ডাটাবেসে পাসওয়ার্ড সংরক্ষণের সর্বোত্তম উপায় [বন্ধ]

আমি এমন একটি প্রকল্পে কাজ করছি যার প্রমাণীকরণ থাকতে হবে (ব্যবহারকারীর নাম এবং পাসওয়ার্ড)

এটি একটি ডাটাবেসের সাথেও সংযোগ স্থাপন করে, তাই আমি অনুভব করেছি যে আমি সেখানে ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংরক্ষণ করব। যাইহোক, ডাটাবেসে বসে একটি টেবিলের মধ্যে কেবল একটি পাঠ্য ক্ষেত্র হিসাবে পাসওয়ার্ড থাকা ভাল ধারণা নয় বলে মনে হয়।

আমি সি # ব্যবহার করছি এবং ২০০৮ এক্সপ্রেস সার্ভারে সংযোগ করছি। এই ধরণের ডেটা সংরক্ষণের সর্বোত্তম উপায় কী হতে পারে (যতটা সম্ভব উদাহরণ সহ) কেউ পরামর্শ দিতে পারেন?

পিএস আমি এই ধারণাটির জন্য উন্মুক্ত যে কোনও ভাল কারণ যদি সরবরাহ করা যায় তবে এই তথ্যটি ডাটাবেসে সংরক্ষণ করা হবে না

আপনি ঠিক বলেছেন যে একটি সরল-পাঠ্য ক্ষেত্রে পাসওয়ার্ডটি সংরক্ষণ করা একটি ভয়াবহ ধারণা। যাইহোক, যতদূর অবস্থান যায় , বেশিরভাগ ক্ষেত্রে আপনি মুখোমুখি হয়ে যাচ্ছেন (এবং আমি সত্যই কোনও পাল্টা উদাহরণের কথা ভাবতে পারি না) ডাটাবেসে পাসওয়ার্ডের উপস্থাপনা সংরক্ষণ করা সঠিক কাজ। উপস্থাপনা দ্বারা আমি বলতে চাচ্ছি যে আপনার হ্যাশ করার জন্য একটি লবণ (যা প্রত্যেক ব্যবহারকারীর জন্য পৃথক হতে হবে) এবং একটি নিরাপদ 1-পথ অ্যালগরিদম এবং দোকান ব্যবহারে পাসওয়ার্ড চান যে , মূল পাসওয়ার্ড দূরে নিক্ষেপ। তারপরে, আপনি যখন কোনও পাসওয়ার্ড যাচাই করতে চান, আপনি মানটি হ্যাশ করুন (একই হ্যাশিং অ্যালগরিদম এবং লবণ ব্যবহার করে) এবং এটি ডাটাবেসের হ্যাশ মানটির সাথে তুলনা করুন।

সুতরাং, আপনি যখন এটির বিষয়ে ভাবছেন এটি একটি ভাল বিষয় এবং এটি একটি ভাল প্রশ্ন, এটি আসলে এই প্রশ্নের সদৃশ (অন্তত):

• কীভাবে ব্যবহারকারীর তথ্য এবং ব্যবহারকারীর লগইন এবং পাসওয়ার্ড সেরা সঞ্চয় করা যায়
• ডাটাবেস পাসওয়ার্ড সংরক্ষণের জন্য সেরা অনুশীলন
• আপনার পাসওয়ার্ড সল্টিং: সেরা অভ্যাস?
• পিএইচপি ভেরিয়েবল বা পিএইচপি ধ্রুবকটিতে প্লেইন পাসওয়ার্ডে পাসওয়ার্ড সংরক্ষণ করা কি ঠিক আছে?

সল্টিং বিটের উপরে আরও কিছুটা স্পষ্ট করার জন্য, কেবল একটি পাসওয়ার্ড হ্যাশ করা এবং সংরক্ষণ করা যে বিপদটি হ'ল যদি কোনও দোষকর্তা আপনার ডাটাবেসটি ধরে রাখেন তবে তারা "ডিক্রিপ্ট" করতে সক্ষম হতে রংধনু টেবিল হিসাবে পরিচিত যা ব্যবহার করতে পারেন পাসওয়ার্ড (কমপক্ষে যারা রেনবো টেবিলটিতে প্রদর্শিত হবে)। এটি ঘুরে দেখার জন্য, বিকাশকারীরা পাসওয়ার্ডগুলিতে একটি লবণ যুক্ত করে যা সঠিকভাবে করা হয়ে গেলে, রংধনু আক্রমণকে সহজভাবে অক্ষম করে তোলে। মনে রাখবেন যে একটি সাধারণ ভুল ধারণাটি হ'ল সমস্ত পাসওয়ার্ডে কেবল একই অনন্য এবং দীর্ঘ স্ট্রিং যুক্ত করা; যদিও এটি ভয়াবহ নয় , প্রতিটি পাসওয়ার্ডে অনন্য লবণ যুক্ত করা ভাল। আরও পড়ুন।

পটভূমি আপনি কখনও ... সত্যই ... ব্যবহারকারীর পাসওয়ার্ড জানতে হবে না। আপনি কেবলমাত্র একজন আগত ব্যবহারকারী কোনও অ্যাকাউন্টের পাসওয়ার্ড জানেন তা যাচাই করতে চান।

হ্যাশ ইট: স্টোর ব্যবহারকারীর পাসওয়ার্ডগুলি শক্তিশালী হ্যাশ ফাংশনের মাধ্যমে হ্যাশ (একমুখী এনক্রিপশন)। "সি # এনক্রিপ্ট পাসওয়ার্ড" এর জন্য অনুসন্ধান অনেক উদাহরণ দেয়।

হ্যাশ ফাংশনটি কী উত্পাদন করে তার ধারণার জন্য অনলাইন SHA1 হ্যাশ স্রষ্টাকে দেখুন (তবে SHA1 কে হ্যাশ ফাংশন হিসাবে ব্যবহার করবেন না, SHA256 এর মতো শক্তিশালী কিছু ব্যবহার করুন)।

এখন, একটি হ্যাশ পাসওয়ার্ডের অর্থ হল যে আপনি (এবং ডাটাবেস চোর) সেই হ্যাশটিকে মূল পাসওয়ার্ডের মধ্যে ফেরত দিতে সক্ষম হবেন না।

এটি কীভাবে ব্যবহার করবেন: তবে, আপনি বলছেন, আমি কীভাবে ডেটাবেজে সজ্জিত এই জঞ্জাল পাসওয়ার্ডটি ব্যবহার করব?

যখন ব্যবহারকারী লগ ইন করে, তারা আপনাকে ব্যবহারকারীর নাম এবং পাসওয়ার্ড হস্তান্তর করবে (এর মূল পাঠ্যে) আপনি কেবলমাত্র হ্যাশ কোড একই হ্যাশ কোডটি ব্যবহার করেন যা সঞ্চিত সংস্করণটি পেতে টাইপড পাসওয়ার্ডটি হ্যাশ করে।

সুতরাং, দুটি হ্যাশ পাসওয়ার্ডের তুলনা করুন (ব্যবহারকারীর জন্য ডেটাবেস হ্যাশ এবং টাইপ-ইন এবং হ্যাশ পাসওয়ার্ড)। আসল ব্যবহারকারীরা তাদের পাসওয়ার্ডগুলির সাথে তুলনা করে "তারা কী কী" মিলছে "তার টাইপটি" পাসওয়ার্ড "দিয়েছিলেন কিনা তা আপনি বলতে পারেন।

অতিরিক্ত creditণ:

প্রশ্ন: আমার কাছে যদি আপনার ডাটাবেস থাকে, তবে আমি কীভাবে কেবল জন দ্য রিপারের মতো ক্র্যাকার নিতে পারি এবং আপনার সঞ্চিত, হ্যাশ পাসওয়ার্ডগুলির সাথে ম্যাচ না পাওয়া পর্যন্ত হ্যাশগুলি তৈরি করা শুরু করতে পারি? (যেহেতু ব্যবহারকারীরা সংক্ষিপ্ত, অভিধানের শব্দগুলি যেভাবেই বেছে নিন ... এটি সহজ হওয়া উচিত)

উত্তর: হ্যাঁ ... হ্যাঁ তারা পারে।

সুতরাং, আপনার নিজের পাসওয়ার্ডগুলি 'নুন' দেওয়া উচিত। লবণের উইকিপিডিয়া নিবন্ধটি দেখুন

দেখুন "কিভাবে লবণ দিয়ে হ্যাশ ডেটাতে" সি # উদাহরণস্বরূপ

একটি চা-কড়া সল্টেড হ্যাশ হিসাবে, Sha-512 এর মতো সুরক্ষিত অ্যালগরিদম ব্যবহার করে।

সর্বোত্তম সুরক্ষা অনুশীলন হ'ল পাসওয়ার্ডটি একেবারে সংরক্ষণ করা (এমনকি এনক্রিপ্ট করাও নয়), তবে এনক্রিপ্ট করা পাসওয়ার্ডের সল্টেড হ্যাশ (প্রতি পাসওয়ার্ডের জন্য একটি স্বতন্ত্র লবণের সাথে) সংরক্ষণ করা।

এইভাবে (বাস্তবিকভাবে) একটি সরলখর পাসওয়ার্ড পুনরুদ্ধার করা অসম্ভব।

আমি রেনবো টেবিলের সাথে যথেষ্ট পরিমাণে নিবন্ধগুলি পড়ার পুরোপুরি পরামর্শ দেব : নিরাপদ পাসওয়ার্ড স্কিমগুলি সম্পর্কে আপনার কী জানতে হবে [মৃত লিঙ্ক, ইন্টারনেট সংরক্ষণাগারে অনুলিপি ] এবং কীভাবে নিরাপদে একটি পাসওয়ার্ড সংরক্ষণ করবেন ।

প্রচুর কোডার, আমার নিজের অন্তর্ভুক্ত, তারা সুরক্ষা এবং হ্যাশিং বুঝতে পারে বলে মনে করে। দুঃখের বিষয় আমাদের মধ্যে বেশিরভাগ মানুষই তা করেন না।

আপনি ব্যবহারকারীর নাম এবং পাসওয়ার্ডের প্রয়োজনীয়তার কথা উল্লেখ করার সাথে সাথে আমি কিছুটা অফ-টপিক হতে পারি এবং বিষয়টি সম্পর্কে আমার বোঝার বিষয়টি প্রশংসনীয়ভাবে সেরা নয় তবে ওপেনআইডি কি বিবেচনা করার মতো কিছু?

আপনি যদি ওপেনআইডি ব্যবহার করেন তবে আপনি প্রযুক্তিটি সঠিকভাবে বুঝতে পারলে এবং ব্যবহারকারীরা ইতিমধ্যে তাদের কাছে থাকা শংসাপত্রগুলি ব্যবহার করতে পারবেন যা আপনার অ্যাপ্লিকেশনের সাথে সুনির্দিষ্ট একটি নতুন পরিচয় তৈরি করার প্রয়োজনীয়তা এড়িয়ে গেলে আপনি কোনও শংসাপত্র সংরক্ষণ করার কাজ শেষ করবেন না।

যদি প্রশ্নে থাকা আবেদনটি নিখুঁতভাবে অভ্যন্তরীণ ব্যবহারের জন্য হয় তবে এটি উপযুক্ত নাও হতে পারে

আরপিএক্স একটি অ্যাপ্লিকেশনে ওপেনআইডি সমর্থনকে সংহত করার একটি দুর্দান্ত সহজ উপায় সরবরাহ করে।

আপনার দৃশ্যে, আপনি এপ নেট সদস্যতার দিকে নজর রাখতে পারেন, ডাটাবেসে হ্যাশ স্ট্রিং হিসাবে ব্যবহারকারীর পাসওয়ার্ড সংরক্ষণ করা ভাল অনুশীলন। আপনি হ্যাশ ইনকামিং পাসওয়ার্ডটি ডেটাবেজে থাকা একটির সাথে তুলনা করে প্রমাণীকরণ করতে পারবেন।

সবকিছু এই উদ্দেশ্যে নির্মিত হয়েছে, এপ নেট সদস্যতা দেখুন check

আপনার যদি হ্যাশটিকে বিপরীত করতে সক্ষম না হয় তবে আমি পাসওয়ার্ডটি MD5 / SHA1 করব। ব্যবহারকারীরা লগইন করার সময় আপনি প্রদত্ত পাসওয়ার্ডটি এনক্রিপ্ট করতে পারেন এবং এটি হ্যাশের সাথে তুলনা করতে পারেন। হ্যাশ সংঘর্ষগুলি এই ক্ষেত্রে প্রায় অসম্ভব, যদি না কেউ ডাটাবেসে অ্যাক্সেস না পেয়ে এবং একটি হ্যাশ না দেখে তাদের ইতিমধ্যে সংঘর্ষ হয়।