Секретный вопрос

Аватар пользователя SkySofiaK SkySofiaK 20 января в 13:19

Как можно включить / добавить секретный вопрос. То есть, когда забыл пароль, или хочешь сделать на сайте что-то глобальное - нужно сначала ввести секретный вопрос. Может вы знаете название готового модуля? Я не нашла ((

0 Thanks

Комментарии

Аватар пользователя itcrowd72 itcrowd72 20 января в 13:35

Если речь о владельце сайта (когда есть доступ на хостинг), то никакие модули не нужны. Есть php, БД или drush

Аватар пользователя SkySofiaK SkySofiaK 20 января в 14:14

Установила, захожу сюда сайт/admin/config/people/security_questions и выдает ошибку сайта и весь екран белый(((

Аватар пользователя VasyOK VasyOK 20 января в 14:27

В любой непонятной ситуации танцуем, сбрасываем кешь на сайте, запускаем крон, проверяем на Open Server (если на другом хостинге нет возможности).
Ошибку можно конечно и тут написать но лучше посмотреть issue на странице модуля.

Аватар пользователя gun_dose gun_dose 20 января в 19:25

Чтобы когда забыл пароль, логиниться по девичьей фамилии матери. Ещё лет 10 назад это считалось одной из самых надёжных защит.

Аватар пользователя SkySofiaK SkySofiaK 20 января в 20:03

Какая причина, на сайте есть акаунты людей и старые акаунты ломают, которым так лет 4 и разсылают спам и прочую нечисть. А я хочу их хоть как то защитить, но если ктото знает хорошую альтернативу - БУДУ РАДА!)))

Аватар пользователя itcrowd72 itcrowd72 20 января в 20:16

Я на своих сайтах удаляю неактивные аккаунты. Можно не удалять, а блочить, например. Попробуйте модуль user_prune

Аватар пользователя sas@drupal.org sas@drupal.org 20 января в 23:16

Если забыл пароль, то поможет восстановление пароля, секретный вопрос тоже прикольно, - экономит время.

Аватар пользователя Orion76 Orion76 20 января в 23:30

По сути, "секретный вопрос" это тот же пароль.
Потому как по нему тоже можно "залогиниться".
Только пароль тотже drupal из коробки проверяет на надежность:
минимальная длина
использование как можно большего "диапазона" символов: большие- маленькие буквы,цифры и т.п.

а "секретный вопрос", мало того что такую проверку не проходит, так еще в вопросе содержится "намек" на ответ.
Т.е. банальный перебор по словарю из пары сотен вариантов, и большая часть аккаунтов на сайте будет "взломана".

Все таки отсылка пароля или кода, для разового логина, на email или телефон, указанный при регистрации, работает сильно надежнее.

Аватар пользователя SkySofiaK SkySofiaK 21 января в 11:43

Значит на Друпале все так просто с секретным вопрос... Жаль, я думала, что будет как на юкозе - захотел восстановить пароль - сначала емайл, потом секретный вопрос и уже потом шлется пароль на емайл, далее хочеш удалить с сайта что то глобальное вводь секретный вопрос и так далее, ну разумеется я секретный ответ писала такого типа - 'fr%2*7(kQ!hF' и так далее, я бы сказала что это как еще один пароль, я не писала девичью фамилию матери)))

А насчет регистрации по номеру телефона, я об этом давно думала, но модули которые находила не рабочие((( Разве что Вы знаете какой то рабочий?

Аватар пользователя gun_dose gun_dose 20 января в 23:59

А вообще, от угона аккаунта в 2019 году принято защищаться двухфакторной аутентификацией. Есть какие-нибудь модули под это дело?

Аватар пользователя itcrowd72 itcrowd72 21 января в 7:42

Хотя и tfa нынче не панацея. Вон на хабре недавно были статьи, как имея паспортные данные человека (а это сегодня тоже не проблема) сделать голосовую переадресацию и завладеть его аккаунтом ВК. А вк - это вам не какой-то сайтик на друпале)

Аватар пользователя sas@drupal.org sas@drupal.org 21 января в 7:49

А чем плохо не регистрировать пользователя вообще и строить отношения с ним на основе "железобетонных" кук?
Ни тебе запросов паролей ни тебе потери клиента, если потерял куку делать запрос на коннект по мылу или sms и кидать новую?

Аватар пользователя gun_dose gun_dose 21 января в 9:55
itcrowd72 wrote:

Хотя и tfa нынче не панацея.

Если очень захотят взломать, то могут и дверь в хату вынести))) Но двухфакторная аутентификация сейчас крайне необходима. Сейчас можно сказать, что есть "тренд" прогонять базы емэйлов через словари паролей и очень многие емэйлы так взламываются. Далее злоумышленники действуют довольно осмотрительно - база емэйлов многократно перепродаётся. Покупают её с разными целями, заходят в ящики и смотрят, чем там можно "поживиться", когда находят что-то интересное для себя, например письмо о регистрации в соцсети, то угоняют акк и меняют в нём почту. У меня недавно было такое, и когда я заметил неладное, проверил историю входов в почту, оказалось, что в почте регулярно шарились уже несколько месяцев до этого. Так вот с двухфакторной авторизацией всё это не прокатывает.

Простите за оффтоп))

Аватар пользователя SkySofiaK SkySofiaK 21 января в 11:51

У меня на почте давно стоит смс подтверждение и сложный и максимально длинный пароль, но в хостинге тоже было смс подтверждение и рас мне приходит письмо что мой акаунт в хостинге взломан, я пишу им как??? мне пишут, делайте Two-factor Authentication так как смс стали ненадежны, как это не пойму... но после включения Two-factor Authentication взломы прекратились )))

Аватар пользователя itcrowd72 itcrowd72 21 января в 13:04

Ну собсна смс и является двухфакторной аутентификацией. Первый фактор - это пароль, а второй смс.

делайте Two-factor Authentication так как смс стали ненадежны

Звучит как масло-масляное. Если, конечно, смс у вас не было единственным способом аутентификации

Аватар пользователя adano adano 21 января в 21:25

Двухфакторная аутентификация - в реалиях, на 99% проектах - это хрень, причем платная и топорная.
Суть, чтоб очередной Алеша не светил свою мобилу на порнушных сайтах и умел читать смски...

Вот если есть баланс юзера, привязанный к реальным финансовым средствам - то, это отдельная тема.

В любом случае, на серьезных проектах, такой функционал нужен как опция, ака "защита от дурочки, потомушто мою почту ломают".