เคยเจอระบบอะไรอย่างนี้มั๋ย


ผมทำประกันกับบริษัทข้ามชาติรายใหญ่รายหนึ่ง ซึ่งมีบริการออนไลน์ให้ลูกค้าได้เข้าไปดูข้อมูลการส่งเงิน ข้อมูลตัวแทนซึ่งก็ดีครับ เพียงแต่ว่าปัญหาคือมีระบบรักษาความปลอดภัยและสิ่งที่ทำได้ต้องบอกว่าผิดหวัง

  1. เริ่มจากคุณไม่สามารถใช้ Firefox เข้าไปอ่านอะไรได้ถ้าไม่ตั้ง default เป็นภาษาไทย (ปกติถึงคุณจะตั้งให้ภาษาจีนเป็นหลักก็สามารถอ่านได้เพราะระบบจะหาภาษาของหน้านั้นๆ ได้ครับ แต่เว็บนี้ ไม่ได้ใส่ <meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″> ใดๆ ไว้เลย แปลว่าลูกค้าต้องตั้งภาษาใหม่ให้เอง)
  2. ระบบสมาชิกเป็นอะไรที่ทำใจลำบากเพราะคุณต้องปรับตัวเข้ากับระบบ อย่างมาก ปกติผมมีชื่อผู้ใช้และรหัสผ่านหลายตัว ตามความสำคัญและระยะเวลา แต่ที่นี่ผมต้องตั้งใหม่หมดเพราะ ข้อกำหนดชื่อผู้ใช้
    • กรุณาระบุรหัสประจำตัวต้องมีความยาวอย่าง 8 ถึง 13 ตัวอักษร
    • รหัสประจำตัวควรเป็นตัวอักษรภาษาอังกฤษหรือตัวเลข
    • รหัสประจำตัวต้องเป็นอักษรภาษาอังกฤษตัวใหญ่ (อันนี้ ต้องจำมากๆ เพราะปกติจะตั้งตัวเล็กกัน อาจตั้งเป็นตัวเล็กตัวใหญ่ แต่ ใครตั้งเป็นตัวใหญ่ทั้งหมดละ)

    มาดูรหัสผ่านกันบ้าง ทุกครั้งที่ตั้งรหัสผ่านใหม่ จะค่อยๆ ปรากฏ กฎออกมาว่า

    • รหัสผ่านต้องมีความยาว 8 ตัวอักษรเท่านั้น (ผมจะตั้ง 11 หลักไม่ได้เหรอ)
    • รหัสผ่านควรเป็นตัวอักษรภาษาอังกฤษหรือตัวเลข (น่าจะเขียนว่า รหัสผ่านต้องมีตัวอักษรภาษาอังกฤษและตัวเลข อย่างน้อย อย่างละ 1 ตัวอักษร จะตรงความหมายกว่า)
    • รหัสผ่านที่ท่านกำหนดต้องมีอย่างน้อย 1 หลักที่ไม่เป็นตัวอักษร
    • รหัสผ่านตัวแรกต้องเป็นอักษรภาษาอังกฤษตัวใหญ่
    • รหัสผ่านตัวสุดท้ายต้องเป็นอักษรภาษาอังกฤษตัวเล็ก

    น่าจะบอกไปครั้งเดียวไปเลยว่า มี 8 อักษร เริ่มด้วยอักษรภาษาอังกฤษตัวใหญ่ จบด้วยอักษรภาษาอังกฤษตัวเล็ก อีก 6 ใส่อะไรก็ได้ แต่ต้องมีตัวเลขอย่างน้อย 1 ตัว
    ซึ่งหมายความว่าเจาะได้ง่ายขึ้น อย่างน้อยการเดารหัสผ่าน คุณสามารถเอาอักษรภาษาอังกฤษ (ตัวเล็ก) ออกไปได้ถึง 24 ตัว และรหัสผ่าน สามารถกำหนดให้โปรแกรมสุ่มรหัสได้เลยว่ามี 8 ตัวอักษร และหลักใดเป็นตัวเล็ก ตัวใหญ่ ยังไม่รวมสามารถเอาอักขรพิเศษออกไปได้ด้วยการรู้กฏพวกนี้ ความน่าจะเป็นของรหัสผ่าน จะลดลงอย่างมาก โอกาศเจาะสำเร็จมีสูงขึ้นไปด้วย
    ส่วนผู้ใช้ธรรมดากลับโดนลงโทษด้วยความซับซ้อนที่ต้องจำเพิ่ม เพิ่มความเสี่ยง และลดโอกาสการใช้งาน

  3. คำถามกันลืมมีตัวเลือก

    • นามสกุลมารดาก่อนสมรส :
    • สีที่ชอบ :
    • วันเดือนปีเกิด :
    • สถานที่เกิด :
    • หมายเลขโทรศัพท์ :

    ให้เลือกได้ 3 ข้อแต่นอกจาก สีที่ชอบ ซึ่งคงมีคนตอบ เขียว เหลือง แดง ไม่กี่สิบสี แล้วที่เหลือแทบจะหาได้จาก ข้อมูลที่คุณส่งให้ตัวแทน หรือเพื่อนคุณ เพื่อนบ้านคุณ ฝ่ายบุคลที่บริษัท อาจจะทราบเพราะ ไม่มีอะไรเป็นความลับที่หาได้ยากเลย จังหวัดเกิดดูพวก hi5 Facebook ก็มีข้อมูลอยู่บ้าง ชื่อผู้ใช้ส่วนใหญ่แล้วจะใช้ซ้ำกับระบบอื่นๆ อยู่แล้ว

  4. เข้าด้านในถ้าใช้ Firefox จะเห็นพวก <%@ page language=”java” contentType=”text/html; charset=MS874″ pageEncoding=”M (อืมมีโค้ด java ให้ดูด้วย ฉลาดมากรู้ว่าผมทำอาชีพอะไร)
  5. ผมมีประกัน 2 ฉบับ แต่กรอกเพิ่มไปยังไงก็ได้แสดงแค่ฉบับแรก ฉบับเดียว และไม่เห็นข้อมูลตัวแทนคนที่สองคนครับ
  6. ดูมูลค่าหน่วยลงทุน สุดยอดครับมีผมหน่วยลงทุนมูลค่าเป็น หลักร้อยล้านบาท (มูลค่ารวมคนที่ถือกองทุนกับเค้าทั้งหมดทุกคนนะครับ ไม่ใช่ผม) แถมดูย้อนหลังได้ถึง 2 เดือน แล้วของผมมีเท่าไหร่ ปรากฏว่า ไม่มีรายงานครับ อืม

การออกแบบระบบ ต้องคำนึงถึงการใช้งานของผู้ใช้ด้วยลูกค้าอาจจะเข้ามาโดยใช้วิธีการที่เราไม่ได้ทดสอบ คิดถึงความสะดวก ความปลอดภัย การใช้งานจริง เพราะคนที่จะใช้จริงๆ คือ ผู้ใช้ทั่วไป ที่มีประสบการณ์ ความมดิด ต่างกันออกไป ต้องคิดเยอะๆ หลากหลายมุม ถ้าคิดไม่ออกดูคนอื่นครับ และต้องทดสอบ กับทดสอบให้มากที่สุด

About plusmagic

PHP lover in thailand

Posted on 2010/09/13, in Life, programming and tagged , , , , , , , , , , , , , . Bookmark the permalink. ใส่ความเห็น.

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: