Felhasználói fiók

Regisztráció

A felhasználói fiókregisztráció az a sarokkő, amelyre a későbbiekben minden kriptográfia épül. Ezt a kriptográfia fejezetben részletesen ismertetjük.

Összefoglalva, a kliens gép előállítja a fiók kulcstartóját és úgy titkosítja azt, hogy csak a fiók jelszavának ismeretében lehetséges a visszafejtés. A felhasználói fiók titkosított kulcstartóját a szerveren tároljuk. Ha a jelszó kellően erős, az adatokat a szerver nem tudja manipulálni, a tárolásuk biztonságos.

Login and session

A bejelentkezési folyamat nem tárja fel, hogy az email vagy a jelszó helytelen-e. Ez meggátolja a kíváncsiskodó feleket abban, hogy kiderítsék milyen email címek vannak regisztrálva a rendszerben.

A bejelentkezési próbák száma szigorúan limitálva vannak, így kizárt a bejelentkezési hitelesítési adatok brute-force feltörése.

Sikeres bejelentkezés után a kliens munkamenet-kulcsai tárolásra kerülnek, amik a CSRF- és XSS-támadások megelőzésére használhatók. A fiók összes privát kulcsát egyedileg titkosítva tároljuk, ami lehetővé teszi a távoli munkamenet megsemmisítését, miközben potenciálisan biztonságban tartja a fiók kulcstartóját.

A bejelentkezési folyamat és a munkamenet kezelés is részletesen le van írva a kriptográfia fejezetben.

Figyelem

A felhasználó gépének és szoftverének biztonsága a tulajdonos vagy a rendszergazdája feladata, nem a Clarabot Zrt. felelőssége. Általánosságban elmondható, hogy hasznos egy erős jelszó a felhasználó számára és a teljes lemez titkosítás használata.

Account recovery

A fiók jelszavának elvesztése végleg elérhetetlenné teheti azt. A fiók kriptográfiájának minden funkcióhoz működőképesnek kell lennie. Mivel a szerver titkosítással szándékosan el van zárva a kulcsokhoz való hozzáféréstől, alapvetően lehetetlen a fiók jelszavának visszaállítása a szokásos módon.

A jelszó akkor is megváltoztatható, ha már elveszett, mindaddig, amíg még van aktív bejelentkezési munkamenet a fiókhoz.

Javasoljuk felhasználóinknak, hogy mentsék le a helyreállítási kulcsot fiókjukhoz. Ez az egyetlen módja annak, hogy helyreállítsa azt a fiókot, amelynek jelszava elveszett, és nincs aktív munkamenet. A helyreállítási kulcs azonban bizalmas információkat tartalmaz, és a felhasználónak biztonságosan kell tárolnia azokat. A körülményektől függően offline is tárolható, és digitálisan vagy fizikailag elhelyezhető valamilyen jelszókezelőbe vagy trezorba.

Ha az e-mail fiók nem érhető el, az ügyfélszolgálatunk segíthet megváltoztatni. (az eljárás még meghatározásra és végrehajtásra vár)

Felhasználói fiók visszanyerés kicsit több részletben megtalálható a kriptográfia fejezetben.

Two factor authentication

Ez további védelmet biztosít a fiókot ellopni kívánó felek ellen. Számos, a fiók biztonságához kapcsolódó műveletet automatikusan védi a kétfaktoros hitelesítés.