Старт

Как обезопасить учетные записи пользователей на сайте?

Пользователи нередко являются жертвами собственной неосторожности, в связи с чем их учетные записи взламываются с различными целями. Например, взлом профиля покупателя в интернет-магазине не обязательно будет использован для покупок на средства взломанного пользователя — данные транзакции очень легко отследить и предотвратить.

Тем не менее, доступ к сохраненным платежным картам клиента (если интернет-магазин позволяет их сохранять в учетной записи), история покупок или адрес доставки могут быть использованы в незаконных целях. Злоумышленники могут оценить уровень дохода пользователей, получить их домашний адрес, воспользоваться их банковским счетом или же продать данные платежной карточки на черном рынке.

Ниже описаны основные способы защиты пользовательских аккаунтов.

 

Введите обязательную активацию учетной записи при регистрации

В этом случае на email-адрес пользователя отправляется ссылка для подтверждения создания аккаунта. Больше информации об этом в разделе «Регистрация с активацией учетной записи (Double Opt-In)» в этой статье.

Данный метод является более приемлемым для пользователей чем Captcha и ее последователь — ReCaptcha, которые заставляют пользователей вписывать слова или проходить мини-тесты для подтверждения того, что аккаунт создается не роботом, а реальным человеком.

Как обезопасить учетные записи

 

Используйте 2-ступенчатую авторизацию для входа пользователей в их аккаунты

Данный способ наиболее необходим для финансовых услуг и компаний, работающих с конфиденциальными данными пользователей. Для его внедрения вам необходимо подключить сервис, который будет отправлять пользователям SMS или push-уведомление (при наличии мобильного приложения у компании) каждый раз, когда пользователь будет успешно вводить пароль при входе в свой профиль. Сообщение будет состоять из несложного кода, который нужно ввести на экране устройства, с которого осуществляет вход в учетную запись.

 

Обязывайте пользователей создавать более сложные пароли

Пароль для входа в учетную записи должен состоять минимум из 6 символов. Немало компаний требует от клиентов создания пароля из не менее 8 символов, в которых будут присутствовать цифры, верхний регистр для букв и/или специальные знаки. Это не всегда оправдано, так как многие пользователи могут забывать настолько сложные пароли, к тому же не у всех получается воспользоваться функцией восстановления пароля. В некоторых случаях это может привести к потере пользователей или необходимости им регистрироваться по-новому. Именно поэтому регистрация через социальные сети становится все более предпочтительной, так как пользователь может избежать сложностей с входом в свой аккаунт.

 

Ограничивайте длительность доступа к сайту без повторного введения пароля

Некоторые сайты позволяют постоянно находиться в своей учетной записи, что может привести к тому, что сторонние лица получат доступ к ней лишь за счет использования того же компьютера, на котором пользователь заходил на сайт. Это особенно опасно, если ваши клиенты входят в свой профиль с публичных компьютеров — в библиотеках, отелях, компьютерных клубах и подобных местах. Выход с сайта должен произойти мгновенно или через определенное количество часов после завершения сеанса работы с сайтом.

Обратным образом работает авторизация в социальных сетях: если вы не хотите, чтобы сайт Вконтакте вас помнил, при входе в свой профиль стоит поставить галочку возле поля «Чужой компьютер». Этот способ может быть полезным, если ваш сайт предполагает частый доступ к нему.

Как обезопасить учетные записи

 

Не храните все банковские данные пользователя в его профиле

Сохранение способов оплаты бесспорно является удобством для покупателей, так как это упрощает и ускоряет процесс покупки. Тем не менее, утечка данных платежных карт может серьезно навредить личному благосостоянию ваших клиентов, а сумма потерь, которая будет указана в коллективном судебном иске, вероятнее всего превысит доход вашего бизнеса. Как результат, ваш бизнес может закрыться с долгами, а ваша репутация будет испорчена.

Во избежание этого убедитесь в следующем:

  • номер платежной карты никогда не показывается на сайте полностью — достаточно лишь последних 4 цифр
  • СVС-код, расположенный на тыльной стороне карты, должен быть введен при каждой покупке.

Как обезопасить учетные записи

В противном случае, откажитесь от сохранения банковских данных пользователей или позволяйте системе запомнить лишь номер карты без дополнительной информации.

Вы можете также разработать собственные механизмы безопасности. Например, на сайте интернет-аукциона eBay можно повторно зарегистрироваться с уже существующим email-адресом. Во избежании мошенничества и доступа к чужим пользовательским данным форма регистрации принимает все адреса электронной почты, не выдавая ошибку «Этот пользователь уже существует». Так злоумышленникам сложнее отследить, есть ли у их жертвы аккаунт на сайте.

Задание к выполнению
Настройка безопасности сайта
Выполните все рекомендации, указанные в статье, прежде чем запускать продажи, или исправьте текущие ошибки, если они имеются
Предыдущая статья
Следующая статья

Хватит просто читать!

Зарегистрируйся в Cybertrassa и научись реально управлять интернет-бизнесом!
Полный доступ ко всем материалам
30% материалов доступно только зарегистрированным пользователям.
Читайте статьи и выполняйте задания
До 80% процентов прочитанного материала забывается, если теория не применяется на практике.
Копите бонусы и меняйте на услуги для бизнеса
Экономьте до 10 тысяч рублей ежемесячно.
Начать обучение