Mail2000 V6 登入介面
在登入介面部分,新增3大功能:
- 驗證碼輸入:防止駭客透過暴力法產生的密碼,自動將其輸入並登入測試看當次密碼是否猜測成功。
- 螢幕鍵盤輸入:混合使用實體鍵盤與螢幕鍵盤,可防止實體鍵盤被側錄,進而將密碼傳至遠方駭客。
- 開新視窗:勾選此選項,成功登入後會開啟一個新的瀏覽視窗。不過,由於打開此視窗後只有網址列,並沒有上/下一頁的實用按鈕,在方便性上應該不大,有點多此一舉的感覺。
安全性加倍的螢幕鍵盤
原以為Mail2000的螢幕鍵盤就是普通數字輸入的鍵盤而已,沒甚麼不一樣。仔細看一下鍵盤後,發現「安全強度」的選項,在好奇心的驅動下,便按一下。頓時,發現此鍵盤不只是普通的數字輸入,除了防止實體鍵盤被側錄的功能外,螢幕鍵盤本身安全性上面也考慮到。
怎麼說呢?當較隱私的「密碼」要輸入時,透過實體鍵盤輸入怕被側錄,於是便透過螢幕鍵盤的方式輸入,但此時比駭客更容易得知使用者的密碼,卻是身旁的人。透過使用者螢幕輸入的方式,在旁者可清楚看見螢幕上使用者輸入的資料及其順序,進而可以得知其密碼。為了防範此現象,Mail2000便在螢幕鍵盤上做了一些小動作,進而增加其安全性:
安全強度「低」
就跟普通裝置的輸入鍵旁一樣,沒甚麼不同。
安全強度「中」
每當點選按鈕選項後,按鈕選項會重新亂序排列。
安全強度「高」
每當點選按鈕選項後,按鈕選項會重新亂序排列。此外,當游標指向某按鈕時,其附近的按鈕會被隱藏。
安全強度「強」
每當點選按鈕選項後,按鈕選項會重新亂序排列。此外,當游標指向某按鈕時,其附近更大範圍的按鈕會被隱藏。
按鈕太小
由於鍵盤按鈕無法放大,造成一次觸碰到多個按鈕的現象
Mail2000螢幕鍵盤確實將鍵盤本身安全性方面提高許多,但現今許多螢幕逐漸支援觸控方式來輸入(如上圖),Mail2000螢幕鍵盤無法像Windows內建的鍵盤,可自行放大縮小(如下圖),進而使得以觸控輸入的使用者,變成要以「點」的方式來輸入,造成不便,這一點在未來改版方面,是值得考慮到的一點。
可放大按鈕
未來Mail2000可參考Windows內建的鍵盤,可自行放大縮小
Mail2000 V6「登入錯誤防護」機制
「登入錯誤防護」機制
所謂「登入錯誤防護」機制,便是輸入密碼錯誤超過5次之後,須等待一小時後方可再登入(如上圖),即便使用者於第六次輸入為正確的密碼,也須等待一個小時。個人覺得此措施讓合法使用者,有點麻煩,譬如:有時因使用者本身擁有的密碼有許多組,忘記密碼時須嘗試多組,但因此機制的關係,一旦輸入錯誤超過五次就須等待一小時才可登入,讓使用者有點覺得麻煩。
不用等一小時的解決辦法
在說明解決方法前,先來說明一下「登入錯誤防護」機制的運作原理:原以為Mail2000是利用瀏覽器的Cookies紀錄登入錯誤的次數,但經過更換瀏覽器,以及刪除Cookies後,發現依舊無法順利登入。之後換一個方向來想,最後發現Mail2000郵件系統是運用每次使用者登入時,都會紀錄的連線位址(用戶端IPV4位址,如上圖)登入成功(如下圖)與否來判別,進而達成此機制的運作。
Mail2000 V6 連線位址
因透過用戶端的IPV4位址來判別,故一旦輸入錯誤超過5次的時候,理論上便要等待一小時後方可再次登入。也因此原理,故有小漏洞可跳躍此機制運作,最簡單的方式就是中斷ADSL或是光纖網路的撥號連線(前提是此連線為非固定IP的方式),重新再次連線,便可順利的登入進去,不須傻傻地等待一小時。
這可以說是Mail2000的小漏洞吧?是刻意的嗎?我也不得而知,但其實Mail2000的系統設計人員可以透過”最近失敗登入的時間”來判別是否可登入,而不是透過IPV4位址的連線位址來判別,這樣的方式便可防止此漏洞的發生。但是,若真的如此去設計,合法的使用者一旦輸入錯誤超過5次,就要傻傻地等待1小時,這樣真的很麻煩。所以這個新的登入機制,可以說防君子不防小人?:)
在這邊提供Mail2000未來可以考慮的登入功能:
- 不一定透過E-mail帳號才可登入,直接輸入認證過的手機號碼,也可以透過輸入手機號碼的方式來登入。這個方式也間接可以因為密碼忘記,而可以透過手機方式來得到密碼。
- 驗證碼輸入方面,前幾次不需輸入驗證碼,一旦輸入錯誤超過一定的次數,搭配IPV4位址來的方式,才跑出驗證碼來提供使用者輸入驗證碼,否則每次登入都要輸入那亂七八糟的驗證碼,實在有點麻煩。
※題外話:未來網路也許會有提供指紋輸入系統,不過似乎會衍伸出許多要考慮的地方。
沒有留言:
張貼留言