অ্যান্ড্রয়েডে জিমেইল পাসওয়ার্ড কীভাবে সংরক্ষণ করা হয় - এবং কোথায়?

আমি চারপাশে দেখেছি এবং অ্যান্ড্রয়েড কীভাবে ডিভাইসে পাসওয়ার্ডগুলি পরিচালনা করতে পারে তার কোনও তথ্য পাইনি। বিশেষত জিমেইল পাসওয়ার্ড। আমি কীভাবে অ্যান্ড্রয়েড পাসওয়ার্ডগুলি এনক্রিপ্ট করে এবং সঞ্চয় করে তা জানতে চাইছি? এটি কী কী ব্যবহার করে এবং এই কীটি সংরক্ষণ করা হয়েছে এবং এটি কোন এনক্রিপশন অ্যালগরিদম ব্যবহার করে।

Gmail এর অফিসিয়াল অ্যাপ্লিকেশন আপনার ডিভাইসে পাসওয়ার্ড সংরক্ষণ করে না । আপনি যদি এই অ্যাপ্লিকেশনটি ব্যবহার করেন তবে আপনার পাসওয়ার্ডটি 100% নিরাপদ।

এটি কীভাবে এটি কাজ করে: গুগলটির অনুমোদনের সার্ভারগুলি কেবল প্রথমবারের জন্য ব্যবহার করে password প্রথম সফল প্রমাণীকরণের পরে, একটি Auth Tokenডিভাইসে ডাউনলোড করা হয় যা accounts.dbফাইলটিতে সরল পাঠ্য হিসাবে সংরক্ষণ করা হয় । পরবর্তী সমস্ত Auth Tokenলগইনের জন্য, এটি ব্যবহার করা হয়, এটি আপনার আসল পাসওয়ার্ড নয়।
সুতরাং, যদি আপনার ডিভাইসটি চুরি হয়ে যায়, তবে যে কেউ যে কেউ পেতে পারে তা হ'ল Auth Tokenযা আপনি নিজের পাসওয়ার্ড পরিবর্তন করার পরে অবৈধ হয়ে যায়। সুতরাং, আপনি চূড়ান্ত কমান্ড হতে হবে।
চূড়ান্ত সুরক্ষার জন্য, আমি আপনাকে আপনার ডিভাইসটির জন্য সক্ষম 2-Factor Authenticationএবং তৈরি করার Device Specific Passwordজন্য পরামর্শ দেব । ডিভাইস হারানোর পরে, আপনার কেবলমাত্র সেই ডিভাইসটি অক্ষম করা দরকার। এমনকি আপনার প্রধান পাসওয়ার্ড পরিবর্তন করার প্রয়োজন নেই।

দ্রষ্টব্য: আপনি যদি Gmail এর জন্য তৃতীয় পক্ষের ইমেল অ্যাপ্লিকেশন ব্যবহার করেন তবে এগুলি সত্য নয়। স্টক ইমেল অ্যাপ্লিকেশন, কে -9 মেল ইত্যাদি আইএমএপি বা পিওপি প্রোটোকলের প্রতিবার ব্যবহারকারীদের প্রমাণীকরণের জন্য মূল পাসওয়ার্ডের প্রয়োজন। সুতরাং, সরল পাসওয়ার্ডটি সার্ভারে প্রেরণের আগে ইমেল অ্যাপ্লিকেশনটিতে উপলব্ধ হওয়া দরকার। সুতরাং, বেশিরভাগ ইমেল অ্যাপ্লিকেশন পাসওয়ার্ডগুলি সরল পাঠ্যে সঞ্চয় করে (হ্যাশিং / এনক্রিপশন অকেজো কারণ হ্যাশিং / এনক্রিপশন কী স্থানীয়ভাবে সংরক্ষণ করা দরকার)। এই ক্ষেত্রে, আমি আপনাকে আপনার ডিভাইসটির জন্য সক্ষম 2-Factor Authenticationএবং তৈরি করার Device Specific Passwordজন্য পরামর্শ দেব । ডিভাইস হারানোর পরে, আপনার কেবলমাত্র সেই ডিভাইসটি অক্ষম করা দরকার।

আপডেট:
প্রযুক্তিগতভাবে, স্থানীয়ভাবে এনক্রিপশন কী / হ্যাশিং কীটি স্থানীয়ভাবে এনক্রিপশন কী / হ্যাশিং কী না রেখে স্থানীয়ভাবে পাসওয়ার্ডগুলি এনক্রিপ্ট / হ্যাশ আকারে সংরক্ষণ করা সম্ভব। এটি প্রকাশ করার জন্য @ জেফএসেবাস্তিয়ানকে ধন্যবাদ। দুর্ভাগ্যক্রমে, অ্যান্ড্রয়েডের জন্য এ জাতীয় বাস্তবায়ন এখনও উপলভ্য নয়। আইসিএস শুরু করে, অ্যান্ড্রয়েড কীচইন এপিআই সরবরাহ করে যা কোনও অ্যাপ্লিকেশন স্থানীয়ভাবে সুরক্ষিত ফর্মে একটি পাসওয়ার্ড সঞ্চয় করতে পারে। কীচেইন এপিআই ব্যবহার করে এমন অ্যাপ্লিকেশনগুলি বিরল, তবে স্টক ইমেল অ্যাপ্লিকেশন এটি ব্যবহার করে (এই তথ্যের জন্য @ ওয়াওয়াকে ধন্যবাদ)। সুতরাং, আপনার পাসওয়ার্ডটি যতক্ষণ না আপনার স্ক্রীনটি লক থাকে ততক্ষণ স্টক ইমেল অ্যাপ্লিকেশন সহ সুরক্ষিত থাকবে। মনে রাখবেন, ডিভাইস রুট করা থাকলে এবং প্রি-আইসিএস ডিভাইসে এটি উপলব্ধ না থাকলে কীচেইন নিরাপদ নয়।

অন্তর্নির্মিত ইমেল অ্যাপ্লিকেশনটির সাথে ব্যবহৃত অ্যান্ড্রয়েড পাসওয়ার্ডগুলি একটি এসকিউএল ডাটাবেসের অভ্যন্তরে সরল পাঠ্যে সংরক্ষণ করা হয়। এটি জিমেইল অ্যাপ্লিকেশনটির বিপরীতে , যা শচীন শেখরের উত্তরে বর্ণিত অথ টোকেন্সকে ব্যবহার করে ।

জেলি বিনের জন্য, ডাটাবেসের অবস্থানটি হ'ল:

/data/system/users/0/accounts.db

^{উপরের অবস্থানটি অ্যান্ড্রয়েড সংস্করণে পরিবর্তিত হয়}

অপরিশোধিত ডিভাইসে থাকা এই অবস্থানটি অপারেটিং সিস্টেম দ্বারা সুরক্ষিত এবং সুরক্ষিত।
মূলযুক্ত ডিভাইসগুলিতে, ব্যবহারকারীরা ইতিমধ্যে প্রযুক্তিগতভাবে তাদের নিজস্ব সুরক্ষা ফাটিয়ে ফেলেছেন এবং এটি সাধারণ পাঠ্য না থাকলেও এটি ডিক্রিপ্ট করার পক্ষে তুচ্ছ হবে কারণ ডিভাইসটি চালানোর জন্য এটির কোথাও কোনও কি আছে।

অ্যান্ড্রয়েড বিকাশ টিমের একজন সদস্য একটি ব্যাখ্যা পোস্ট করেছেন যা আজ অবধি প্রয়োগ হয়:

এখন, এই বিশেষ উদ্বেগ সম্মানের সাথে। স্পষ্ট করার জন্য প্রথম বিষয়টি হ'ল ইমেল অ্যাপ্লিকেশনটি চারটি প্রোটোকল সমর্থন করে - পিওপি 3, আইএমএপি, এসএমটিপি এবং এক্সচেঞ্জ অ্যাক্টিভ্যাস - এবং খুব কম, খুব সীমাবদ্ধ ব্যতিক্রম সহ, এই সমস্তগুলি পুরানো প্রোটোকল যার জন্য ক্লায়েন্টটি সার্ভারে পাসওয়ার্ডটি উপস্থাপন করে প্রতিটি সংযোগে। আপনি ডিভাইসে অ্যাকাউন্টটি যতক্ষণ ব্যবহার করতে চান ততক্ষণ এই প্রোটোকলগুলির জন্য আমাদের পাসওয়ার্ড ধরে রাখতে হবে। নতুন প্রোটোকলগুলি এটি করে না - এই কারণেই কিছু নিবন্ধ Gmail এর সাথে বিপরীত হয়েছে। আরও নতুন প্রোটোকল ক্লায়েন্টকে একবার টোকেন তৈরি করতে, টোকেন সংরক্ষণ করতে এবং পাসওয়ার্ডটি বাতিল করতে পাসওয়ার্ডটি ব্যবহার করার অনুমতি দেয়।

আমি আপনাকে মন্তব্যে লিঙ্ক করা নিবন্ধটি পর্যালোচনা করার জন্য অনুরোধ # 38 , যা ভালভাবে লেখা এবং বেশ তথ্যপূর্ণ। এটি "অস্পষ্ট" পাসওয়ার্ডগুলির মধ্যে পার্থক্য এবং তাদের সত্যিকারের "সুরক্ষিত" করার পক্ষে খুব ভাল পটভূমি সরবরাহ করে। কেবল আপনার পাসওয়ার্ডকে অস্পষ্ট করা (যেমন বেস64) বা অন্য কোথাও সঞ্চিত কী দ্বারা এটি এনক্রিপ্ট করা আপনার পাসওয়ার্ড বা আপনার ডেটাটিকে আরও সুরক্ষিত করবে না । একজন আক্রমণকারী এখনও এটি পুনরুদ্ধার করতে সক্ষম হবে।

(বিশেষত, অন্যান্য ইমেল ক্লায়েন্টদের মধ্যে কিছু ক্লিয়ারটেক্সটে পাসওয়ার্ড সংরক্ষণ না করার বিষয়ে কিছু দাবি করা হয়েছে Even এমনকি এটি সত্য যেখানে এটি পাসওয়ার্ডটি আরও সুরক্ষিত তাও নির্দেশ করে না A একটি সহজ পরীক্ষা: আপনি যদি বুট আপ করতে পারেন তবে ডিভাইস এবং এটি আপনার কনফিগার করা অ্যাকাউন্টগুলিতে ইমেল পেতে শুরু করবে, তারপরে পাসওয়ার্ডগুলি সত্যই সুরক্ষিত নয় either তারা হয় অবরুদ্ধ বা অন্য কোথাও সঞ্চিত অন্য কী দিয়ে এনক্রিপ্ট করা))

মূলত, যেহেতু এই সমস্যাটি অনেকগুলি অ্যান্ড্রয়েড ব্যবহারকারীকে বিরক্ত করছে বলে মনে হচ্ছে, আপনি স্ল্যাশডট - সমতল টেক্সটে স্ট্যান্ডার্ড অ্যান্ড্রয়েড পাসওয়ার্ড ডেটাতেও এই আলোচনাটি অনুসরণ করতে পারেন ।