Kata yang tidak boleh digunakan dalam kata sandi: select, insert, update, delete, drop

 (id.uni-lj.si)
2 poin oleh GN⁺ 2024-01-22 | 1 komentar | Bagikan ke WhatsApp

Reset Kata Sandi Identitas Digital

  • Jika Anda lupa kata sandi setelah mengaktifkan identitas digital, Anda dapat mereset kata sandi melalui halaman ini.
  • Anda harus mengisi informasi pribadi pada formulir di bawah, dan harus mengetahui nama pengguna Anda.
  • Nama pengguna mirip dengan alamat email, misalnya jn1234@student.uni-lj.si.
  • Jika Anda lupa nama pengguna dan kata sandi sekaligus, Anda harus menghubungi helpdesk universitas.

Masukkan Informasi Pribadi

  • Informasi pribadi diperlukan untuk menemukan identitas digital Anda di database.
  • Anda wajib mengisi nama depan, nama belakang, tanggal lahir, ID mahasiswa, dan fakultas asal.
  • Pilihan fakultas mencakup berbagai opsi seperti Akademi Seni Rupa dan Desain, Akademi Musik, serta Akademi Teater, Radio, Film, dan Televisi.

Nama Pengguna dan Pengaturan Kata Sandi Baru

  • Nama pengguna terlihat seperti alamat email; misalnya, nama pengguna John Smith adalah js1234@student.uni-lj.si.
  • Pilih kata sandi yang kuat dan dapat Anda ingat, serta hindari kata sandi yang mudah ditebak.
  • Kata sandi harus terdiri dari minimal 10 karakter, tidak boleh mengandung nama, dan harus memenuhi 3 dari kriteria berikut: huruf besar Latin, huruf kecil Latin, angka, karakter khusus (-_.+@).
  • Kata sandi tidak boleh mengandung kombinasi karakter seperti script, select, insert, update, delete, drop, --, ', /*, */.
  • Untuk mencegah salah ketik, Anda harus memasukkan kata sandi dua kali.

Opini GN⁺

  • Halaman ini membantu pengguna yang lupa kata sandi identitas digital agar dapat mereset kata sandi dengan mudah.
  • Aturan penetapan kata sandi yang kuat berperan penting dalam melindungi informasi digital pengguna.
  • Prosedur untuk menghubungi helpdesk universitas saat lupa nama pengguna dan kata sandi memberikan jalur bagi pengguna untuk mendapatkan bantuan tambahan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-22
Komentar Hacker News

  • Cerita seorang pengembang yang diminta administrator untuk memasukkan string tertentu. Situs tersebut tidak menyimpan kata sandi, melainkan menyediakan antarmuka untuk pengelolaan akun eksternal. Ada rumor bahwa aplikasi lawas bisa memiliki validasi aneh yang membuat login gagal jika kata sandi mengandung string tertentu, tetapi tidak ada contoh spesifik yang diketahui.

  • Pengalaman seseorang yang pernah meretas platform sosial besar saat masih kecil. Dengan memanfaatkan cara yang sekadar menghapus kata-kata terlarang, ia menyuntikkan tag HTML yang valid dan mengendalikan orang-orang yang mengunjungi halaman tersebut.

  • Pendapat bahwa dalam beberapa kasus persyaratan seperti ini adalah ide yang bagus. Banyak orang menulis kode buruk dan arsitektur sistem yang buruk, dan tidak cukup banyak orang yang punya kemampuan, wewenang organisasi, dan waktu untuk menemukannya lalu memaksakan perubahan. Di AS, Anda mungkin tetap harus berbisnis lewat situs web yang dikodekan dengan buruk. Dalam kasus seperti itu, bisa jadi lebih baik mengasumsikan implementasinya akan buruk, seperti yang sering terjadi, lalu merekomendasikan mitigasi yang sesuai.

  • Kritik terhadap pendekatan yang membatasi beberapa kata kunci dan berharap peretas tidak menemukan sesuatu yang belum terpikirkan, alih-alih menggunakan stored procedure dan teknik yang tepat untuk sepenuhnya mencegah SQL injection. Ini bukan tahun 2005 lagi; memastikan input pengguna tidak bercampur dengan SQL bukan lagi ilmu roket. Menyimpan kata sandi tanpa enkripsi bahkan pada 2005 pun sudah merupakan tindakan bodoh.

  • Komentar yang mengatakan akan memakai truncate sebagai gantinya.

  • Pendapat bahwa ini tampaknya berasal dari sistem lama. Beberapa universitas dan bank memakai sistem mainframe lama untuk autentikasi terpusat, dan ada yang menyimpan kata sandi dalam teks biasa serta membatasinya hanya 8 karakter dan huruf kapital. Alasan utama tidak meng-upgrade sistem adalah biaya dan kompleksitas.

  • Pengalaman seorang mahasiswa bahwa tidak semua string terlarang benar-benar diperiksa.

  • Cerita seseorang yang pernah harus membuat persyaratan seperti ini dalam pekerjaannya. Semua string seharusnya di-escape dengan benar, dan query terparametrisasi harus digunakan untuk menghindari serangan SQL injection, tetapi demi pertahanan berlapis, kode yang terlihat seperti SQL atau HTML tetap harus ditolak di semua field.

  • Komentar penuh percaya diri bahwa kata sandinya sendiri tidak akan pernah terdeteksi.

  • Dugaan optimistis bahwa persyaratan seperti ini mungkin berasal dari WAF (web application firewall) yang terlalu agresif.