'ভুলে যাওয়া পাসওয়ার্ড' বাস্তবায়নের জন্য সেরা উপায়? [বন্ধ]

153

আমি "ভুলে যাওয়া পাসওয়ার্ড" বৈশিষ্ট্যটি কার্যকর করার জন্য সেরা পদ্ধতির সন্ধান করছি।

আমি 2 টি ধারণা নিয়ে বেরিয়েছি:

  1. ব্যবহারকারীরা ভুলে যাওয়া পাসওয়ার্ডে ক্লিক করলে ব্যবহারকারীকে ব্যবহারকারীর নাম, ইমেল এবং সম্ভবত জন্মের তারিখ বা শেষ নামটি কী করতে হবে। তারপরে অস্থায়ী পাসওয়ার্ড সহ একটি মেল ব্যবহারকারীর ইমেল অ্যাকাউন্টে প্রেরণ করা হবে। ব্যবহারকারী লগইন করতে অস্থায়ী পাসওয়ার্ড ব্যবহার করে এবং তার পাসওয়ার্ড পুনরায় সেট করে।

  2. অনুরূপ, তবে ইমেলটিতে একটি লিঙ্ক থাকবে যাতে ব্যবহারকারীকে তার পাসওয়ার্ডটি পুনরায় সেট করতে দেওয়া হয়।

বা যে কেউ আমাকে আরও ভাল এবং সুরক্ষিত উপায় প্রস্তাব করতে পারে? আমি অস্থায়ী পাসওয়ার্ড বা লিঙ্কটি প্রেরণের জন্যও ভাবছি, ব্যবহারকারীকে 24 ঘন্টার মধ্যে পাসওয়ার্ডটি পুনরায় সেট করতে বাধ্য করুন, অন্যথায় অস্থায়ী পাসওয়ার্ড বা লিঙ্ক ব্যবহারযোগ্য হবে না। কিভাবে যে কি?

security  authentication  passwords  forgot-password 
জাকি
সূত্র
এটি জেএসএফ ছাড়িয়ে যাওয়ার পরে আমি পোস্টটি ট্যাগ করেছি - আপনি সম্ভবত আরও প্রতিক্রিয়া পাবেন।
ম্যাকডোয়েল
6
@ যেহেতু এই মাসগুলিতে মেটাতে "বন্ধ এই প্রশ্নটি মুছে ফেলুন কারণ XYZ" মুছে ফেলার waveেউ রয়েছে। আমি কেবল এখানেই বলতে চাই যে এই নির্দিষ্ট প্রশ্নটি মুছে ফেলা উচিত নয়, যদি না এটি প্রমাণিত হয় যে সমাধানগুলি ত্রুটিযুক্ত এবং এটির অস্তিত্বটি সুরক্ষার ক্ষেত্রে যতটা সহায়তা করে তার চেয়েও বেশি আঘাত দেয়।
ফলিক্স গাগনন-গ্রেনিয়ার
1
ভুলে যাওয়া পাসওয়ার্ড পুনরুদ্ধারের কৌশলটির জন্য OWASP "চিট শীট": owasp.org/index.php/…
ডাইস্কোগ
@ মেগাফ্লপ দ্বারা প্রস্তাবিত লিঙ্কটি এখন দুঃখজনকভাবে ভেঙে গেছে, এখানে নতুন লিঙ্কটি দেওয়া হয়েছে: cheatsheetseries.owasp.org/cheatsheets/…
মার্কো বলিস

উত্তর:

186

আপডেট: আরও ভাল পদ্ধতির জন্য 2013 সালের মে মাসে সংশোধিত

  1. ব্যবহারকারী তার ব্যবহারকারীর নাম প্রবেশ করে এবং "পাসওয়ার্ড ভুলে গেছেন" হিট করে। আমি ব্যবহারকারীর নাম পরিবর্তে ইমেল ঠিকানা প্রবেশের বিকল্পটি সুপারিশ করি, কারণ ব্যবহারকারী নামগুলি কখনও কখনও ভুলে যায়।
  2. সিস্টেম একটি টেবিল রয়েছে password_change_requestsকলাম সহ ID, Timeএবং UserID। নতুন ব্যবহারকারীর বোতামটি চাপলে টেবিলে একটি রেকর্ড তৈরি হয়। Timeকলাম সময় ব্যবহারকারী "পাসওয়ার্ড ভুলে গেছেন" বাটন টেপা যখন ধারণ করে। IDএকটি পংক্তি। একটি দীর্ঘ এলোমেলো স্ট্রিং তৈরি করা হয়েছে (বলুন, একটি জিইউইডি) এবং তারপরে পাসওয়ার্ডের মতো হ্যাশ করা হয়েছে (যা নিজে এবং নিজের একটি পৃথক বিষয়)। এই হ্যাশটি তারপরে টেবিলে 'আইডি' হিসাবে ব্যবহৃত হয়।
  3. সিস্টেমটি ব্যবহারকারীকে একটি ইমেল প্রেরণ করে যার মধ্যে একটি লিঙ্ক রয়েছে। লিঙ্কটিতে মূল আইডি স্ট্রিংও রয়েছে (হ্যাশিংয়ের আগে)। লিংক ভালো কিছু হবে: http://www.mysite.com/forgotpassword.jsp?ID=01234567890ABCDEF। ভুলে যাওয়া পাসওয়ার্ড.জেএসপি পৃষ্ঠায় আইডি প্যারামিটারটি পুনরুদ্ধার করতে সক্ষম হওয়া উচিত। দুঃখিত, আমি জাভা জানি না, তাই আমি আরও নির্দিষ্ট হতে পারি না।
  4. ব্যবহারকারী ইমেলটিতে লিঙ্কটি ক্লিক করেন, তিনি আপনার পৃষ্ঠায় সরানো হয়। পৃষ্ঠাটি IDইউআরএল থেকে পুনরুদ্ধার করে , আবার তাড়াতাড়ি করে টেবিলের বিপরীতে পরীক্ষা করে। যদি এই জাতীয় রেকর্ডটি থাকে এবং 24 ঘন্টা পুরাতন এর চেয়ে বেশি না থাকে তবে ব্যবহারকারীকে একটি নতুন পাসওয়ার্ড দেওয়ার প্রম্পট সহ উপস্থাপন করা হবে
  5. ব্যবহারকারী একটি নতুন পাসওয়ার্ড প্রবেশ করে, ঠিক আছে এবং সবাই পরের বার পর্যন্ত সুখে বেঁচে থাকে!
Vilx-
সূত্র
1
এটি প্রয়োগের সর্বাধিক উপযুক্ত উপায় হ'ল অস্থায়ী পাসওয়ার্ড-রিসেট টোকেনটি ব্যবহারকারীকে সাধারণ-পাঠ্যে ইমেল হিসাবে প্রেরণ করুন (তবে এটি কখনও ডিবি-তে সরল-পাঠ্য হিসাবে সংরক্ষণ করবেন না) - ব্যবহারকারী এই টেম্পটিতে প্রবেশ করার সাথে সাথেই তাকে বাধ্য করে একটি নতুন পাসওয়ার্ড আবার লিখুন। - ভৌগলিক জন্য, আপনার এসএমটিপি সার্ভারটি এসএসএল রয়েছে তা নিশ্চিত করুন, সুতরাং সংবেদনশীল তথ্যযুক্ত আপনার মেলগুলি স্নোপড না হয়। বেশিরভাগ ক্ষেত্রে, এই পদ্ধতিটি বেশ সুরক্ষিত। যদি আপনার ক্ষেত্রে আরও সুরক্ষার প্রয়োজন হয়, আপনার সম্ভবত তাদের ব্যবহারকারীর পাসওয়ার্ড ভুলে যাওয়া উচিত নয়: এস
কৌশিক গোপাল
6
কেন একটি এলোমেলো স্ট্রিং / গাইড জেনারেট করে, এটি হ্যাশ করে এবং হ্যাশটি ব্যবহার করে? গাইড কি যথেষ্ট নয়?
জেরোইন কে
15
@ জিরোঙ্ক - যাতে কেউ যদি আপনার ডিবি চুরি করে তবে সে "রিসেট পাসওয়ার্ড" লিঙ্কটি জালিয়াতে ও কারও পাসওয়ার্ড পরিবর্তন করতে পারে না।
ভিলাক্স-
4
এটি মূলত একটি পাসওয়ার্ড সঠিকভাবে পুনরায় সেট করার বর্ণিত উপায় হ'ল ক্র্যাকস্টেশন.ন.
হ্যাশিং
1
@ ডেভিড - আছ, আমি পোস্টটি সম্পাদনা করতে চেয়েছিলাম, তবে বিষয়টি লক করা আছে। :( ঠিক আছে, আবার চেষ্টা করা যাক: আপনার সারণী কলামগুলি উপস্থিত থাকবে: ID, UserID, Time, TokenHash।। আপনি দুটি দীর্ঘ, র্যান্ডম স্ট্রিং উত্পন্ন করবে প্রথম স্ট্রিং ( "ID" নয়) রাখুন IDকলাম; হ্যাশ দ্বিতীয় ( "টোকেন" ) এবং TokenHashকলামে হ্যাশটি রাখুন the লিঙ্কটি তৈরি করুন। লিঙ্কে forogotPassword.jsp?id=asdasd&token=asdasdটোকেনটি হ্যাশ করা হয়নি this এখনই কি তা বোঝা যাচ্ছে?
ভিলক্স-
28

এটি সব আপনার সাইট এবং সুরক্ষার স্তরের উপর নির্ভর করে যা আপনি অর্জনের চেষ্টা করছেন তবে একটি ওয়েব অ্যাপ্লিকেশনটির প্রাথমিক প্রক্রিয়া নিম্নলিখিতগুলির মতো কিছু করে:

  1. ব্যবহারকারী 'আমার পাসওয়ার্ড ভুলে গেছেন' পৃষ্ঠাতে নেভিগেট করে পাসওয়ার্ড পুনরায় সেট করার জন্য অনুরোধ করতে তাদের ব্যবহারকারীর নাম বা ইমেল (যা অনন্য) isোকায়।

  2. এই পর্যায়ে আপনি অতিরিক্ত তথ্য যেমন পূর্বনির্ধারিত সুরক্ষা প্রশ্নের উত্তর বা তাদের জন্ম তারিখ ইত্যাদি জিজ্ঞাসা করে অনুরোধটি নিশ্চিত করতে পারেন এই অতিরিক্ত স্তরটি ব্যবহারকারীদের অনুরোধ করা হয়নি এমন ইমেলগুলি পাওয়া বন্ধ করে দেয়।

  3. ব্যবহারকারীর অ্যাকাউন্ট দেখুন। অ্যাকাউন্টের রেকর্ডের বিপরীতে একটি অস্থায়ী পাসওয়ার্ড (সাধারণত একটি জিইউইডি) এবং টাইমস্ট্যাম্প সংরক্ষণ করুন। অস্থায়ী পাসওয়ার্ড সহ ব্যবহারকারীকে একটি ইমেল প্রেরণ করুন।

  4. ব্যবহারকারী হয় ইমেলটিতে অস্থায়ী পাসওয়ার্ড এবং ব্যবহারকারীর শনাক্তকারী লিঙ্কটিতে ক্লিক করে অথবা 'আমার পাসওয়ার্ড ভুলে গেছেন' পৃষ্ঠাতে নেভিগেট করে অস্থায়ী পাসওয়ার্ড এবং তাদের সনাক্তকারীকে অনুলিপি করে আটকায়। ব্যবহারকারী তাদের নতুন পাসওয়ার্ড প্রবেশ করে এবং এটি নিশ্চিত করে।

  5. ব্যবহারকারীর রেকর্ডটি দেখুন এবং বর্তমান সময়টি যদি পদক্ষেপ 2 এ সংরক্ষণ করা টাইমস্ট্যাম্পের নির্দিষ্ট সময়সীমার (যেমন 1 ঘন্টা) মধ্যে থাকে তবে হ্যাশ করুন এবং নতুন পাসওয়ার্ড সংরক্ষণ করুন। (স্পষ্টতই যদি অস্থায়ী পাসওয়ার্ড মেলে!)। অস্থায়ী জিইউইডি এবং টাইমস্ট্যাম্প মুছুন।

এখানে অধ্যক্ষটি হ'ল ব্যবহারকারীকে একটি অস্থায়ী পাসওয়ার্ড ইমেল করা হয় যা তাদের পাসওয়ার্ড পরিবর্তন করতে দেয়। মূলত সঞ্চিত পাসওয়ার্ড (এটি হ্যাশ করা উচিত!) ব্যবহারকারী এটির স্মরণ রাখার ক্ষেত্রে অস্থায়ী পাসওয়ার্ডে কখনই পরিবর্তন করা হয় না।

আসল পাসওয়ার্ডটি কখনই ব্যবহারকারীর কাছে প্রদর্শিত হবে না কারণ এটি হ্যাশ এবং অজানা হওয়া উচিত।

নোট করুন এই প্রক্রিয়াটি সম্পূর্ণরূপে ব্যবহারকারীর ইমেল অ্যাকাউন্টের সুরক্ষার উপর নির্ভর করে। সুতরাং এটি আপনার সুরক্ষা অর্জনের যে স্তরের স্তরের উপর নির্ভর করে। এটি বেশিরভাগ সাইট / অ্যাপ্লিকেশনগুলির জন্য সাধারণত পর্যাপ্ত।

ডেভিড গ্লেন
সূত্র
24

ট্রয় হান্ট তার নিবন্ধে কিছু দুর্দান্ত পয়েন্ট দেয়, আপনি নিরাপদে পাসওয়ার্ড পুনরায় সেট করার বৈশিষ্ট্যটি তৈরির বিষয়ে যা জানতে চেয়েছিলেন তা সবই । সর্বাধিক প্রাসঙ্গিক অংশগুলি হ'ল:

[টি] এখানে দুটি সাধারণ পন্থা:

  1. সার্ভারে একটি নতুন পাসওয়ার্ড তৈরি করুন এবং এটি ইমেল করুন
  2. একটি অনন্য URL ইমেল করুন যা পুনরায় সেট প্রক্রিয়া সহজ করবে

বিপরীতে প্রচুর দিকনির্দেশনা সত্ত্বেও, প্রথম পয়েন্টটি আমরা যেখানে থাকতে চাই তা সত্যিই তা নয়। এটি করার ক্ষেত্রে সমস্যাটি হ'ল এর অর্থ একটি অবিচ্ছিন্ন পাসওয়ার্ড - যাকে আপনি আবার যেতে পারেন এবং যে কোনও সময় ব্যবহার করতে পারেন - এটি এখন কোনও অনিরাপদ চ্যানেলের মাধ্যমে পাঠানো হয়েছে এবং আপনার ইনবক্সে রয়েছে res

...

তবে প্রথম পদ্ধতির সাথে আরও একটি বড় সমস্যা রয়েছে যে এটি কোনও অ্যাকাউন্টের দূষিত লকআউটটিকে মৃতপ্রায় করে তোলে। যদি আমি কোনও ওয়েবসাইটে কোনও অ্যাকাউন্টের মালিকের ইমেল ঠিকানাটি জানি তবে আমি যখনই দয়া করে কেবল তাদের পাসওয়ার্ডটি পুনরায় সেট করে এটিকে লক করতে পারি; এটি রূপালী থালায় সেবা আক্রমণ আক্রমণ অস্বীকার! এই কারণেই রিসেট এমন একটি জিনিস যা কেবল অনুরোধকারীর ডানটি সফলভাবে যাচাই করার পরে ঘটতে হবে।

আমরা যখন একটি রিসেট ইউআরএল সম্পর্কে কথা বলি, তখন আমরা এমন কোনও ওয়েবসাইট ঠিকানা সম্পর্কে কথা বলি যা পুনরায় সেট করার প্রক্রিয়াটির এই নির্দিষ্ট উদাহরণটির জন্য অনন্য।

...

আমরা যা করতে চাই তা হ'ল একটি অনন্য টোকেন তৈরি করুন যা ব্যবহারকারীর অ্যাকাউন্টের পাশাপাশি সার্ভারের একটি রেকর্ডের সাথে মিলে গিয়ে পুনরায় সেট করা URL এর অংশ হিসাবে ইমেলটিতে প্রেরণ করা যেতে পারে যাতে ইমেল অ্যাকাউন্টের মালিকের সত্যতা নিশ্চিত হওয়া পুনরায় সেট করার চেষ্টা করা হয় পাসওয়ার্ড। উদাহরণস্বরূপ, টোকনটি "3ce7854015cd38c862cb9e14a1ae552b" হতে পারে এবং রিসেট সম্পাদনকারী ব্যবহারকারীর আইডির পাশাপাশি একটি টেবিলের মধ্যে সংরক্ষণ করা হয় এবং টোকনটি যে মুহুর্তে তৈরি হয়েছিল তা (এক মুহুর্তে আরও)। ইমেলটি যখন প্রেরণ করা হয়, তখন এটিতে "রিসেট /? আইডি = 3ce7854015cd38c862cb9e14a1ae552b" এর মতো একটি URL থাকে এবং ব্যবহারকারী যখন এটি লোড করে, পৃষ্ঠাটি টোকেনের অস্তিত্বের জন্য পরীক্ষা করে এবং ফলস্বরূপ ব্যবহারকারীর পরিচয় নিশ্চিত করে এবং পাসওয়ার্ডটিতে অনুমতি দেয় পরিবর্তন করা.

...

রিসেট ইউআরএল নিয়ে আমরা অন্য যে জিনিসটি করতে চাই তা হ'ল টোকেনকে সীমাবদ্ধ করা যাতে এক ঘন্টার মধ্যে বলুন যে রিসেট প্রক্রিয়াটি একটি নির্দিষ্ট সময়ের মধ্যে সম্পন্ন হবে।

...

অবশেষে, আমরা নিশ্চিত করতে চাই যে এটি এককালীন প্রক্রিয়া। পুনরায় সেট করার প্রক্রিয়াটি শেষ হয়ে গেলে, টোকেনটি মুছে ফেলা উচিত যাতে রিসেট URL টি আর কার্যকর হয় না। পূর্ববর্তী পয়েন্টের মতো এটিও নিশ্চিত করা যায় যে আক্রমণকারীটির খুব সীমিত উইন্ডো রয়েছে যাতে তারা পুনরায় সেট করা URL টি অপব্যবহার করতে পারে। অবশ্যই পুনরায় সেট প্রক্রিয়া সফলভাবে সম্পন্ন হলে টোকেনটির আর প্রয়োজন নেই।

তিনি তথ্য ফাঁস, ক্যাপচা, দ্বি-ফ্যাক্টর প্রমাণীকরণ এবং অবশ্যই পাসওয়ার্ড হ্যাশিংয়ের মতো প্রাথমিক সেরা অভ্যাসগুলি এড়ানোর বিষয়ে আরও অনেক ভাল পয়েন্ট তৈরি করেছেন। আমি মনে করি এটি নোট করা জরুরী যে আমি ব্রয়স স্নিয়ারের অনুশীলন সম্পর্কে সন্দেহবাদকে প্রাধান্য দিয়ে সুরক্ষা প্রশ্নগুলির উপযোগিতা সম্পর্কে ট্রয়ের সাথে একমত নই :

এই সমস্ত প্রশ্নের পয়েন্ট একই: একটি ব্যাকআপ পাসওয়ার্ড। আপনি যদি নিজের পাসওয়ার্ড ভুলে যান তবে গোপনীয় প্রশ্নটি আপনার পরিচয় যাচাই করতে পারে যাতে আপনি অন্য পাসওয়ার্ড চয়ন করতে পারেন বা সাইটটি আপনার বর্তমান পাসওয়ার্ডটি আপনাকে ইমেল করতে পারে। এটি গ্রাহক সেবার দৃষ্টিভঙ্গি থেকে একটি দুর্দান্ত ধারণা - কোনও ব্যবহারকারী তার প্রথম পোষা প্রাণীর নাম কিছু এলোমেলো পাসওয়ার্ডের চেয়ে ভুলে যাওয়ার সম্ভাবনা কম - তবে সুরক্ষার পক্ষে ভয়াবহ। একটি ভাল পাসওয়ার্ডের চেয়ে গোপন প্রশ্নের উত্তর অনুমান করা অনেক সহজ এবং তথ্যটি আরও বেশি প্রকাশ্য।

ডেভ লিপম্যান
সূত্র
1
এই লিঙ্কটিতে পরিষ্কার এনএসএফডাব্লু ইমেজ রয়েছে, এটির পরিবর্তনের জন্য একটি লিঙ্ক রয়েছে তবে প্রচুর লোক প্রথমে একটি পৃষ্ঠা স্ক্যান করে। বোকা ধারণা!
নিক0lai
ট্রয় হান্টের নিবন্ধটির লিঙ্কটি পরিবর্তিত হয়েছে। গোটো ট্রয়হুন্ট.এইভিথিং
ইভার-
@ Knarfancho স্থির, ধন্যবাদ!
ডেভ লিপম্যান
15

আমি সাথে যাব:

  1. ব্যবহারকারীকে ইমেলের জন্য জিজ্ঞাসা করুন, ইমেলটি চেক করুন
  2. জিইউডি তৈরি করুন এবং এটি ইমেলটিতে প্রেরণ করুন
  3. পাসওয়ার্ডটি এখনও রিসেট করবেন না
  4. ব্যবহারকারী ক্লিক লিঙ্ক, এবং তারপর নতুন পাস প্রবেশ করতে হবে
  5. ব্যবহারকারী আপনার সাইটে উপস্থিত হওয়ার পরেই পাসওয়ার্ডটি পুনরায় সেট করুন এবং নতুন পাস টাইপ করার পরে রিসেট বোতামটি ক্লিক করেছেন।
  6. এটিকে নিরাপদ করার জন্য স্বল্প সময়ের মধ্যে এই জিইউডি কে মেয়াদোত্তীর্ণ করুন।
andres.santana
সূত্র
আমি কোন জিজ্ঞাসা করতে না চান? তবে এটি আপনার উত্তরের সাথে সম্পর্কিত। আপনি কীভাবে জিইউডি উত্পাদন করছেন?
কিংঅ্যান্ড্রু
2
আপনি ব্যক্তিকে যে লিঙ্কটি পাঠাচ্ছেন তাতে কোনও ধরণের হ্যাশ বাস্তবায়ন না করার জন্য -1
সত্যইফ 42
11

আপনি যখন ইমেলের মাধ্যমে কোনও তথ্য প্রেরণ করছেন, এটি নিরাপদ হবে না। কেউ এটিকে পেতে পারে এমন অনেকগুলি উপায় রয়েছে। আপনার তথ্য চুরি করতে চাইছেন এমন দক্ষ হ্যাকারের পক্ষে এটি শিশুর খেলা হবে।

ইমেলটির মাধ্যমে পাসওয়ার্ড এবং আয়ের তথ্য সম্পর্কিত কোনও ব্যক্তিগত তথ্য প্রেরণ থেকে বিরত থাকুন কারণ এটি আপনার এবং আপনার প্রতিষ্ঠানের পক্ষে যদি খুব বেশি এম্বারাসিং হয়ে যায় তবে যদি এই জাতীয় তথ্য ফাঁস হয় বা চুরি হয়ে যায়। গুরুত্ব সহকারে সুরক্ষা সম্পর্কে চিন্তা করুন। সমস্ত ইট পড়তে কেবল একটি ঘটনা লাগে incident

পাসওয়ার্ড পুনরুদ্ধার হিসাবে, পুঙ্খানুপুঙ্খভাবে পড়ুন পাসওয়ার্ডের সেরা অভ্যাসগুলি

তল লাইনটি হ'ল সর্বোত্তম অনুশীলনের অনুসরণকারী কোনও অ্যাপ্লিকেশনটির ব্যবহারকারীর নিজের পাসওয়ার্ডটি পুনরায় সেট করার অনুমতি দেওয়া উচিত। ব্যক্তিগত সুরক্ষা প্রশ্নগুলি ব্যবহার করা উচিত। অ্যাপ্লিকেশনটিতে ইমেল প্রেরণ করা, পাসওয়ার্ড প্রদর্শন করা বা কোনও অস্থায়ী পাসওয়ার্ড সেট করা উচিত নয়।

সম্পাদনা: আপডেট হওয়া লিঙ্ক

jinsungy
সূত্র
jinsungy
আমি ভুলে যাওয়া পাসওয়ার্ড সেরা অভ্যাসগুলির জন্য লিঙ্কটি চেষ্টা করেছিলাম এবং একটি 500 টি সার্ভার ত্রুটি পেয়েছি। আপনি কি মনে করেন সার্ভারটি এখনই বন্ধ আছে বা অনুসরণ করার জন্য অন্য কোনও লিঙ্ক আছে?
কিংঅ্যান্ড্রু
এখানে আপনি যেতে .. fishnetsecurity.com/Resource_/PageResource/White_Papers/...
jinsungy
লিঙ্কটি আবার মারা গেছে।
এরিক কোপ
এখানে পুনরায়: fishnetsecurity.com/6labs/resource-library/white-paper/...
মুস্তাফা
7

যেমনটি বলা হয়েছে, এটি সুরক্ষা প্রয়োজনীয় স্তরের উপর নির্ভর করে, তবে আপনার যদি উচ্চতর স্তরের প্রয়োজন হয় তবে আমি দেখেছি এমন কিছু অভিনব সমাধান অন্তর্ভুক্ত;

  • ব্যবহারকারীর পরিচয় নিশ্চিত হওয়া (সুরক্ষা প্রশ্ন, ইমেল ঠিকানা ইত্যাদি) যখন অর্ধেক অস্থায়ী পাসওয়ার্ড প্রদর্শন করছে তখন অন্য অর্ধেকটি ইমেল অ্যাকাউন্টে প্রেরণ করা হবে। যদি ইমেল অ্যাকাউন্টটি আপস করা হয়ে থাকে, তবে সম্ভাবনা নেই যে একই ব্যক্তি মধ্যম আক্রমণ চালাতে পেরেছেন। (ইউকে গভর্মেন্ট গেটওয়েতে দেখা)

  • ইমেল এবং অন্য একটি মাধ্যমের মাধ্যমে পরিচয় নিশ্চিত করা - উদাহরণস্বরূপ একটি নিবন্ধিত মোবাইলে পাঠ্যের মাধ্যমে প্রেরিত কোড। (ইবে / পেপ্যাল ​​এ দেখা)

এই দুটি চূড়ান্ত মধ্যে কোথাও কোথাও নিরাপত্তা প্রশ্ন বাস্তবায়নের জন্য ডেভিজ দ্বারা উল্লিখিত হিসাবে যেতে পারে।

টম ওয়ার্নার
সূত্র
6

আপনি যদি নিবন্ধের সাথে কোনও ইমেল ঠিকানা অন্তর্ভুক্ত করেন। "পাসওয়ার্ড ভুলে যান" বোতামটি সেই ইমেল ঠিকানায় একটি ইমেল প্রেরণ করে। এটি নিশ্চিত করে যে তথ্যটি বিশ্বস্ত ইমেলটিতে প্রেরণ করা হয়েছে।

(যদি না ডাটাবেস হ্যাক না করা হয় তবে তবে কিছুই নিরাপদ নয়)।

তুন কৃজেতে
সূত্র
5

এখানে তিনটি খুব ভাল লিঙ্ক রয়েছে যা পাসওয়ার্ড পুনরায় সেট করার তথ্য সরবরাহ করে:

  1. http://jtauber.com/blog/2006/03/20/account_management_patterns/

  2. (ব্যবহারকারীদের জিইটি ব্যবহার করে নিশ্চিত করতে দেবেন না): http://www.artima.com/forums/flat.jsp?forum=106&thread=152805&start=15&msRange=15

  3. http://fishbowl.pastiche.org/archives/docs/PasswordRecovery.pdf

আশা করি এইটি কাজ করবে. তারা অবশ্যই আমাকে বিষয়টি বুঝতে সহায়তা করেছে।

KingAndrew
সূত্র
4

আমি অ্যাকাউন্টগুলিতে অনন্য ইমেল ঠিকানা প্রয়োগ করব।

তারপরে এটি কোনও অস্থায়ী পৃষ্ঠায় লিঙ্ক প্রেরণের একটি সহজ বিষয় যা সেই ব্যক্তিকে তাদের পাসওয়ার্ড পরিবর্তন করতে দেয়। (24 ঘন্টা বা তার চেয়ে কম সময় দেওয়ার অনুমতি দিন)

ব্যবহারকারীর ইমেল অ্যাকাউন্ট এই দৃশ্যের দুর্বল লিঙ্ক।

অ্যান্ড্রু হ্যারি
সূত্র
2

ব্যবহারকারীর কাছে কোনও পাসওয়ার্ড ইমেল করবেন না। এমনকি এটি স্বয়ংক্রিয়ভাবে উত্পাদিত হলেও। সেরা পন্থা (প্রস্তাব এবং সান এবং অন্যান্য দ্বারা ব্যবহৃত):

  1. ভুলে যাওয়া পাসওয়ার্ড পৃষ্ঠায়, ইমেল / ব্যবহারকারী আইডি এবং ব্যবহারকারীর কাছ থেকে একটি নতুন পাসওয়ার্ড জিজ্ঞাসা করুন।
  2. অ্যাক্টিভেশন লিঙ্ক সহ সেই অ্যাকাউন্টের জন্য সঞ্চিত ইমেলের একটি লিঙ্ক ইমেল করুন।
  3. যখন ব্যবহারকারী সেই লিঙ্কটিতে ক্লিক করেন, তখন নতুন পাসওয়ার্ড সক্ষম করুন।

যদি তিনি চব্বিশ ঘন্টা বা তার মধ্যে লিঙ্কটি ক্লিক না করেন তবে লিঙ্কটি অক্ষম করুন (যাতে এটি আর পাসওয়ার্ড পরিবর্তন না করে)।

ব্যবহারকারীর সম্মতি ব্যতীত কখনও পাসওয়ার্ড পরিবর্তন করবেন না। এর অর্থ কেউ কেউ ভুলে যাওয়া পাসওয়ার্ড লিঙ্কটিতে ক্লিক করে এবং অ্যাকাউন্টটির নাম খুঁজে পেয়েছিল বলে কোনও নতুন পাসওয়ার্ড ইমেল করবেন না।

Sucuri
সূত্র
13
আমি এই কৌশলটি নিয়ে উদ্বিগ্ন। আক্রমণকারী আপনার ইমেল এবং একটি নতুন পাসওয়ার্ড প্রবেশ করে। অ্যাকাউন্টের মালিক ইমেলটি গ্রহণ করে, কিছু ভুলভাবে লিঙ্কে ক্লিক করে। আক্রমণকারী পাশে দাঁড়িয়ে, প্রতি মিনিটে নতুন পাসওয়ার্ড চেষ্টা করে, অ্যাকাউন্টের মালিকের কী হয়েছিল তা অবধি অ্যাকাউন্টে অ্যাক্সেস অর্জন করে এবং অবশেষে "পাসওয়ার্ড ভুলে গেছেন" পৃষ্ঠায় না যায়।
ওডি -
আরেকটি সমস্যা! পাসওয়ার্ড পুনরায় সেট করার সময় একটি নতুন পাসওয়ার্ড সরবরাহ করা ভাল বিকল্প নয়। কয়েক ঘন্টা পরে আমার ইমেলটি চেক করা থাকলে আমি আবার নতুন পাসওয়ার্ডটি ভুলে যেতে পারি!
ইয়াজিদ এরমান
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.