คำที่ใช้เป็นรหัสผ่านไม่ได้: select, insert, update, delete, drop

 (id.uni-lj.si)
2 คะแนน โดย GN⁺ 2024-01-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การรีเซ็ตรหัสผ่านของดิจิทัลไอดี

  • หากเปิดใช้งานดิจิทัลไอดีแล้วและลืมรหัสผ่าน สามารถรีเซ็ตรหัสผ่านผ่านหน้านี้ได้
  • ต้องกรอกข้อมูลส่วนบุคคลในแบบฟอร์มด้านล่าง และต้องทราบชื่อผู้ใช้
  • ชื่อผู้ใช้มีลักษณะคล้ายที่อยู่อีเมล เช่น jn1234@student.uni-lj.si
  • หากลืมทั้งชื่อผู้ใช้และรหัสผ่าน ต้องติดต่อเฮลป์เดสก์ของมหาวิทยาลัย

การกรอกข้อมูลส่วนบุคคล

  • จำเป็นต้องใช้ข้อมูลส่วนบุคคลเพื่อค้นหาดิจิทัลไอดีในฐานข้อมูล
  • ต้องกรอกชื่อ นามสกุล วันเกิด รหัสนักศึกษา และคณะที่สังกัด
  • ตัวเลือกคณะมีหลายแบบ เช่น สถาบันศิลปะและการออกแบบ สถาบันดนตรี และสถาบันการละคร วิทยุ ภาพยนตร์ และโทรทัศน์

การตั้งชื่อผู้ใช้และรหัสผ่านใหม่

  • ชื่อผู้ใช้มีลักษณะเหมือนที่อยู่อีเมล เช่น ชื่อผู้ใช้ของ John Smith คือ js1234@student.uni-lj.si
  • ควรเลือกรหัสผ่านที่แข็งแรงและสามารถจดจำได้ และหลีกเลี่ยงรหัสผ่านที่คาดเดาได้ง่าย
  • รหัสผ่านต้องมีความยาวอย่างน้อย 10 อักขระ ต้องไม่รวมชื่อ และต้องตรงตามเกณฑ์อย่างน้อย 3 ข้อจากต่อไปนี้: ตัวพิมพ์ใหญ่ภาษาอังกฤษ ตัวพิมพ์เล็กภาษาอังกฤษ ตัวเลข อักขระพิเศษ (-_.+@)
  • รหัสผ่านต้องไม่มีชุดอักขระ เช่น script, select, insert, update, delete, drop, --, ', /*, */
  • ต้องกรอกรหัสผ่านสองครั้งเพื่อป้องกันการพิมพ์ผิด

ความเห็นของ GN⁺

  • หน้านี้ช่วยให้ผู้ใช้ที่ลืมรหัสผ่านของดิจิทัลไอดีสามารถรีเซ็ตรหัสผ่านได้อย่างง่ายดาย
  • กฎการตั้งรหัสผ่านที่แข็งแรงมีบทบาทสำคัญในการปกป้องข้อมูลดิจิทัลของผู้ใช้
  • ขั้นตอนการติดต่อเฮลป์เดสก์ของมหาวิทยาลัยเมื่อผู้ใช้ลืมทั้งชื่อผู้ใช้และรหัสผ่าน เป็นช่องทางให้ผู้ใช้ได้รับความช่วยเหลือเพิ่มเติม

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-01-22
ความเห็นจาก Hacker News

  • เรื่องเล่าจากนักพัฒนาคนหนึ่งที่บอกว่ามีการเพิ่มสตริงบางอย่างตามคำขอของผู้ดูแล ระบบของเว็บไซต์นั้นไม่ได้เก็บรหัสผ่านเอง แต่มีอินเทอร์เฟซสำหรับจัดการบัญชีภายนอก มีข่าวลือว่าในแอปแบบเลกาซีอาจมีการตรวจสอบแปลก ๆ ที่ทำให้ไม่สามารถล็อกอินได้หากรหัสผ่านมีสตริงบางอย่างรวมอยู่ด้วย แต่ไม่ทราบตัวอย่างที่ชัดเจน

  • ประสบการณ์เล่าถึงการแฮ็กแพลตฟอร์มโซเชียลขนาดใหญ่ตอนเด็ก โดยอาศัยวิธีลบคำต้องห้ามออกแบบง่าย ๆ เพื่อฉีดแท็ก HTML ที่ยังใช้งานได้ และควบคุมคนที่เข้าชมหน้าเว็บนั้น

  • ความเห็นที่มองว่าในบางกรณีข้อกำหนดแบบนี้อาจเป็นความคิดที่ดี หลายคนเขียนโค้ดและสถาปัตยกรรมระบบที่ย่ำแย่ และมีคนไม่มากพอที่มีทั้งความสามารถ อำนาจในองค์กร และเวลาเพียงพอที่จะตรวจจับปัญหาและบังคับให้เกิดการเปลี่ยนแปลง ในสหรัฐฯ คุณอาจจำเป็นต้องทำธุรกิจกับเว็บไซต์ที่เขียนมาอย่างห่วยแตก ในกรณีนี้อาจดีกว่าหากสมมติว่า implementation จะเลวร้ายอย่างที่มักเป็น และแนะนำมาตรการบรรเทาความเสี่ยงตามนั้น

  • คำวิจารณ์ต่อแนวทางที่แทนที่จะใช้ stored procedure และเทคนิคที่เหมาะสมเพื่อป้องกัน SQL injection อย่างสมบูรณ์ กลับเลือกจำกัดคีย์เวิร์ดไม่กี่คำแล้วหวังว่าแฮ็กเกอร์จะไม่คิดวิธีอื่นขึ้นมา นี่ไม่ใช่ปี 2005 แล้ว และการทำไม่ให้ input ของผู้ใช้ปะปนกับ SQL ก็ไม่ใช่เรื่องยากระดับวิทยาศาสตร์จรวดอีกต่อไป การเก็บรหัสผ่านไว้โดยไม่เข้ารหัสก็เป็นเรื่องโง่อยู่แล้วแม้แต่ในปี 2005

  • มีคอมเมนต์บอกว่าจะใช้ truncate แทน

  • ความเห็นที่บอกว่าดูเหมือนจะสืบทอดมาจากระบบเก่า บางมหาวิทยาลัยและธนาคารยังใช้ระบบเมนเฟรมเก่าสำหรับการยืนยันตัวตนแบบศูนย์กลาง และอาจเก็บรหัสผ่านเป็น plain text พร้อมจำกัดให้ยาว 8 ตัวอักษรและเป็นตัวพิมพ์ใหญ่เท่านั้น เหตุผลหลักที่ไม่อัปเกรดระบบคือค่าใช้จ่ายและความซับซ้อน

  • ประสบการณ์ของนักศึกษาคนหนึ่งที่พบว่าไม่ได้มีการตรวจสอบสตริงต้องห้ามทั้งหมด

  • เรื่องเล่าจากคนที่เคยต้องสร้างข้อกำหนดแบบนี้ระหว่างทำงาน แม้ว่าควร escape ทุกสตริงอย่างเหมาะสม และใช้ parameterized query เพื่อหลีกเลี่ยงการโจมตีแบบ SQL injection แต่เพื่อการป้องกันหลายชั้น ก็ควรปฏิเสธโค้ดที่ดูเหมือน SQL หรือ HTML ในทุกฟิลด์

  • คอมเมนต์อย่างมั่นใจว่ารหัสผ่านของตัวเองจะไม่มีทางถูกจับได้แน่นอน

  • การคาดเดาในแง่ดีว่าข้อกำหนดลักษณะนี้อาจมีที่มาจาก WAF (Web Application Firewall) ที่กระตือรือร้นเกินไป