Секретный вопрос
20 января 2019 в 13:19
Как можно включить / добавить секретный вопрос. То есть, когда забыл пароль, или хочешь сделать на сайте что-то глобальное - нужно сначала ввести секретный вопрос. Может вы знаете название готового модуля? Я не нашла ((
- Блог
- Войдите или зарегистрируйтесь, чтобы отправлять комментарии
Комментарии
Если речь о владельце сайта (когда есть доступ на хостинг), то никакие модули не нужны. Есть php, БД или drush
Мне нужен аналог Секретного Вопроса как на UCOZ, кто пользовался Юкозом то знает о чом я.
Вот описание https://forum.ucoz.ru/forum/45-29026-1
https://www.drupal.org/project/security_questions
https://www.drupal.org/project/riddler
БОЛЬШОЕ СПАСИБО!!!
Установила, захожу сюда сайт/admin/config/people/security_questions и выдает ошибку сайта и весь екран белый(((
и мне для 8-ки пригодится
В любой непонятной ситуации танцуем, сбрасываем кешь на сайте, запускаем крон, проверяем на Open Server (если на другом хостинге нет возможности).
Ошибку можно конечно и тут написать но лучше посмотреть issue на странице модуля.
Кэш и Крон запускала, ничего не дало, а все остальное сейчас посмотрю
А я так надеялась, что модуль пойлет, а он никак, все ошибка и ошибка(((
Кто-нибудь, объясните мне зачем всё это? Есть какие-то реальные кейсы?
Чтобы когда забыл пароль, логиниться по девичьей фамилии матери. Ещё лет 10 назад это считалось одной из самых надёжных защит.
Меня вот это смутило просто
Какая причина, на сайте есть акаунты людей и старые акаунты ломают, которым так лет 4 и разсылают спам и прочую нечисть. А я хочу их хоть как то защитить, но если ктото знает хорошую альтернативу - БУДУ РАДА!)))
Я на своих сайтах удаляю неактивные аккаунты. Можно не удалять, а блочить, например. Попробуйте модуль user_prune
Если забыл пароль, то поможет восстановление пароля, секретный вопрос тоже прикольно, - экономит время.
По сути, "секретный вопрос" это тот же пароль.
Потому как по нему тоже можно "залогиниться".
Только пароль тотже drupal из коробки проверяет на надежность:
минимальная длина
использование как можно большего "диапазона" символов: большие- маленькие буквы,цифры и т.п.
а "секретный вопрос", мало того что такую проверку не проходит, так еще в вопросе содержится "намек" на ответ.
Т.е. банальный перебор по словарю из пары сотен вариантов, и большая часть аккаунтов на сайте будет "взломана".
Все таки отсылка пароля или кода, для разового логина, на email или телефон, указанный при регистрации, работает сильно надежнее.
Значит на Друпале все так просто с секретным вопрос... Жаль, я думала, что будет как на юкозе - захотел восстановить пароль - сначала емайл, потом секретный вопрос и уже потом шлется пароль на емайл, далее хочеш удалить с сайта что то глобальное вводь секретный вопрос и так далее, ну разумеется я секретный ответ писала такого типа - 'fr%2*7(kQ!hF' и так далее, я бы сказала что это как еще один пароль, я не писала девичью фамилию матери)))
А насчет регистрации по номеру телефона, я об этом давно думала, но модули которые находила не рабочие((( Разве что Вы знаете какой то рабочий?
А вообще, от угона аккаунта в 2019 году принято защищаться двухфакторной аутентификацией. Есть какие-нибудь модули под это дело?
Да тоже подумал про это , не стал писать но раз ты просишь https://www.drupal.org/project/tfa
Хотя и tfa нынче не панацея. Вон на хабре недавно были статьи, как имея паспортные данные человека (а это сегодня тоже не проблема) сделать голосовую переадресацию и завладеть его аккаунтом ВК. А вк - это вам не какой-то сайтик на друпале)
А чем плохо не регистрировать пользователя вообще и строить отношения с ним на основе "железобетонных" кук?
Ни тебе запросов паролей ни тебе потери клиента, если потерял куку делать запрос на коннект по мылу или sms и кидать новую?
У меня стоит такой https://www.drupal.org/project/tfa но только для админа, простые люди не поймут как этим пользоваться, а вот если бы через смс было, то все бы поняли как это делать.
Если очень захотят взломать, то могут и дверь в хату вынести))) Но двухфакторная аутентификация сейчас крайне необходима. Сейчас можно сказать, что есть "тренд" прогонять базы емэйлов через словари паролей и очень многие емэйлы так взламываются. Далее злоумышленники действуют довольно осмотрительно - база емэйлов многократно перепродаётся. Покупают её с разными целями, заходят в ящики и смотрят, чем там можно "поживиться", когда находят что-то интересное для себя, например письмо о регистрации в соцсети, то угоняют акк и меняют в нём почту. У меня недавно было такое, и когда я заметил неладное, проверил историю входов в почту, оказалось, что в почте регулярно шарились уже несколько месяцев до этого. Так вот с двухфакторной авторизацией всё это не прокатывает.
Простите за оффтоп))
Хм. Пойду привяжу телефон к почте)
У меня на почте давно стоит смс подтверждение и сложный и максимально длинный пароль, но в хостинге тоже было смс подтверждение и рас мне приходит письмо что мой акаунт в хостинге взломан, я пишу им как??? мне пишут, делайте Two-factor Authentication так как смс стали ненадежны, как это не пойму... но после включения Two-factor Authentication взломы прекратились )))
Ну собсна смс и является двухфакторной аутентификацией. Первый фактор - это пароль, а второй смс.
Звучит как масло-масляное. Если, конечно, смс у вас не было единственным способом аутентификации
был ище пароль сложный
Сложный пароль не спасёт, если угонят почту.
Но почты никто ж невидит после регистрации
Почту можно узнать социальной инженерией, например
Двухфакторная аутентификация - в реалиях, на 99% проектах - это хрень, причем платная и топорная.
Суть, чтоб очередной Алеша не светил свою мобилу на порнушных сайтах и умел читать смски...
Вот если есть баланс юзера, привязанный к реальным финансовым средствам - то, это отдельная тема.
В любом случае, на серьезных проектах, такой функционал нужен как опция, ака "защита от дурочки, потомушто мою почту ломают".