Что такое сброс пароля
Перейти к содержимому

Что такое сброс пароля

  • автор:

Сброс забытого пароля учетной записи Майкрософт

Эта статья посвящена сбросу забытого пароля учетной записи Майкрософт. Если вы хотите изменить известный пароль, см. статью Изменение пароля учетной записи Майкрософт .

1. Выберите пункт «Забыли пароль?»

Если окно «Ввод пароля» по-прежнему открыто, выберите Забыли пароль?

Если нет, выберите Сбросить пароль ниже, введите имя пользователя для учетной записи, которую вы пытаетесь сбросить, и нажмите кнопку Далее.
Сброс пароля

Изображение окна

2. Проверка удостоверения

Для вашей защиты корпорация Майкрософт должна проверить ваше удостоверение, прежде чем вы сможете продолжить сброс пароля.

  1. Выберите способ получения кода проверки.
  • Если вы не видите параметр для отправки кода или у вас больше нет доступа ни к одному из отображаемых параметров проверки, используйте это вспомогательное средство входа.
  • Если вы не распознаете ни один из вариантов электронной почты или телефона для проверки подлинности, используйте это вспомогательное средство входа.

Снимок экрана вариантов проверки удостоверения

3. Получение кода проверки

Для вашей защиты мы попросим вас подтвердить выбранные сведения о проверке.

  1. В зависимости от выбранного вами способа связи повторно введите первую часть адреса электронной почты или последние четыре цифры номера телефона, упомянутого в предыдущем окне.
  2. Выберите Получить код.
  3. Корпорация Майкрософт отправит код проверки на выбранный вами адрес электронной почты или номер телефона.
  4. Перейдите на телефон для восстановления или адрес электронной почты, на который вы ожидаете получить код.

Снимок экрана выбранного варианта проверки для получения кода

4. Ввод кода и сброс пароля

Подтвердите код для создания нового пароля. Узнайте, как создать надежный пароль.

  1. Вставьте или введите полученный код и нажмите Далее.
  2. Введите новый пароль и нажмите Далее.

Требуется дополнительная помощь?

Если эти действия не помогли или у вас возникли другие проблемы со входом в учетную запись, используйте наше вспомогательное средство входа.

Facebook LinkedIn Электронная почта

Нужна дополнительная помощь?

Нужны дополнительные параметры?

Изучите преимущества подписки, просмотрите учебные курсы, узнайте, как защитить свое устройство и т. д.

В сообществах можно задавать вопросы и отвечать на них, отправлять отзывы и консультироваться с экспертами разных профилей.

Сброс пароля локальной учетной записи Windows

Используйте следующие инструкции для сброса пароля локальной учетной записи. Ваша локальная учетная запись регистрирует вас на вашем устройстве в автономном режиме, но она не связана с другими вашими устройствами. Для более полной работы мы рекомендуем войти в систему с учетной записью Microsoft, чтобы получить доступ к таким службам, как Outlook, Skype и OneDrive, на любом из ваших устройств. Если вы забыли пароль Windows 11, самый простой способ вернуться в учетную запись — сбросить пароль для учетной записи Майкрософт.

Сброс пароля локальной учетной записи для Windows 11

Если вы добавили контрольные вопросы при настройке локальной учетной записи для Windows 11, вы можете ответить на контрольные вопросы, чтобы снова войти в систему.

После ввода неверного пароля выполните следующие действия.

  1. Выберите ссылку Сброс пароля на экране входа. Если вместо этого вы используете ПИН-код, см. статью Проблемы при входе в ПИН-код. Если вы используете рабочее устройство в сети, пункт сброса ПИН-кода может не отобразиться. В этом случае обратитесь к своему администратору.
  2. Ответьте на контрольные вопросы.
  3. Введите новый пароль.
  4. Войдите в систему обычным образом с новым паролем.

Используйте следующие инструкции для сброса пароля локальной учетной записи. Ваша локальная учетная запись регистрирует вас на вашем устройстве в автономном режиме, но она не связана с другими вашими устройствами. Для более полной работы мы рекомендуем войти в систему с учетной записью Microsoft, чтобы получить доступ к таким службам, как Outlook, Skype и OneDrive, на любом из ваших устройств. Если вы забыли пароль Windows 10, самый простой способ вернуться в учетную запись — сбросить пароль для учетной записи Майкрософт.

Восстановление пароля к локальной учетной записи для Windows 10, версии 1803, и более поздних версий

Если во время настройки локальной учетной записи для Windows 10 вы добавили контрольные вопросы, это означает, что у вас установлена версия не ниже 1803 и вы можете ответить на них, чтобы снова войти в систему.

После ввода неверного пароля выполните следующие действия.

  1. Выберите ссылку Сброс пароля на экране входа. Если вместо этого вы используете ПИН-код, см. статью Проблемы при входе в ПИН-код. Если вы используете рабочее устройство в сети, пункт сброса ПИН-кода может не отобразиться. В этом случае обратитесь к своему администратору.
  2. Ответьте на контрольные вопросы.
  3. Введите новый пароль.
  4. Войдите в систему обычным образом с новым паролем.

Восстановление пароля к локальной учетной записи для Windows 10 версии ниже 1803

Для версий Windows 10 ниже 1803 пароли к локальным учетным записям нельзя сбросить, так как в этих версиях отсутствуют контрольные вопросы. Вы можете сбросить устройство, чтобы выбрать новый пароль, но при этом данные, программы и параметры будут удалены без возможности восстановления. Если вы создали резервную копию файлов, вы сможете восстановить удаленные файлы. Дополнительные сведения см. в разделе Параметры восстановления в Windows.

Чтобы выполнить сброс устройства, при котором будут удалены все данные, программы и параметры, выполните следующие действия.

  1. Нажмите клавишу SHIFT , нажав кнопку Питания >Перезапустить в правом нижнем углу экрана.
  2. На экране Выбор действия выберите пункт Диагностика >Вернуть компьютер в исходное состояние.
  3. Выберите команду Удалить все.

Шпаргалки по безопасности: сброс пароля

Решили продолжить перевод шпаргалок по безопасности от OWASP на фоне массовых восстановлений паролей после утечки базы данных у сервиса rzd-bonus.ru.

Введение

Для того, чтобы реализовать надлежащую систему управления пользователями, в нее обычно внедрена служба по восстановлению пароля, которая позволяет пользователям сделать сброс пароля в случае его утери. Несмотря на то, что данная функциональность выглядит довольно понятной и простой, она является частым источником уязвимостей, одна из таких – подбор имени пользователя. Следующие небольшие инструкции можно использовать в качестве краткой памятки в случае утери пароля:

  • возвращать одинаковое сообщение как существующим, так и несуществующим учетным записям;
  • убедиться, что время, которое будет затрачено на ответ пользователю, является одинаковым;
  • использовать сторонний канал для сброса пароля;
  • использовать URL токены для простой и быстрой реализации;
  • убедиться, что сгенерированные токены или коды:
    • генерируются случайным образом с использованием безопасного криптографического метода;
    • невозможно перебрать за разумное время методом полного перебора;
    • обеспечено надежное хранение;
    • одноразовое использование и срок жизни истекает через определенный период.

    Эта шпаргалка посвящена сбросу паролей пользователей.

    Служба восстановления (сброса) паролей

    Процесс сброса пароля можно разделить на две части, которые детально представлены в следующих разделах.

    Запрос на сброс

    Когда пользователь использует службу сброса пароля и заполняет свой логин или почту, системе следует придерживаться следующих шагов, чтобы обеспечить процессу конфиденциальность:

    • вернуть одинаковое сообщение как существующим, так и несуществующим учетным записям;
    • убедиться, что запрос возвращается через одинаковое время для того, чтобы избежать перебора существующих учетных записей злоумышленником;
    • реализовать защиту от автоматических проверок, например, CAPTCHA, ограничение скорости запросов или другие методы;
    • использовать классические методы защиты, например, защита от SQL-инъекций, использование валидации на ввод данных и др.

    Пользователь сбрасывает пароль

    Единожды подтверждая свою личность токеном (через почту) или кодом (через SMS), пользователь должен иметь возможность сменить пароль на другой, более безопасный.

    • пользователь должен подтвердить пароль, введя его дважды;
    • убедитесь, что при сбросе пароля используется безопасная политика паролей, аналогичная с остальной частью приложения;
    • обновить и сохранить пароль, следуя правилам безопасности;
    • отправить пользователю письмо с информацией, что его пароль был успешно сменен (но не присылать сам пароль в сообщении!);
    • после смены пароля пользователю нужно самостоятельно зайти в приложение через обычные механизмы входа. Не выполняйте автоматический вход в систему за пользователя, поскольку это вносит дополнительную сложность в код аутентификации и обработку сеанса, а также увеличивает вероятность появления уязвимостей.
    • спросить у пользователя, не хочет ли он самостоятельно завершить все существующие сеансы или завершить все такие сеансы автоматически.

    Методы сброса пароля

    Чтобы пользователь мог запросить сброс пароля, вам понадобится способ, чтобы идентифицировать пользователя, или способ, чтобы связаться с ним через сторонний канал.

    Это может быть сделано любым из следующих методов:

    • токены URL;
    • PIN-коды;
    • автономные методы;
    • контрольные вопросы.

    Эти методы можно использовать вместе, чтобы обеспечить большую степень уверенности в том, что пользователь является тем, кем он себя называет. Несмотря ни на что, вы должны убедиться, что у пользователя всегда есть способ восстановить свою учетную запись, даже если для этого необходимо обратиться в службу поддержки и подтвердить свою личность сотрудникам.

    Общие практики

    Важно применять передовые методы безопасности для идентификаторов сброса (токены, коды, PIN-коды и т. д.). Некоторые моменты не относятся к автономным методам, например, ограничение время жизни. Все токены и коды должны:

    • быть сгенерированы криптографически безопасным генератором случайных чисел;
    • также можно использовать веб-токены JSON (JWT) вместо случайных токенов, хотя это может привести к дополнительной уязвимости;
    • достаточно долго подбираемы, чтобы защитить себя от атак полного перебора;
    • быть связаны с уникальным пользователем в базе данных;
    • утратить силу после того, как они были использованы;
    • храниться безопасным способом.

    Токены URL

    Токены URL-адреса передаются в строке запроса URL-адреса и обычно отправляются пользователю по электронной почте. Процесс выглядит следующим образом:

    1. Создайте токен для пользователя и присоедините его к строке запроса URL.
    2. Отправьте этот токен пользователю по электронной почте.
    3. Не полагайтесь на заголовок Host при создании URL-адресов сброса, чтобы избежать инъекции HTTP-заголовка. URL-адрес должен быть либо жестко зашит, либо должен быть проверен в белом списке доверенных доменов.
    4. Убедитесь, что URL-адрес использует HTTPS.
    5. Пользователь получает электронное письмо и переходит к URL-адресу с прикрепленным токеном.
    6. Убедитесь, что на странице сброса пароля добавлен тег Referrer-Policy со значением «noreferrer» (прим. переводчика: а такое до сих пор случается), чтобы избежать его утечки.
    7. Внедрите соответствующую защиту, чтобы предотвратить перебор токенов в URL-адресе, например ограничение скорости запросов.
    8. При необходимости выполните любые дополнительные шаги проверки, например, попросите пользователя ответить на контрольные вопросы.
    9. Позвольте пользователю создать новый пароль и подтвердить его. Убедитесь, что применяется та же политика паролей, что и в другом месте приложения.

    Примечание. Токены URL могут следовать тому же поведению, что и PIN, путем создания ограниченного сеанса из токена. Решение должно приниматься исходя из потребностей и опыта разработчика.

    PIN-коды

    PIN-коды — это числа (от 6 до 12 цифр), которые отправляются пользователю через сторонний канал, например SMS.

    1. Создайте PIN-код.
    2. Отправьте его пользователю по SMS или другим способом.
    3. Разделяйте PIN пробелами, чтобы упростить чтение и ввод пользователем.
    4. Затем пользователь должен ввести PIN-код вместе со своим именем пользователя на странице сброса пароля.
    5. Создайте ограниченный сеанс для этого PIN-кода, который позволит пользователю сбросить свой пароль.
    6. Позвольте пользователю создать новый пароль и подтвердить его. Убедитесь, что применяется та же политика паролей, что и во всем приложении.

    Автономные методы

    Автономные методы отличаются от других тем, что позволяют пользователю сбрасывать свой пароль без запроса специального идентификатора (например, токена или PIN-кода) из серверной части. Однако серверная часть по-прежнему должна проводить аутентификацию, чтобы гарантировать, что запрос является неподдельным. Автономные методы предоставляют определенный идентификатор либо при регистрации, либо когда пользователь желает его настроить.

    Эти идентификаторы должны храниться в автономном режиме и в защищенном виде (например, менеджеры паролей), а серверная часть должна должным образом следовать общим правилам безопасности. Некоторые реализации построены на аппаратных токенах OTP, сертификатах или любой другой реализации, которая может использоваться внутри предприятия.

    Резервные коды

    Резервные коды должны быть предоставлены пользователю после регистрации, где пользователь должен хранить их в автономном режиме в безопасном месте (например, менеджер паролей). Компании, которые используют данный метод — это Google, GitHub и Auth0.

    При реализации этого метода следует соблюдать следующие правила:

    • минимальная длина — 8 цифр, 12 цифр — для повышенной безопасности;
    • у пользователя должно быть несколько кодов восстановления в любой момент времени, чтобы гарантировать, что один из них работает (большинство сервисов предоставляют пользователю десять резервных кодов);
    • следует реализовать процесс, позволяющий пользователю аннулировать все существующие коды восстановления в случае их взлома третьей стороной;
    • следует реализовать ограничение скорости запросов и другие средства защиты, чтобы злоумышленник не смог подобрать коды резервных копий.

    Контрольные вопросы

    Контрольные вопросы не должны использоваться в качестве единственного механизма для сброса паролей, поскольку их ответы часто легко угадываются или доступны злоумышленникам. Однако они могут обеспечить дополнительный уровень безопасности в сочетании с другими методами, описанными в этой шпаргалке.

    • owasp
    • информационная безопасность
    • пароли
    • безопасность паролей

    Как сбросить пароль на компьютере или смартфоне

    Иногда мы забываем или теряем пароль от своих гаджетов. Сбросить пароль на компьютере или смартфоне очень просто. Рассказываем доступным языком.

    Windows 10
    iPhone и iPad
    Windows 10
    iPhone и iPad

    Зачем мне сбрасывать пароль?

    Сегодня на компьютеры и смартфоны завязано все: не только социальная жизнь, но и работа. Потеря доступа к гаджету — настоящая проблема, сравнимая по масштабам с его физической утратой.

    Вооружившись простыми инструкциями, ты сможешь спасти себя и даже ветреную подругу, которая забыла пароль от iPhone или MacBook!

    Нет ничего проще, если у вас Windows 10

    Владельцам лицензионной Windows 10 сделать «сброс пароля» не составит труда. Для начала следует посетить интернет-страницу восстановления пароля Microsoft с любого устройства.

    Попав на экран «Почему не удается выполнить вход», выберите пункт «Я не помню свой пароль». Теперь самый важный шаг — подтвердите свою личность.

    Сделать это можно двумя способами: получить код безопасности по SMS или электронной почте. После вам придет ссылка на изменение пароля. Теперь можно получить доступ к своей учетной записи на ПК с использованием нового пароля!

    Важно, что для того, чтобы ваш компьютер получил новый пароль, он должен быть подключен к интернету.

    Несколько трюков для владельцев компьютеров Apple

    В любой ситуации — главное не паниковать. Подумаешь, забыли пароль, с кем не бывает? Очень часто операционная системы Windows и macOS просят придумать подсказку для пароля, как раз на такой случай.

    Кроме того, в более поздних версиях macOS добавили привязку к Apple ID. Теперь возможно сбросить пароль, введя свой ID вместо пароля. Сделать это можно так же, как и в случае с подсказкой, на экране выбора учетной записи. Если же по какой-то случайности вы не включали опцию «Сбрасывать пароль с Apple ID», придется прибегнуть к контрмерам.

    Перезагрузите MacBook, а перед загрузкой системы зажмите клавиши Command + R, ожидая загрузки macOS в режиме восстановления. В меню найдите «Терминал» во вкладке «Утилиты». В «Терминале» введите команду resetpassword, выбрав загрузочный диск и учетную запись, а также пароль, который необходимо сбросить. Введите новый пароль и перезагрузите MacBook — все!

    Данный способ не сработает только в случае, если включено шифрование диска с помощью FileVault (по умолчанию отключено). Кроме того, чтобы злоумышленники не могли таким образом получить доступ к системе, рекомендуем установить надежный пароль для входа в режим восстановления.

    Спасаем iPhone и iPad

    Apple старается сделать свои мобильные устройства максимально безопасными с точки зрения хранения данных. Поэтому утеря пароля равносильна потере доступа к устройству. Единственный способ вернуть его — полностью стереть данные, а затем восстановить их из резервной копии, задав новый пароль.

    Процедура потребует от вас компьютер с установленной программой iTunes. Подключите устройство к компьютеру и откройте iTunes, а после подключения устройства выполните принудительный перезапуск. Как только появится предложение выполнить восстановление или обновление, выберите «Восстановить».

    От вас остается ждать, когда iTunes загрузит программное обеспечение, чтобы переустановить iOS устройства. Если загрузка займет больше 15 минут, устройство может выйти из режима восстановления — не пугайтесь, повторите процедуру снова. После восстановления настройте iPhone или iPad, восстановив данные из резервной копии iCloud или iTunes.

    Сбрасываем пароль на Android-устройствах

    Владельцам Android повезло больше, чем пользователям iOS. Разработчики наградили их не только возможностью стереть все данные на устройстве, но и предоставили шанс сбросить пароль при помощи Google account.

    Опция «Забытый пароль» создана как раз на такой форс-мажорный случай. После многократного ввода неверного пароля и 30 секунд ожидания, система сама попросит вас войти через Google account.

    Введите свой Google account (e-mail ID), задайте новый пароль для устройства. В крайнем случае, можно прибегнуть к стиранию данных с помощью Factory Reset — жесткому удалению данных и восстановлению заводских настроек устройства.

    Найдите в интернете, как перевести ваш смартфон или планшет в режим восстановления. Разные устройства входят в режим по-своему. Загрузив смартфон или планшет в режиме Android system recovery, выберите пункт меню Wipe Data/Factory Reset. После процедуры потребуется настроить смартфон с самого начала, либо восстановить данные и пользовательские настройки из резервной копии.

    Похожие публикации:
    1. Как на яндекс картах убрать значки магазинов
    2. Как намотать моточасы на генераторе
    3. Мой точный адрес определить где я
    4. Что такое квантовая кибернетика

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *