Секретный вопрос

Главные вкладки

Аватар пользователя Happy Smile Happy Smile 20 января 2019 в 13:19

Как можно включить / добавить секретный вопрос. То есть, когда забыл пароль, или хочешь сделать на сайте что-то глобальное - нужно сначала ввести секретный вопрос. Может вы знаете название готового модуля? Я не нашла ((

Лучший ответ

Комментарии

Аватар пользователя ivnish ivnish 20 января 2019 в 13:35

Если речь о владельце сайта (когда есть доступ на хостинг), то никакие модули не нужны. Есть php, БД или drush

Аватар пользователя VasyOK VasyOK 20 января 2019 в 14:27

В любой непонятной ситуации танцуем, сбрасываем кешь на сайте, запускаем крон, проверяем на Open Server (если на другом хостинге нет возможности).
Ошибку можно конечно и тут написать но лучше посмотреть issue на странице модуля.

Аватар пользователя gun_dose gun_dose 20 января 2019 в 19:25

Чтобы когда забыл пароль, логиниться по девичьей фамилии матери. Ещё лет 10 назад это считалось одной из самых надёжных защит.

Аватар пользователя Happy Smile Happy Smile 20 января 2019 в 20:03

Какая причина, на сайте есть акаунты людей и старые акаунты ломают, которым так лет 4 и разсылают спам и прочую нечисть. А я хочу их хоть как то защитить, но если ктото знает хорошую альтернативу - БУДУ РАДА!)))

Аватар пользователя Orion76 Orion76 20 января 2019 в 23:30

По сути, "секретный вопрос" это тот же пароль.
Потому как по нему тоже можно "залогиниться".
Только пароль тотже drupal из коробки проверяет на надежность:
минимальная длина
использование как можно большего "диапазона" символов: большие- маленькие буквы,цифры и т.п.

а "секретный вопрос", мало того что такую проверку не проходит, так еще в вопросе содержится "намек" на ответ.
Т.е. банальный перебор по словарю из пары сотен вариантов, и большая часть аккаунтов на сайте будет "взломана".

Все таки отсылка пароля или кода, для разового логина, на email или телефон, указанный при регистрации, работает сильно надежнее.

Аватар пользователя Happy Smile Happy Smile 21 января 2019 в 11:43

Значит на Друпале все так просто с секретным вопрос... Жаль, я думала, что будет как на юкозе - захотел восстановить пароль - сначала емайл, потом секретный вопрос и уже потом шлется пароль на емайл, далее хочеш удалить с сайта что то глобальное вводь секретный вопрос и так далее, ну разумеется я секретный ответ писала такого типа - 'fr%2*7(kQ!hF' и так далее, я бы сказала что это как еще один пароль, я не писала девичью фамилию матери)))

А насчет регистрации по номеру телефона, я об этом давно думала, но модули которые находила не рабочие((( Разве что Вы знаете какой то рабочий?

Аватар пользователя gun_dose gun_dose 20 января 2019 в 23:59

А вообще, от угона аккаунта в 2019 году принято защищаться двухфакторной аутентификацией. Есть какие-нибудь модули под это дело?

Аватар пользователя ivnish ivnish 21 января 2019 в 7:42

Хотя и tfa нынче не панацея. Вон на хабре недавно были статьи, как имея паспортные данные человека (а это сегодня тоже не проблема) сделать голосовую переадресацию и завладеть его аккаунтом ВК. А вк - это вам не какой-то сайтик на друпале)

Аватар пользователя sas@drupal.org sas@drupal.org 21 января 2019 в 7:49

А чем плохо не регистрировать пользователя вообще и строить отношения с ним на основе "железобетонных" кук?
Ни тебе запросов паролей ни тебе потери клиента, если потерял куку делать запрос на коннект по мылу или sms и кидать новую?

Аватар пользователя gun_dose gun_dose 21 января 2019 в 9:55

itcrowd72 wrote:

Хотя и tfa нынче не панацея.

Если очень захотят взломать, то могут и дверь в хату вынести))) Но двухфакторная аутентификация сейчас крайне необходима. Сейчас можно сказать, что есть "тренд" прогонять базы емэйлов через словари паролей и очень многие емэйлы так взламываются. Далее злоумышленники действуют довольно осмотрительно - база емэйлов многократно перепродаётся. Покупают её с разными целями, заходят в ящики и смотрят, чем там можно "поживиться", когда находят что-то интересное для себя, например письмо о регистрации в соцсети, то угоняют акк и меняют в нём почту. У меня недавно было такое, и когда я заметил неладное, проверил историю входов в почту, оказалось, что в почте регулярно шарились уже несколько месяцев до этого. Так вот с двухфакторной авторизацией всё это не прокатывает.

Простите за оффтоп))

Аватар пользователя Happy Smile Happy Smile 21 января 2019 в 11:51

У меня на почте давно стоит смс подтверждение и сложный и максимально длинный пароль, но в хостинге тоже было смс подтверждение и рас мне приходит письмо что мой акаунт в хостинге взломан, я пишу им как??? мне пишут, делайте Two-factor Authentication так как смс стали ненадежны, как это не пойму... но после включения Two-factor Authentication взломы прекратились )))

Аватар пользователя ivnish ivnish 21 января 2019 в 13:04

Ну собсна смс и является двухфакторной аутентификацией. Первый фактор - это пароль, а второй смс.

делайте Two-factor Authentication так как смс стали ненадежны

Звучит как масло-масляное. Если, конечно, смс у вас не было единственным способом аутентификации

Аватар пользователя adano adano 21 января 2019 в 21:25

Двухфакторная аутентификация - в реалиях, на 99% проектах - это хрень, причем платная и топорная.
Суть, чтоб очередной Алеша не светил свою мобилу на порнушных сайтах и умел читать смски...

Вот если есть баланс юзера, привязанный к реальным финансовым средствам - то, это отдельная тема.

В любом случае, на серьезных проектах, такой функционал нужен как опция, ака "защита от дурочки, потомушто мою почту ломают".