Reality Hacking在前面的章節已經談過了,接下來我們要進入更深一層-名字聽起來也更虛幻的一層,Soul Hacking。
Soul Hacking其實是一種心理戰,基本上就是結合心理學的一種入侵方式。我們在設計一個安全系統的時候,通常只會考慮到"如果使用者XXX,我們就要以OOO的方式來對應"(普通的邏輯系統似乎都是這樣寫的,對吧?),而不太會去考慮相反的事情:"如果我們做了XXX,使用者下一部會做什麼?"
最簡單的例子,假設現在有一個安全系統,如果要登入管理層的話,除了使用者的ID以外,還需要多輸入一層管理者密碼,可能很多設計者會這樣設計 : A. 提示使用者輸入ID B:提示使用者輸入第一層密碼 C:提示使用者輸入管理層密碼
聽起來非常合理,不是嗎?所以我們就會給使用者資訊:這個登入流程需要一個ID 需要一個密碼 需要一個管理者密碼。
我們換個角度想,如果我們登入流程變成這樣,換你是入侵者,你會有什麼反應? A. 提示使用者輸入ID B.提示使用者輸入密碼 C. 提示使用者輸入了錯誤的密碼,要求重新輸入:不過事實上,第二層密碼驗證是對的,系統正在等你輸入管理者密碼。
我們在舉個比較簡單的例子,也是大家比較容易碰到的例子。以前,BBS基本上都會要求使用者輸入帳號,如果帳號不存在,系統會提示你這個帳號不存在。可是,現在的PTT,無論你輸入什麼帳號,他都會要求你輸入密碼,也只有"帳號密碼不對!"的提示,而不會告訴你無此帳號還是密碼不對。
No comments:
Post a Comment