10/10/2018, 09:46
Cách bảo vệ User khi bị đánh cắp User và Pass
Anh em có cách nào chỉ cố định cho User chỉ Login vào được Website của mình từ 1 PC khi User đăng ký thành viên ko ?. Theo mình biết thì với website trên internet thì ko thể lấy được MAC ADDRESS của PC một cách hợp pháp được. Anh em có giải pháp nào cùng thảo luận nhé.
Bài liên quan
Cách làm thô thiển nhưng hiệu quả cho việc kể cả đánh cắp được username và password vẫn không login được: yêu cầu xác thực qua điện thoại. Mỗi lần login thì di động họ nhận được mã số kiểm tra việc đăng nhập qua sms, có này dùng một lần duy nhất tại thời điểm đăng nhập + 10 phút. Cách này hơi phức tạp với người dùng một chút, nhưng nếu nó bảo vệ tài khoản của họ mà trong đó có liên quan đến tiền bạc / kinh tế thì bạn cũng nên áp dụng.
"Hoặc cách hay hơn là không cho người dùng đăng nhập bằng username và password mà đăng nhập bằng cách sử dụng một chuỗi ký tự gõ lên trình duyệt của bạn, chuỗi này chỉ có họ biết mà thôi" - Supper Thin
Cái này Supper Thin chỉ giáo thêm được không, mình không hiểu.
Nếu chỉ là 1 website buôn bán bình thường thì không cần phải làm tới mức đó đâu bạn.
Bạn có thể dùng 2 (có thể là 3) mật khẩu cho 1 tài khoản mà. 1 mật khẩu dùng cho việc đăng nhập. 1 mật khẩu dùng cho việc xác nhận mua hàng. Mật khẩu thứ 3 (mật khẩu cấp cao nhất) là dùng để reset 2 mật khẩu kia nếu như chúng bị lộ. Hoặc có thể dùng thêm câu hỏi bí mật như của yahoo mail để phục hồi mật khẩu bị lộ.
Chứ nếu 1 trang web mà khi đăng nhập lại bắt mình mở email để lấy mã xác nhận thì trang đó mình chả bao giờ muốn vào (quá phức tạp) trừ khi là bắt buột.
vài lời góp ý cho bạn.
Theo mình biết website các ngân hàng ở Mỹ, họ có cách bảo vệ khách hàng rất hay, là khi Register ở máy tính nào thì chỉ Login được ở máy đó, nếu bạn Login ở máy khác thì nó sẽ thông báo ngay và bắt Contact với ngân hàng để được phép vào từ máy đó. Mình muốn làm như vậy, nhưng ko biết cách ...
Còn cái cách để gõ trực tiếp lên trình duyệt đó là thông báo cho người dùng biết quy tắc họ có thể chế ra số cho riêng họ, mỗi người có một quy tắc riêng: Ví dụng anh A gõ lên trình duyệt là http://webcuaban.com/my-name-is-A và lần khác thì http://webcuaban.com/my-name-is-A', lần khác nữa là http://webcuaban.com/my-name-is-A-2' còn quy tắc đối với anh B thì http://webcuaban.com/here-is-B, lần đăng nhập khác thì http://webcuaban.com/here-is-B-thui, lần nữa sẽ http://webcuaban.com/here-is-B-sua-quay , các quy tắc do bạn soạn sẵn và lập thành một từ điển, mỗi người có một bộ quy tắc riêng để tránh người nọ chỉnh trên URL để biến thành người kia mà đăng nhập nhầm chuồng (hoặc cố tình nhầm chuồng để chôm chỉa cái gì đó)
giải pháp gõ lên thanh địa chỉ trình duyệt mà lỡ quên lần trước đang dùng đến bước nào thì cũng mệt nhỉ.