамленняў (а такая ёсць ва ўсіх мабільных прыладах). З яе дапамогай карыстальнік бачыць код, які згенераваў механізм абароны, усталяваны на сайце, і вядзе яго ў спецыяльнае поле на баку акаўнта. Такім чынам і адбываецца ідэнтыфікацыя кліента: супастаўленне яго ў рэальным жыцці і яго як наведвальніка, нябачнага на сайт. Улічваючы, што дасылаюць код пастаянна абнаўляецца, адгадаць яго ці падабраць адмысловымі праграмамі немагчыма.
Дзе ўжываецца аўтарызацыя па тэлефоне
Сферы ўжывання аўтарызацыі па СМС бязмежныя. Іх можна ўжываць для абароны любой інфармацыі, доступу да любога сэрвісу. Зыходзіць тут варта толькі з таго, колькі падлучэнне такой функцыі будзе каштаваць арганізатарам праекта і ці будзе гэта рацыянальна для іх. Не варта забываць, што кожная СМС з'яўляецца платнай, хоць і кошт яе ў разы менш, чым кошт адпраўкі для звычайных карыстальнікаў. Як ужо было адзначана, такое рашэнне выгадна пры працы з інтэрнэт-банкінгам, з электроннымі валютамі, з буйнымі сацыяльнымі сеткамі і рознымі сэрвісамі, якія прадстаўляюць платныя паслугі. А, скажам, на якім-небудзь інфармацыйным сайце, дзе ёсць толькі магчымасць каментавання навін, ўсталёўваць такую ступень абароны няма сэнсу.
Ашуканцы і СМС-аўтарызацыя
На аснове працы такой схемы абароны дадзеных ашуканцы неўзабаве паспяшаліся стварыць уласную схему заробку. Працавала яна наступным чынам: ствараўся сэрвіс па прадастаўленні пэўных паслуг (напрыклад, копія сацыяльнай сеткі або блога аб заробку, сайта з гараскопамі або з найбольш эфектыўнымі дыетамі), пасля чаго туды заходзілі наведвальнікі, якія жадаюць атрымаць інфармацыю або зарэгістравацца. На сайце стаяла форма, якая адзначае, што карыстальнік павінен прайсці СМС-аўтарызацыю. Даверлівыя наведвальнікі даставалі мабільны тэлефон і чакалі код доступу. На самай справе адбывалася не аўтарызацыя, а афармленне паслугі «падпіска», якая мае на ўвазе атрыманне платнага кантэнту наўзамен рэгулярных адлічэнняў з балансу мабільнага рахунку яго ўладальніка. Думаючы, што ён паспяхова зайшоў на сайт, чалавек на самой справе афармляў доступ да платнай сайту. Такую афёру пасля шматлікіх скаргаў мабільныя аператары спынілі. Аднак у перыяд яе росквіту мільёны рублёў былі спісаны з рахункаў падманутых наведвальнікаў сайтаў. Самае цікавае, што пра тое, як выдаліць рахунак у тэлефоне, карыстальнік не ведаў (маецца на ўвазе рахунак з падпіскамі). Адмовіцца ад паслугі можна было, толькі даслаўшы стоп-СМС на пэўны нумар. Зараз, дарэчы, схема дзейнічае, але ўжо ў меншых маштабах, паколькі аператары ўвялі дадатковыя ўмовы інфармавання абанентаў.
Асноўныя меры засцярогі ў сетцы
Каб не трапіцца на вуду махляроў і пры гэтым абараніць свае дадзеныя, трэба разумець, як уладкаваны, як працуе і наогул, што такое рахунак. У тэлефоне крыецца ключ да бяспечнай аўтарызацыі, аднак праходзіць яе варта толькі на правераных сэрвісах. Да прыкладу, абараняць свой рахунак на Facebook або Webmoney ёсць сэнс, тады як праходзіць аўтарызацыю пры запампоўцы файла або чытанні гараскопаў не варта, гэта можа быць ашуканскі сайт. Вам папросту няма чаго рабіць гэтага - ніякіх дадзеных вы на такім сэрвісе ня пакідаеце, з грошы ў інтэрнэце вы не запрацуеце. Нарэшце, думайце і пра важнасць сэрвісу для вас і вашай бяспекі. І будзьце вельмі асцярожныя, падаючы свой нумар тэлефона каму-небудзь і ўжо тым больш атрымліваючы на яго СМС з кодам.