পরবর্তী প্লেটেক্সট পুনরুদ্ধারের জন্য আমার কীভাবে নৈতিকভাবে ব্যবহারকারীর পাসওয়ার্ড স্টোরেজটির কাছে যেতে হবে?

1344

আমি যত বেশি সংখ্যক ওয়েবসাইট এবং ওয়েব অ্যাপ্লিকেশন তৈরি করতে থাকি আমাকে প্রায়শই এমনভাবে ব্যবহারকারীর পাসওয়ার্ডগুলি সংরক্ষণ করতে বলা হয় যখন / যখন ব্যবহারকারীর কোনও সমস্যা থাকে (তবে ভুলে যাওয়া পাসওয়ার্ডের লিঙ্কটি ইমেল করতে গেলে, সেগুলি দিয়ে যেতে পারেন) ফোন, ইত্যাদি) যখন আমি এই অনুশীলনের বিরুদ্ধে তীব্রভাবে লড়াই করতে পারি এবং পাসওয়ার্ড পুনরায় সেট করতে এবং প্রশাসনিক সহায়তাগুলি তাদের আসল পাসওয়ার্ড না সঞ্চয় করেই সম্ভব করার জন্য আমি প্রচুর 'অতিরিক্ত' প্রোগ্রামিং করি।

যখন আমি এটি লড়াই করতে পারি না (বা জিততে পারি না) তবে আমি সর্বদা পাসওয়ার্ডটি কোনও উপায়ে এনকোড করে রাখি যাতে এটি, অন্ততপক্ষে, ডাটাবেসে সরলরূপ হিসাবে সংরক্ষণ করা হয় না - যদিও আমি সচেতন যে আমার ডিবি হ্যাক হয়ে গেলে অপরাধীর পাসওয়ার্ডগুলি ফাটানো খুব বেশি লাগে না, যাতে আমার অস্বস্তি হয়।

নিখুঁত বিশ্বের লোকেরা পাসওয়ার্ডগুলি ঘন ঘন আপডেট করে এবং বিভিন্ন সাইটগুলিতে তাদের সদৃশ করে না would দুর্ভাগ্যক্রমে আমি অনেক লোককে জানি যাদের একই কাজ / বাড়ি / ইমেল / ব্যাঙ্ক পাসওয়ার্ড রয়েছে এবং এমনকি যখন তাদের সহায়তার দরকার হয় তখন এমনকি আমাকে নির্দ্বিধায় তা দিয়েছিল। আমার ডিবি সুরক্ষা পদ্ধতি যদি কোনও কারণে ব্যর্থ হয় তবে আমি তাদের আর্থিক মৃত্যুর জন্য দায়ী হতে চাই না।

নৈতিক ও নৈতিকভাবে আমি যা হতে পারে তা রক্ষার জন্য দায়বদ্ধ বোধ করি, কিছু ব্যবহারকারীর জন্য, তারা যদি খুব কম শ্রদ্ধার সাথে চিকিত্সা করে তবেও তাদের জীবিকা নির্বাহ করে। আমি নিশ্চিত যে লবিন হ্যাশ এবং বিভিন্ন এনকোডিং বিকল্পের জন্য অনেকগুলি উপায় এবং যুক্তি রয়েছে, তবে যখন আপনি সেগুলি সঞ্চয় করতে চান তখন কি কোনও একক 'সেরা অনুশীলন' রয়েছে? প্রায় সব ক্ষেত্রেই আমি পিএইচপি এবং মাইএসকিউএল ব্যবহার করছি যদি আমার স্পেসিফিকালগুলি পরিচালনা করতে পারে সেভাবে কোনও তফাত আসে।

অনুগ্রহের জন্য অতিরিক্ত তথ্য

আমি স্পষ্ট করে বলতে চাই যে আমি জানি এটি এমন কিছু নয় যা আপনি করতে চান এবং বেশিরভাগ ক্ষেত্রে এটি করা অস্বীকার করা ভাল। আমি অবশ্য এই পদ্ধতির গ্রহণযোগ্যতার বিষয়ে কোন বক্তৃতার সন্ধান করছি না যদি আপনি এই পদ্ধতিকে গ্রহণ করেন তবে আমি গ্রহণের সেরা পদক্ষেপগুলি খুঁজছি।

নীচের একটি নোটে আমি বিষয়টি তুলে ধরেছি যে ওয়েবসাইটগুলি বয়স্ক, মানসিকভাবে চ্যালেঞ্জযুক্ত বা খুব অল্প বয়স্ক লোকদের দিকে বেশিরভাগ ক্ষেত্রে আগ্রহী, যখন তাদের কোনও সুরক্ষিত পাসওয়ার্ড পুনরুদ্ধার রুটিন সঞ্চালনের জন্য বলা হয় তখন তারা বিভ্রান্ত হয়ে উঠতে পারে। যদিও আমাদের ক্ষেত্রে এটি সহজ এবং সাময়িক মনে হতে পারে কিছু ব্যবহারকারীর একটি সার্ভিস টেক হচ্ছে তাদের সিস্টেমে সহায়তা করার জন্য বা এটি সরাসরি তাদের ইমেল / প্রদর্শিত হওয়ার অতিরিক্ত সহায়তার প্রয়োজন।

এই জাতীয় সিস্টেমে এই ডেমোগ্রাফিকগুলি থেকে অ্যাট্রিশন হার অ্যাপ্লিকেশনটিকে হাবল করতে পারে যদি ব্যবহারকারীদের এই স্তরের অ্যাক্সেস সহায়তা না দেওয়া হয়, সুতরাং দয়া করে এই জাতীয় সেটআপটি মাথায় রেখে উত্তর দিন।

সবাইকে ধন্যবাদ

প্রচুর বিতর্ক সহ এটি একটি মজাদার প্রশ্ন এবং আমি এটি উপভোগ করেছি। শেষ পর্যন্ত আমি একটি উত্তর নির্বাচন করেছি যা উভয়ই পাসওয়ার্ড সুরক্ষা বজায় রাখে (আমাকে সরল পাঠ্য বা পুনরুদ্ধারযোগ্য পাসওয়ার্ড রাখতে হবে না), তবে আমি যে ব্যবহারকারী বেসটি নির্দিষ্ট করেছিলাম তার জন্য যে সিস্টেমে প্রাপ্ত বড় বড় ত্রুটিগুলি ছাড়াই আমি একটি সিস্টেমে লগইন করা সম্ভব করে তোলে makes সাধারণ পাসওয়ার্ড পুনরুদ্ধার।

বরাবরের মতো প্রায় 5 টি উত্তর ছিল যা আমি বিভিন্ন কারণে সঠিক হিসাবে চিহ্নিত করতে চাই, তবে আমাকে সেরাটি চয়ন করতে হয়েছিল - বাকি সমস্তগুলি একটি +1 পেয়েছিল। ধন্যবাদ সবাইকে!

এছাড়াও, স্ট্যাক সম্প্রদায়ের প্রত্যেককে ধন্যবাদ, যারা এই প্রশ্নের পক্ষে ভোট দিয়েছেন এবং / অথবা এটিকে প্রিয় হিসাবে চিহ্নিত করেছেন। আমি প্রশংসা হিসাবে ১০০ টি শীর্ষে ভোট গ্রহণ করি এবং আশা করি যে এই আলোচনাটি আমার অন্যরকম উদ্বেগের সাথে অন্য কাউকে সহায়তা করেছে।

security  password-encryption  password-storage 
শেন
সূত্র
155
আমি মনে করি তিনি জানেন যে এটি ভাল নয়। তিনি এখনও বর্ণিত প্রয়োজনীয়তার অধীনে সেরা সমাধানের সন্ধান করছেন।
স্টিফানউ
33
দিনের শেষে আপনি যা করছেন তা সাবধানতার সাথে একটি এড়ানো যায় এমন দুর্বলতার প্রয়োগ করছেন।
রোক
20
@ মিশেল ব্রুকস - আমি আপনাকে জানাতে চাই যে আমি সিডব্লিউই -২7। এর সাথে একমত ছিলাম এবং প্রতিবার যখনই আমাকে পাসওয়ার্ডগুলি সরলখরূপ হিসাবে পুনরুদ্ধারযোগ্য করার জন্য বলা হয় তখন আমি সেই শব্দটির উদ্ধৃতি দিতে চাই। যাইহোক, বাস্তবে, ক্লায়েন্ট এবং ব্যবহারকারীরা খুব কমই এনআইএসটি বিধিগুলিতে আগ্রহী এবং কেবল আমি তা যাইহোক এটি করতে চাই। 90% সময় আমি তাদেরকে অন্যথায় বোঝাতে পারি তবে 10% সময় যখন আমি সেরা কর্মের নির্ধারিত করার চেষ্টা করতে পারি না - সেই ক্ষেত্রে CWE-257 আমার হাতে ছাই হয় (দুর্ভাগ্যক্রমে)।
শেন
81
@ অ্যাভিডি: সিস্টেমের "নিম্ন মানের" এই বিষয়টি নিয়ে একেবারেই লাভ নেই কারণ লোকেরা তাদের পাসওয়ার্ড পুনরায় ব্যবহার করে । মানুষ কেন এই সাধারণ ঘটনা বুঝতে পারে না? আপনি যদি কিছু "নিম্ন মান" সিস্টেমে পাসওয়ার্ড ক্র্যাক করেন তবে অন্যান্য "উচ্চ মানের" সিস্টেমগুলির জন্য আপনার কাছে বেশ কয়েকটি বৈধ পাসওয়ার্ড থাকতে পারে।
অ্যারোনআউট
20
আরেকটি বিষয়ও অবলোকন করা হয়েছে, যা আমি আমার মন্তব্যে মন্তব্য প্রবাহে সবেমাত্র উল্লেখ করেছি: আপনি কীভাবে জানবেন যে এই প্রয়োজনীয়তাগুলির জন্য জিজ্ঞাসা করা ব্যক্তি বিশ্বাসযোগ্য? "ব্যবহারযোগ্যতা" অজুহাত যদি ভবিষ্যতে কোনও সময়ে পাসওয়ার্ডগুলি চুরি করার সত্যিকারের অভিপ্রায়কে কেবল মুখোমুখি করা হয়? আপনার নিভেইতে কেবল গ্রাহক এবং শেয়ারহোল্ডারদের কয়েক মিলিয়ন খরচ হতে পারে। শেষ পর্যন্ত ডুবে যাওয়ার আগে সুরক্ষা বিশেষজ্ঞদের কতবার এটি পুনরুক্ত করতে হবে: সর্বাধিক সাধারণ এবং গুরুতর গুরুতর সুরক্ষা হুমকী সর্বদা অভ্যন্তরীণ।
অ্যারোনআউট

উত্তর:

1037

এই সমস্যাটিতে অন্য পদ্ধতি বা কোণ গ্রহণ সম্পর্কে কীভাবে? প্লেড টেক্সটে পাসওয়ার্ড কেন প্রয়োজন তা জিজ্ঞাসা করুন: এটি যদি ব্যবহারকারী পাসওয়ার্ডটি পুনরুদ্ধার করতে পারে তবে কঠোরভাবে বললে আপনার সত্যিকার অর্থে যে পাসওয়ার্ডটি সেট করা হয়েছে সেগুলি পুনরুদ্ধার করার প্রয়োজন নেই (তারা যাইহোক এটি কী তা মনে করে না), আপনি তারা ব্যবহার করতে পারে এমন একটি পাসওয়ার্ড দিতে তাদের সক্ষম হওয়া দরকার ।

এটি সম্পর্কে চিন্তা করুন: যদি ব্যবহারকারীকে পাসওয়ার্ডটি পুনরুদ্ধার করতে হয় তবে এটি ভুলে গিয়েছিল কারণ এটি। এক্ষেত্রে একটি নতুন পাসওয়ার্ড পুরানোটির মতোই ভাল। তবে, বর্তমানে ব্যবহৃত সাধারণ পাসওয়ার্ড পুনরায় সেট করার ব্যবস্থাগুলির একটি অপূর্ণতা হ'ল রিসেট ক্রিয়াকলাপে উত্পন্ন উত্পন্ন পাসওয়ার্ডগুলি সাধারণত এলোমেলো অক্ষরের একগুচ্ছ হয়, তাই তারা অনুলিপি না করে যদি কেবল ব্যবহারকারীকে সঠিকভাবে টাইপ করা শক্ত হয় তবে তারা তাদের পক্ষে অনিচ্ছুক নয় n পেস্ট করুন। কম বুদ্ধিমান কম্পিউটার ব্যবহারকারীদের জন্য এটি সমস্যা হতে পারে।

এই সমস্যাটির চারপাশের একটি উপায় হ'ল স্বয়ংক্রিয়ভাবে উত্পন্ন পাসওয়ার্ডগুলি দেওয়া যা কম বেশি প্রাকৃতিক ভাষার পাঠ্য। প্রাকৃতিক ভাষার স্ট্রিংগুলিতে একই দৈর্ঘ্যের এলোমেলো অক্ষরের একটি স্ট্রিং এন্ট্রপি নাও থাকতে পারে, তবে এমন কিছু নেই যা বলছে যে আপনার স্বয়ংক্রিয়ভাবে উত্পন্ন পাসওয়ার্ডটিতে কেবল 8 (বা 10 বা 12) অক্ষর থাকা দরকার। বেশ কয়েকটি এলোমেলো শব্দের একসাথে স্ট্রিং করে একটি উচ্চ-এনট্রপি স্বতঃ-উত্পন্ন পাসফ্রেজ পান (তাদের মধ্যে একটি ফাঁকা রেখে দিন, যাতে তারা এখনও পড়তে পারে এমন কারও দ্বারা সনাক্তযোগ্য এবং টাইপযোগ্য)। বিভিন্ন দৈর্ঘ্যের ছয় এলোমেলো শব্দ সম্ভবত 10 টি এলোমেলো অক্ষরের চেয়ে সঠিকভাবে এবং আত্মবিশ্বাসের সাথে টাইপ করা সহজ এবং তাদের উচ্চতর এনট্রপিও থাকতে পারে। উদাহরণস্বরূপ, বড় হাতের অক্ষর, ছোট হাতের অক্ষর থেকে এলোমেলোভাবে আঁকা একটি 10 ​​অক্ষরের পাসওয়ার্ডের এনট্রপি সংখ্যা এবং 10 বিরামচিহ্ন প্রতীক (মোট 72 বৈধ প্রতীক জন্য) এর এন্ট্রপি থাকবে 61.7 বিট। 76 7776 words শব্দের একটি অভিধান ব্যবহার করে (ডাইসওয়্যার ব্যবহার হিসাবে) যা এলোমেলোভাবে ছয় শব্দের পাসফ্রেজের জন্য নির্বাচিত হতে পারে, পাসফ্রেজে 77.4 বিটের একটি এনট্রপি থাকবে। দেখুনআরও তথ্যের জন্য ডাইসওয়্যার এফএকিউ

  • এনট্রপির প্রায় 77 বিট সহ একটি পাসফ্রেজ: "গদ্যের শিখার টেবিলে তীব্র ফ্লেয়ার স্বীকার করুন"

  • এন্ট্রপির প্রায় 74 বিট সহ একটি পাসওয়ার্ড: "কে: & $ আর ^ টিটি ~ কিউকিডি"

আমি জানি আমি বাক্যাংশটি টাইপ করতে পছন্দ করতাম এবং অনুলিপি-এন-পেস্ট দিয়ে শব্দগুচ্ছটি পাসওয়ার্ডটি ব্যবহার করাও কম সহজ নয়, সুতরাং কোনও ক্ষতি নেই। অবশ্যই যদি আপনার ওয়েবসাইটের (বা যা কিছু সুরক্ষিত সম্পদই থাকে) একটি স্বয়ংক্রিয়-উত্পন্ন পাসফ্রেজের জন্য rop 77 বিট এনট্রপির দরকার না পড়ে, কম শব্দ উত্পন্ন করুন (যা আমি নিশ্চিত যে আপনার ব্যবহারকারীরা প্রশংসা করবে)।

আমি যুক্তিগুলি বুঝতে পারি যে এখানে পাসওয়ার্ড সুরক্ষিত সম্পদ রয়েছে যা সত্যই উচ্চ মানের মানের নেই, সুতরাং কোনও পাসওয়ার্ডের লঙ্ঘন সম্ভবত বিশ্বের শেষ নাও হতে পারে। উদাহরণস্বরূপ, আমি সম্ভবত বিভিন্ন ওয়েবসাইটগুলিতে ব্যবহার করি এমন 80% পাসওয়ার্ড লঙ্ঘন করা হয় কিনা সেদিকে খেয়াল রাখব না: যা ঘটতে পারে তা হ'ল কেউ আমার নামের অধীনে স্প্যামিং বা পোস্টিং করে। এটি দুর্দান্ত না হবে তবে তারা আমার ব্যাংক অ্যাকাউন্টে প্রবেশ করানোর মতো নয়। তবে, অনেক লোক তাদের ওয়েব ফোরামের সাইটগুলিতে যেমন একইভাবে তাদের পাসওয়ার্ডগুলি ব্যাঙ্ক অ্যাকাউন্টগুলির জন্য ব্যবহার করে (এবং সম্ভবত জাতীয় সুরক্ষা ডাটাবেসগুলি), আমি মনে করি যে 'কম-মান' পাসওয়ার্ডগুলি অ হিসাবে হিসাবে পরিচালনা করা ভাল হবে বলে আমি মনে করি -recoverable।

মাইকেল বুড়
সূত্র
93
পাসফ্রেসগুলির জন্য +1, যা বর্তমানে পাসওয়ার্ড শক্তি এবং ব্যবহারকারীর স্মরণকালের সেরা ভারসাম্য সরবরাহ করে offer
অ্যারোনআউট
197
এছাড়াও আপনি একটি পূর্ণ বাক্যটি তৈরি করতে পারেন যেমন <<<<<<<<<<<<< <adver>। সবুজ বিড়াল বন্যভাবে লাফিয়ে উঠছে। বিভাগগুলির জন্য তালিকা আছে। প্রত্যেকের জন্য 1024 টি পছন্দ সহ আপনার 40 বিট এনট্রপি রয়েছে।
ডোমিনিক ওয়েবার
28
পাসওয়ার্ড পুনঃব্যবহারের বিষয়টি এড়ানোর জন্য একটি জটিল সমস্যা হিসাবে বিবেচনা করার জন্য +1
লুসার
57
"এটি সম্পর্কে চিন্তা করুন - যদি ব্যবহারকারীকে পাসওয়ার্ডটি পুনরুদ্ধার করতে হয় তবে এটি এটিকে ভুলে গেছে কারণ" - সত্য সত্য নয়! আমি প্রায়শই আমার পাসওয়ার্ড পেতে চাই কারণ আমি ল্যাপটপে আছি, এবং আমি জানতাম যে আমার মেশিনটি বাড়িতে ফিরে আমার পাসওয়ার্ডটি সংরক্ষণ করেছে, বা এটি নিরাপদে কোথাও লেখা আছে, এবং আমি একটি নতুন দিয়ে জারি করে তা ভাঙ্গতে চাই না ।
জোছিম
5
নতুন আইটি সুরক্ষা এসই সাইটে সর্বাধিক স্কোরিং প্রশ্ন এই এনট্রপি গণনার বৈধতা নিয়ে কাজ করে। (আচ্ছা, প্রযুক্তিগতভাবে এটি @ পিটারের সাথে সংযুক্ত xkcd এর সাথে সম্পর্কযুক্ত))
পোপস
592

কল্পনা করুন যে কেউ একটি বড় বিল্ডিং তৈরি করার জন্য আদেশ দিয়েছেন - একটি বার, আসুন বলি - এবং নিম্নলিখিত কথোপকথনটি ঘটে:

স্থপতি: এই আকার এবং ক্ষমতা বাড়ানোর জন্য আপনার এখানে, এখানে এবং এখানে আগুনের প্রস্থান প্রয়োজন its
ক্লায়েন্ট: না, এটি খুব জটিল এবং বজায় রাখা ব্যয়বহুল, আমি কোনও পাশের দরজা বা পিছনের দরজা চাই না।
স্থপতি: স্যার, আগুনের বহির্গমনগুলি alচ্ছিক নয়, তারা শহরের ফায়ার কোড অনুসারে প্রয়োজনীয়।
ক্লায়েন্ট: আমি তর্ক করার জন্য আপনাকে অর্থ প্রদান করছি না। আমি যা চেয়েছি ঠিক তা-ই করুন।

স্থপতি কি তখন জিজ্ঞাসা করেন যে আগুন ছাড়ার ছাড়াই কীভাবে এই ভবনটি নৈতিকভাবে তৈরি করা যায়?

বিল্ডিং এবং ইঞ্জিনিয়ারিং শিল্পে, কথোপকথনটি সম্ভবত এর মতো শেষ হতে পারে:

স্থপতি: অগ্নিকাণ্ড ছাড়াই এই বিল্ডিংটি তৈরি করা যায় না। আপনি অন্য কোনও লাইসেন্সপ্রাপ্ত পেশাদারের কাছে যেতে পারেন এবং তিনি আপনাকে একই কথা বলবেন। আমি এখন ত্যাগ করছি; আপনি যখন সহযোগিতা করতে প্রস্তুত তখন আমাকে আবার ফোন করুন।

কম্পিউটার প্রোগ্রামিং লাইসেন্সবিহীন পেশা নাও হতে পারে , তবে লোকেরা প্রায়শই ভাবতে থাকে যে কেন আমাদের পেশা একজন সিভিল বা মেকানিকাল ইঞ্জিনিয়ারের মতো সম্মান পাচ্ছে না - ভাল, আর দেখার দরকার নেই। এই পেশাগুলি, যখন হস্তান্তর আবর্জনা (বা সম্পূর্ণ বিপজ্জনক) প্রয়োজনীয়তাগুলি সহজভাবে প্রত্যাখ্যান করে। তারা জানে যে এটি বলার বাহানা নয়, "ভাল, আমি যথাসাধ্য চেষ্টা করেছি, তবে তিনি জোর দিয়েছিলেন, এবং তিনি যা বলেছিলেন আমি তা করতে চাই।" তারা এই অজুহাতে তাদের লাইসেন্সটি হারাতে পারে।

আপনি বা আপনার ক্লায়েন্টরা যে কোনও পাবলিক-ট্রেড কোম্পানির অংশ কিনা তা আমি জানি না, তবে কোনও পুনরুদ্ধারযোগ্য ফর্মের মধ্যে পাসওয়ার্ড সংরক্ষণের ফলে আপনাকে বিভিন্ন ধরণের সুরক্ষা নিরীক্ষণ ব্যর্থ করতে হবে। কিছু "হ্যাকার" যারা আপনার ডাটাবেসে পাসওয়ার্ডগুলি পুনরুদ্ধার করতে অ্যাক্সেস পেয়েছিল তাদের পক্ষে সমস্যাটি কতটা কঠিন। নিরাপত্তার বিপুল সংখ্যাগরিষ্ঠতা হ'ল অভ্যন্তরীণ। আপনাকে যা রক্ষা করতে হবে তা হ'ল কিছু অসন্তুষ্ট কর্মচারী সমস্ত পাসওয়ার্ড নিয়ে চলে যান এবং সেগুলি সর্বোচ্চ দরদাতাকে বিক্রি করেন। অসামান্য এনক্রিপশন ব্যবহার করে এবং একটি পৃথক ডাটাবেসে ব্যক্তিগত কী সংরক্ষণ করা এই দৃশ্য প্রতিরোধ করার জন্য একেবারে কিছুই করে না; ব্যক্তিগত ডেটাবেজে অ্যাক্সেস সহ সর্বদা এমন কেউ হবেন , এবং এটি একটি গুরুতর সুরক্ষা ঝুঁকিপূর্ণ।

পুনরুদ্ধারযোগ্য আকারে পাসওয়ার্ড সংরক্ষণের কোনও নৈতিক বা দায়িত্বশীল উপায় নেই। সময়কাল।

Aaronaught
সূত্র
124
@ অ্যারোনট - আমার কাছে মনে হয় যে এটি একটি ন্যায্য এবং বৈধ পয়েন্ট, তবে আমাকে এটি আপনার কাছে মুছতে দিন। আপনি কোনও প্রতিষ্ঠানের কর্মচারী হিসাবে কোনও সংস্থার জন্য একটি প্রকল্পে কাজ করছেন এবং আপনার মনিব বলে 'এটি আমাদের সিস্টেমের প্রয়োজনীয়তা' (যে কোনও কারণেই হোক)। আপনি কি ধার্মিক রাগ পূর্ণ চাকরি বন্ধ? আমি জানি যে দায়বদ্ধ হওয়ার জন্য আমি যখন সম্পূর্ণ নিয়ন্ত্রণে থাকি তখন একটি বাধ্যবাধকতা থাকে - তবে যদি কোনও সংস্থা নিরীক্ষা বা দায়বদ্ধতা ব্যর্থতার ঝুঁকি নিতে বেছে নেয় তবে কোনও বিষয় প্রমাণ করার জন্য আমার কাজটি ত্যাগ করা আমার পক্ষে কি সেরা বা সন্ধান করতে হবে? এবং তারা যা বলে নিরাপদ উপায়? কেবল শয়তানের উকিল খেলছে ..
শেন
44
আমি আইনজীবী নই, তবে এটি বিবেচনা করুন। যদি আপনার তত্ত্বাবধায়ক আপনাকে কোম্পানির স্বার্থের বিরুদ্ধে যেমন কিছু করার আদেশ দেয়, যেমন এগুলি সহজে এড়ানো দায়বদ্ধতার সামনে প্রকাশ করে, তবে তা মান্য করা বা নম্রভাবে অস্বীকার করা আপনার কাজ? হ্যাঁ, তারা আপনার মনিব, তবে বিনিয়োগকারীরা হলেও তাদের একটি নিজস্ব বস আছে। আপনি যদি তাদের মাথার উপরে না যান, যখন আপনার সুরক্ষা গর্তটি শোষণ করা হচ্ছে তখন কার মাথাটি গড়াবে? কিছু বিবেচনা করার জন্য।
স্টিভেন সুদিত
68
বিকাশকারীরা সর্বদা বলার চেষ্টা করে থাকে যে কীভাবে আমাদের কাজগুলি অন্যের চেয়ে অনেক বেশি শক্ত হয় কারণ আমরা সমস্ত সময়ের পরিবর্তিত আবর্জনা প্রয়োজনীয়তা পাই। আচ্ছা, এটি কেন একটি নিখুঁত উদাহরণ; আমাদের পেশার মরিয়াভাবে একটি মেরুদণ্ডের দরকার। আমাদের পেশাটি মরিয়াভাবে বলতে সক্ষম হওয়া দরকার "না, এটি একটি গ্রহণযোগ্য প্রয়োজনীয়তা নয়, এটি এমন কিছু নয় যা আমি ভাল বিশ্বাসে বিকাশ করতে পারি, আপনি আমার ক্লায়েন্ট / নিয়োগকর্তা হতে পারেন তবে আপনার গ্রাহকদের এবং জনসাধারণের প্রতি আমার পেশাদার দায়িত্ব আছে, এবং যদি আপনি এটি করতে চান তবে আপনাকে অন্য কোথাও দেখতে হবে।
অ্যারোনআউট
36
@ এসফুসনেগার: আপনার পটভূমিটি জানা দরকার নেই। এটি অগ্রহণযোগ্য। আপনি ধরে নিচ্ছেন যে ক্লায়েন্টটি 100% বিশ্বাসযোগ্য - তিনি যদি এই প্রয়োজনটির জন্য বিশেষভাবে জিজ্ঞাসা করেন তবে তিনি পরে পাসওয়ার্ডগুলি বন্ধ করে দিতে পারেন? সিকিউরিটি যে উন্নয়নে কম সংখ্যক আইটেম অন্যতম করছে পাথর উত্কীর্ণ। এমন কিছু জিনিস রয়েছে যা আপনি কেবল করেন না এবং পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি সংরক্ষণ করা তার মধ্যে দশটি।
অ্যারোনআউট
37
ঠিক আছে, আসুন এখনই এবং এখনই একটি ঝুঁকি মূল্যায়ন করি। "আপনি যদি পাসওয়ার্ডগুলি পুনরুদ্ধারযোগ্য আকারে সংরক্ষণ করেন, আপনি পাসওয়ার্ড চুরির একটি অ-তুচ্ছ ঝুঁকি তৈরি করছেন It সম্ভবত এটিও কমপক্ষে কিছু ব্যবহারকারী তাদের ইমেল এবং ব্যাংক অ্যাকাউন্টের জন্য একই পাসওয়ার্ড ব্যবহার করবেন If এবং ব্যাংক অ্যাকাউন্টগুলি সরিয়ে দেওয়া হয়েছে, এটি সম্ভবত শিরোনাম তৈরি করবে, আপনার সাথে আর কেউ আবার ব্যবসা করবে না এবং সম্ভবত আপনার অস্তিত্বের বিরুদ্ধে মামলা দায়ের করা হবে। " আমরা কি এখন বাজে কথা কাটতে পারি? আপনি "নাজিস" শব্দটি এতে এনেছেন তা স্পষ্টভাবে প্রমাণ করে যে আপনার কোনও যুক্তি নেই।
অ্যারোনআউট
206

আপনি পাসওয়ার্ডটি এনক্রিপ্ট করতে পারেন + একটি সরকারী কী সহ একটি লবণ salt লগইনগুলির জন্য কেবল সঞ্চিত মানটি ব্যবহারকারী ইনপুট + লবণের থেকে গণনা করা মানের সমান কিনা তা পরীক্ষা করে দেখুন। যদি কোনও সময় আসে, যখন পাসওয়ার্ডটি সরলরেখায় পুনরুদ্ধার করা দরকার, আপনি ব্যক্তিগত কী দিয়ে ম্যানুয়ালি বা আধা-স্বয়ংক্রিয়ভাবে ডিক্রিপ্ট করতে পারেন। প্রাইভেট কীটি অন্য কোথাও সঞ্চিত থাকতে পারে এবং অতিরিক্তভাবে প্রতিলিপি এনক্রিপ্ট করা হতে পারে (যা পাসওয়ার্ড ডিক্রিপ্ট করার জন্য একটি মানুষের ইন্টারঅ্যাকশন প্রয়োজন হবে)।

আমি মনে করি এটি উইন্ডোজ রিকভারি এজেন্ট যেভাবে কাজ করে তার সাথে এটি একই রকম ।

  • পাসওয়ার্ড এনক্রিপ্ট করা হয়
  • প্লেইন টেক্সটে ডিক্রিপ্ট না করে লোকেরা লগইন করতে পারে
  • পাসওয়ার্ডগুলি সরলরেখায় পুনরুদ্ধার করা যায়, তবে কেবলমাত্র একটি ব্যক্তিগত কী দিয়ে এটি সিস্টেমের বাইরেও সংরক্ষণ করা যায় (কোনও ব্যাঙ্কে নিরাপদে, আপনি চাইলে)।
stefanw
সূত্র
34
-1 পাসওয়ার্ড কখনই "এনক্রিপ্ট করা 'হবে এটা CWE-257 লঙ্ঘন cwe.mitre.org/data/definitions/257.html
দাড়কাক
100
১. প্রশ্নটিতে বলা হয়েছে যে পাসওয়ার্ডটি সরলরেখার জন্য পুনরুদ্ধারযোগ্য হওয়া উচিত, সুতরাং এটি প্রয়োজন। ২. আমি এখানে অসমমিতিক এনক্রিপশন ব্যবহার করছি, প্রতিসামৃত এনক্রিপশন নয়। প্রতিদিনের ক্রিয়াকলাপগুলির জন্য ডিক্রিপ্টের কীটি প্রয়োজনীয় নয় এবং এটি একটি ব্যাঙ্কে নিরাপদে রাখা যেতে পারে। লিঙ্কে যুক্তি বৈধ, তবে এই পরিস্থিতিতে প্রযোজ্য নয়।
স্টিফানউ
57
সত্য, তবে আপনি কি সম্মত হতে পারেন যে প্রয়োজনীয়তাগুলি দেওয়া কি এটি করার সবচেয়ে সর্বাধিক দায়িত্বশীল উপায়? আপনি আপনার সিডব্লিউই -২77 দিয়ে সারাদিন আমাকে আঘাত করতে পারেন, এটি শংসাপত্রগুলির সাথে নিরাপদে সংরক্ষণ এবং কাজ করার এবং আকর্ষণীয় প্রয়োজনে তাদের মূল ফর্মে পুনরুদ্ধার করতে সক্ষম হওয়ার আকর্ষণীয় সমস্যাটি পরিবর্তন করতে যাচ্ছে না।
স্টিফান
10
উইন্ডোজ রিকভারি এজেন্টও এখানে একটি দুর্বল উদাহরণ, কারণ এটি পাসওয়ার্ড পরিচালনার নয়, প্রকৃত এনক্রিপশন নিয়ে কাজ করে। একটি এনক্রিপশন কী কোনও পাসওয়ার্ডের মতো নয় ; প্রতিটি চারপাশের নিয়ম এবং অনুশীলনগুলি সম্পূর্ণ আলাদা। এনক্রিপশন এবং প্রমাণীকরণ এক নয়। এনক্রিপশন গোপনীয়তার জন্য - ডেটা সুরক্ষিত করতে একটি কী ব্যবহার করা হয় । প্রমাণীকরণ হ'ল সনাক্তকরণের জন্য , যেখানে কীটি ডেটা হয় (এটি প্রমাণীকরণের প্রক্রিয়ার একটি কারণ )। সুতরাং আমি পুনরাবৃত্তি করি, এনক্রিপশন এবং প্রমাণীকরণ এক নয়। আপনি বৈধভাবে অন্যের নীতি প্রয়োগ করতে পারবেন না।
অ্যারোনআউট
16
+1 সিডব্লিউই -২77 জাগ্রতভাবে জোর দেওয়ার পয়েন্টটি কোথায়? এটি দুর্বলতা (সিডব্লিউই), দুর্বলতা (সিভিই) নয়। বাফার ওভারফ্লোগুলির সাথে পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলির তুলনা করা আপেল এবং কমলার তুলনা করে। সহজেই নিশ্চিত করুন যে ক্লায়েন্ট সমস্যাটি বুঝতে পেরেছেন (তাকে এমন কিছু স্বাক্ষর করতে দিন যাতে এটি বলা হয় - অন্যথায় যদি প্রশ্নে থাকে তবে সে কিছু মনে করতে পারে না) এবং এগিয়ে যায়। অতিরিক্তভাবে, প্রয়োজনীয় সুরক্ষা ব্যবস্থাগুলি সিস্টেমের মূল্য এবং আক্রমণটির সম্ভাব্য ঝুঁকির উপর নির্ভর করে। যদি কোনও সফল আক্রমণকারী কেবল কিছু নিউজলেটার সাবস্ক্রিপশন বাতিল করতে পারে তবে কোনও সমস্যা নিয়ে তর্ক করার কোনও কারণ নেই।
sfussnegger
133

হাল ছাড়বেন না। আপনার ক্লায়েন্টদের বোঝাতে আপনি যে অস্ত্রটি ব্যবহার করতে পারেন তা হ'ল অ-প্রশংসনীয়। আপনি যদি কোনও যান্ত্রিকতার মাধ্যমে ব্যবহারকারীর পাসওয়ার্ডগুলি পুনর্গঠন করতে পারেন তবে আপনি তাদের ক্লায়েন্টদের একটি আইন অ-প্রত্যাখ্যান প্রক্রিয়া দিয়েছেন এবং তারা সেই পাসওয়ার্ডের উপর নির্ভর করে যে কোনও লেনদেন প্রত্যাখ্যান করতে পারে, কারণ সরবরাহকারী প্রমাণ করতে পারে যে তারা পাসওয়ার্ডটি পুনর্গঠন করেনি no এবং লেনদেনটি নিজেরাই করে ফেলুন। যদি পাসওয়ার্ডগুলি সিফেরেক্সট না করে সঠিকভাবে হজম হিসাবে সংরক্ষণ করা হয় তবে এটি অসম্ভব, শেষ ক্লায়েন্ট নিজেই লেনদেনটি সম্পাদন করে বা পাসওয়ার্ডটি সুরক্ষিত করার ক্ষেত্রে তার যত্নের দায়িত্ব লঙ্ঘন করে। উভয় ক্ষেত্রেই দায় দায়বদ্ধভাবে তার সাথে ছেড়ে যায়। আমি কয়েকশো মিলিয়ন ডলারের মতো ক্ষেত্রে কাজ করেছি। আপনি ভুল করতে চান এমন কিছু নয়।

user207421
সূত্র
2
ওয়েবসভার লগগুলি আদালতে গণনা করা হয় না? অথবা এই ক্ষেত্রে তারা পাশাপাশি নকল হিসাবে ধরে নেওয়া হবে?
ভিঙ্কো ভার্সালোভিক
10
@ ভিঙ্কো ভার্সালভিক, ওয়েব সার্ভার আদালতে গণনা করা উচিত, যাতে আপনাকে অ-খণ্ডন, সত্যতার প্রমাণ, প্রমাণের শৃঙ্খলা ইত্যাদির প্রমাণ দিতে হবে যা ওয়েবসভার লগগুলি স্পষ্টভাবে নয়।
আভিডি
7
যথাযথভাবে। সরবরাহকারীকে প্রমাণ করতে হবে যে কেবল ক্লায়েন্টই সেই লেনদেন করতে পারতেন। একটি ওয়েব সার্ভার লগ এটি করে না।
ব্যবহারকারী 207421
"লেনদেন" করার জন্য সমস্ত পাসওয়ার্ড আসলেই প্রয়োজন হয় না, তাই বলার জন্য। বলুন ওয়েবসাইটটি একটি ওয়েবপৃষ্ঠার বুকমার্কিং তালিকা বিকাশের জন্য। এক্ষেত্রে দায়বদ্ধতার সীমাটি (যা ওয়েবসাইটটিতে রেজিস্ট্রেশন করার সময় সাধারণত টি ও সি এর মধ্যে ডাকা হয়) শূন্য, কারণ কোনও আর্থিক লেনদেন নেই। যদি ওয়েবসাইটটিতে অন্যের উপর প্রভাব ফেলতে কোনও পদক্ষেপ না থাকে তবে সর্বাধিকত, হ্যাক করা ব্যবহারকারীর কাছে ডেটা হারিয়ে যায়। সংস্থাটি টি ও সি দ্বারা সুরক্ষিত।
সাবেলফোস্টে
1
@ সাবেলফোস্ট সেই ওয়েবসাইটে যদি ব্যবহারকারী অন্য কোথাও একই পাসওয়ার্ড ব্যবহার করে আপনি তার ব্যক্তিগত শংসাপত্র ফাঁস করার ঝুঁকি তৈরি করছেন। আপনি যদি কখনও অনুশীলনে নিযুক্ত না হন তবে সমস্যা তৈরি করতে পারবেন না।
ব্যবহারকারী 207421
94

পরে প্লেটেক্সট পুনরুদ্ধারের জন্য আপনি নৈতিকভাবে পাসওয়ার্ড সংরক্ষণ করতে পারবেন না। এটা ঐটার মতই সহজ. এমনকি জোন স্কিটি পরে প্লেইন টেক্সট পুনরুদ্ধারের জন্য নৈতিকতার সাথে পাসওয়ার্ড সংরক্ষণ করতে পারে না। আপনার ব্যবহারকারীরা যদি কোনওভাবে বা অন্য কোনও সরল পাঠ্যে পাসওয়ার্ডগুলি পুনরুদ্ধার করতে পারেন তবে সম্ভবত এমন কোনও হ্যাকারও পারেন যা আপনার কোডটিতে সুরক্ষার দুর্বলতা খুঁজে পায়। এবং এটি কেবলমাত্র কোনও ব্যবহারকারীর পাসওয়ার্ডের সাথে আপস করা হচ্ছে না, সেগুলি সবই।

আপনার ক্লায়েন্টদের যদি এতে সমস্যা হয় তবে তাদের বলুন যে পাসওয়ার্ডগুলি পুনরুদ্ধার করে সংরক্ষণ করা আইনের পরিপন্থী। এখানে যে কোনও হারে, ডেটা প্রোটেকশন অ্যাক্ট 1998 (বিশেষত, তফসিল 1, দ্বিতীয় খণ্ড, অনুচ্ছেদ 9) এর জন্য ডেটা কন্ট্রোলারগুলিকে ব্যক্তিগত তথ্য সুরক্ষিত রাখতে যথাযথ প্রযুক্তিগত ব্যবস্থা গ্রহণ করা প্রয়োজন, অ্যাকাউন্টকে বিবেচনায় রেখে, অন্যান্য বিষয়গুলির মধ্যেও ডেটা আপোস করা থাকলে এমন ক্ষতি হতে পারে - যা সাইটের মধ্যে পাসওয়ার্ড ভাগ করে এমন ব্যবহারকারীদের জন্য যথেষ্ট বিবেচিত হতে পারে। তারা এখনও যে এটি একটি সমস্যা grokking সমস্যা থাকে, যেমন তাদের কিছু বাস্তব বিশ্বের উদাহরণ, নির্দেশ এই এক

ব্যবহারকারীদের লগইন পুনরুদ্ধার করার সহজতম উপায় হ'ল তাদের একটি এক-সময় লিঙ্কটি ইমেল করা যা এগুলি স্বয়ংক্রিয়ভাবে লগ ইন করে এবং সরাসরি কোনও পৃষ্ঠাতে নিয়ে যায় যেখানে তারা একটি নতুন পাসওয়ার্ড চয়ন করতে পারে। একটি প্রোটোটাইপ তৈরি করুন এবং এটিকে তাদের ক্রিয়াতে দেখান।

আমি এই বিষয়টিতে লিখেছিলাম এমন বেশ কয়েকটি ব্লগ পোস্ট:

আপডেট: আমরা এখন সেই সংস্থাগুলির বিরুদ্ধে মামলা এবং মামলাগুলি দেখতে শুরু করি যা তাদের ব্যবহারকারীর পাসওয়ার্ডগুলি সঠিকভাবে সুরক্ষিত করতে ব্যর্থ হয়। উদাহরণ: লিঙ্কডইন $ 5 মিলিয়ন ক্লাস অ্যাকশন মামলা দায়ের করেছে ; প্লেস্টেশন ডেটা হ্যাকের চেয়ে সোনিকে 250,000 ডলার জরিমানা করা হয়েছে । যদি আমি সঠিকভাবে স্মরণ করি তবে লিংকডইন আসলে তার ব্যবহারকারীর পাসওয়ার্ডগুলি এনক্রিপ্ট করছে, তবে এটি যে এনক্রিপশনটি ব্যবহার করছে এটি কার্যকর হওয়ার জন্য খুব দুর্বল ছিল।

jammycakes
সূত্র
8
@ জিমিইকেকস - স্বল্প সুরক্ষা ব্যবস্থায় এটি করা ভাল জিনিস তবে আপনি যদি উচ্চমূল্যের কোনও ডেটা সঞ্চয় করে থাকেন তবে আপনাকে ধরে নিতে হবে যে ব্যক্তিদের ইমেলটি ইতিমধ্যে আপোসযুক্ত এবং তাদের সরাসরি লগইন লিঙ্ক প্রেরণ করা আপনার সিস্টেমে আপোষ করে। একটি সম্ভাব্য বিকল্প দিয়ে আমার প্রশ্নের উত্তর দেওয়ার জন্য +1, তবে সামগ্রিকভাবে যুক্তিতে কোনও ত্রুটি চিহ্নিত করা। আমি পেপাল সরাসরি লগইন লিঙ্কটি কখনও পাঠাচ্ছি না। এটি অদ্ভুত লাগতে পারে তবে আমি সবসময় ধরে নিই যে আমার ইমেল অ্যাকাউন্টটি দূষিত - এটি আমাকে সৎ রাখে। ;)
শেন
একেবারে - আমি আমার ব্যাংকটি খুব কমপক্ষে আমাকে একটি ফোন কল করতে এবং আমার পাসওয়ার্ডটি পুনরায় সেট করতে দেওয়ার আগে ( পুনরুদ্ধার করা হবে না ) আমার পরিচয় যাচাই করার আশা করছিলাম । আমি এখানে যা উল্লেখ করেছি তা হ'ল পাসওয়ার্ড সুরক্ষার পরম নূন্যতম মান যা আমি যে কোনও ওয়েবসাইট থেকে, যে কোনও জায়গায় আশা করব।
জ্যামাইক্যাক্স
1
আপনার উপায়ে নির্ধারিত কোনও বিধিনিষেধ থাকবে না এমন ব্যাংক বা পেপাল উপেক্ষা করা; যদি আপনি ধরে নেন যে তাদের ইমেল আপোস করা হয়েছে, তবে কোনও অনলাইন পদ্ধতি কীভাবে সম্ভব? আপনি যদি উত্পন্ন পাসওয়ার্ড ইমেল করেন তবে কীভাবে এটি নিরাপদ?
পিটার কুল্টন
আমি একক ব্যক্তির পাসওয়ার্ড পাওয়ার কথা বলছি না, আমি একটি ডাটাবেস থেকে একাধিক পাসওয়ার্ড পাওয়ার কথা বলছি। যদি কোনও সিস্টেম সরল পাঠ্যের জন্য পাসওয়ার্ডগুলি পুনরুদ্ধার করে সঞ্চয় করে, একটি হ্যাকার আপনার ডাটাবেস থেকে সমস্ত পাসওয়ার্ড আহরণের জন্য সম্ভাব্যভাবে একটি স্ক্রিপ্ট লিখতে পারে।
জ্যামাইকাইক
আমি ইমেলটিতে লিঙ্ক / পাসওয়ার্ড প্রেরণের বিষয়ে ভাবছি, অজানা নেটওয়ার্ক নোডগুলির মাধ্যমে প্লেইন আকারে নেটওয়ার্কের মাধ্যমে ...
জাকুব
55

এই অংশটি পড়ার পরে:

নীচের একটি নোটে আমি বিষয়টি তুলে ধরেছি যে ওয়েবসাইটগুলি বয়স্ক, মানসিকভাবে চ্যালেঞ্জযুক্ত বা খুব অল্প বয়স্ক লোকদের দিকে বেশিরভাগ ক্ষেত্রে আগ্রহী, যখন তাদের কোনও সুরক্ষিত পাসওয়ার্ড পুনরুদ্ধার রুটিন সঞ্চালনের জন্য বলা হয় তখন তারা বিভ্রান্ত হয়ে উঠতে পারে। যদিও আমাদের ক্ষেত্রে এটি সহজ এবং সাময়িক মনে হতে পারে কিছু ব্যবহারকারীর একটি সার্ভিস টেক হচ্ছে তাদের সিস্টেমে সহায়তা করার জন্য বা এটি সরাসরি তাদের ইমেল / প্রদর্শিত হওয়ার অতিরিক্ত সহায়তার প্রয়োজন।

এই জাতীয় সিস্টেমে এই ডেমোগ্রাফিকগুলি থেকে অ্যাট্রিশন হার অ্যাপ্লিকেশনটিকে হাবল করতে পারে যদি ব্যবহারকারীদের এই স্তরের অ্যাক্সেস সহায়তা না দেওয়া হয়, সুতরাং দয়া করে এই জাতীয় সেটআপটি মাথায় রেখে উত্তর দিন।

আমি এই ভেবে অবাক হই যে এই প্রয়োজনীয়তাগুলির কোনওটি পুনরুদ্ধারযোগ্য পাসওয়ার্ড সিস্টেমকে আদেশ দেয় কিনা। উদাহরণস্বরূপ: মাসি মাবেল কল করে বললেন "আপনার ইন্টারনেট প্রোগ্রামটি কাজ করছে না, আমি আমার পাসওয়ার্ড জানি না"। "ঠিক আছে" গ্রাহক পরিষেবা ড্রোন বলেছে "আমাকে কয়েকটি বিশদ পরীক্ষা করতে দিন এবং তারপরে আমি আপনাকে একটি নতুন পাসওয়ার্ড দেব you আপনি যখন পরবর্তী লগ ইন করবেন তখন আপনাকে জিজ্ঞাসা করা হবে আপনি কি সেই পাসওয়ার্ডটি রাখতে চান বা এটির কোনও কিছু পরিবর্তন করতে চান যা আপনি মনে করতে পারেন আরও সহজে। "

তারপরে কখন পাসওয়ার্ড পুনরায় সেট হয়ে গেছে তা জানতে সিস্টেমটি সেট আপ হয়ে একটি "আপনি কী নতুন পাসওয়ার্ড রাখতে চান বা একটি নতুন একটি চয়ন করতে চান" বার্তা প্রদর্শন করেন।

পিসি-সাক্ষরতার জন্য তাদের পুরানো পাসওয়ার্ড বলার চেয়ে কীভাবে খারাপ এটি? এবং গ্রাহক পরিষেবা ব্যক্তি যখন দুষ্টুমিতে উঠতে পারেন, ডাটাবেসটি লঙ্ঘন হওয়ার ক্ষেত্রে এটি নিজেই অনেক বেশি সুরক্ষিত থাকে।

আমার পরামর্শে যা খারাপ তা মন্তব্য করুন এবং আমি এমন একটি সমাধানের পরামর্শ দেব যা আসলে আপনি প্রথমে যা চেয়েছিলেন তা করে।

মিঃ বয়
সূত্র
4
@ জোহান - আমি মনে করি এটি একটি নিখুঁত কার্যকর সমাধান solution অভ্যন্তরীণ হুমকিতে যদিও শিখতে প্রস্তুত! আপনি জানেন, আমি যদি মাঝারি পাসওয়ার্ড পুনরায় সেট করার মাধ্যমে এটি করতাম (টেকটি অস্থায়ী পরিমাপ হিসাবে ম্যানুয়ালি পাসওয়ার্ড সেট করে এবং মাবেলকে তার পাসওয়ার্ড হিসাবে 1234 টাইপ করতে বলে) তবে এটি সম্ভবত গুরুত্বপূর্ণ ডেটা না থাকা কোনও সিস্টেমে ভাল কাজ করবে। যদি এটি একটি উচ্চ সুরক্ষা পরিবেশ ছিল তবে আমাদের যদি তখন সমস্যা হয় যেখানে কাস্টার সার্ভিস সিইওর পাসওয়ার্ডটি 1234 এ সেট করতে পারে এবং সরাসরি লগ ইন করতে পারে। কোনও নিখুঁত সমাধান নেই তবে এটি একাধিক ক্ষেত্রে কাজ করে। (+1)
শেন
5
আমি কেবল এই উত্তর লক্ষ্য করেছি। @ শানে, আপনি কেন "অভ্যন্তরীণ হুমকি" নিয়ে জ্বলজ্বলে পূর্বাভাস করেছিলেন তা আমি বুঝতে পারি না don't পাসওয়ার্ড পরিবর্তন করার ক্ষমতা উল্লেখযোগ্য দুর্বলতা নয়; সমস্যাটি এমন একটি পাসওয়ার্ড আবিষ্কার করার ক্ষমতা যা সম্ভবত অন্যান্য পরিষেবাদি - তার ইমেল, তার ব্যাংক, তার অনলাইন শপিং সাইটগুলিতে রয়েছে যার সিসির তথ্য সঞ্চিত রয়েছে। সেই দুর্বলতা এখানে প্রকাশিত হয় না; যদি বব মাবেলের পাসওয়ার্ডটি পুনরায় সেট করে এবং ফোনে তাকে তা বলে, যা তাকে তার অন্য কোনও অ্যাকাউন্টে অ্যাক্সেস দেয় না। আমি অবশ্য লগইনে পাসওয়ার্ড পুনরায় সেট করার "পরামর্শ" দেওয়ার পরিবর্তে বল প্রয়োগ করব
অ্যারোনআউট
@ অ্যারোনট - আমি আপনার বক্তব্যটি দেখতে পাচ্ছি, তবে আমি যা ভাবছি তা এমন সময় যেখানে গ্রাহক পরিষেবাদিরাও কোনও সিস্টেমের নির্দিষ্ট ক্ষেত্রগুলি (যেমন বেতন, অ্যাকাউন্টিং ইত্যাদির বাইরে) লক হয়ে থাকে এবং তাদের সরাসরি পাসওয়ার্ড সেট করার অনুমতি দেয় তা হ'ল এবং নিজের মধ্যে একটি সুরক্ষা সমস্যা। আমি আপনার বক্তব্যটি দেখতে পাচ্ছি যদিও আমি যে ধরণের সিস্টেমে এই প্রশ্নটি সম্পর্কে জিজ্ঞাসা করেছি তা অভ্যন্তরীণ অ্যাকাউন্টিং সিস্টেম থেকে মূলত পৃথক। মালিকানাধীন অভ্যন্তরীণ সিস্টেমগুলি এবং এতে পাসওয়ার্ড সুরক্ষা সম্পর্কে আমরা সম্ভবত সম্পূর্ণ ভিন্ন আলোচনা করতে পারি।
শেন
1
@ শানে: তাহলে প্রশ্নটি আরও কম বোধগম্য হয়। আমি ধরে নিয়েছি যে আপনি চাইছেন যে কেউ ফোনে তাদের পাসওয়ার্ড পড়তে পারে। আপনি যদি কিছু স্বয়ংক্রিয় স্ব-পরিষেবা সিস্টেমের মাধ্যমে ব্যবহারকারীদের তাদের পাসওয়ার্ডগুলি ইমেল করতে চান তবে আপনি পাসওয়ার্ডটি পুরোপুরি বিতরণ করতে পারেন কারণ এটি অনেক দুর্বল কিছু দিয়ে "সুরক্ষিত" হচ্ছে। আপনি কী ধরনের ব্যবহারযোগ্যতার পরিস্থিতি সমর্থন করতে চাইছেন সে সম্পর্কে আপনাকে আরও অনেক নির্দিষ্ট হতে হবে। সম্ভবত সেই বিশ্লেষণ পরবর্তীকালে আপনাকে দেখাতে পারে যে পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি এমনকি প্রয়োজনীয় নয়।
অ্যারোনআউট
4
সমর্থন ব্যক্তির দ্বারা সরবরাহ করা কোডটি আক্ষরিকভাবে নতুন পাসওয়ার্ড হতে হবে না। এটি কেবলমাত্র একটি এককালীন কোড হতে পারে যা পাসওয়ার্ড পুনরায় সেট করার ফাংশনটি আনলক করে।
কিলজিলিন
42

মাইকেল ব্রুকস CWE-257 সম্পর্কে বরং সোচ্চার ছিলেন - আপনি যে পদ্ধতি ব্যবহার করুন না কেন আপনি (প্রশাসক) এখনও পাসওয়ার্ডটি পুনরুদ্ধার করতে পারেন। সুতরাং কিভাবে এই বিকল্পগুলি সম্পর্কে:

  1. অন্য কারও পাবলিক কী - কিছু বাহ্যিক কর্তৃপক্ষের সাথে পাসওয়ার্ড এনক্রিপ্ট করুন । এইভাবে আপনি ব্যক্তিগতভাবে এটি পুনর্গঠন করতে পারবেন না এবং ব্যবহারকারীকে সেই বাহ্যিক কর্তৃপক্ষের কাছে যেতে হবে এবং তাদের পাসওয়ার্ড পুনরুদ্ধার করতে বলবে।
  2. দ্বিতীয় পাসফ্রেজ থেকে উত্পন্ন কীটি ব্যবহার করে পাসওয়ার্ডটি এনক্রিপ্ট করুন। এই এনক্রিপশন ক্লায়েন্ট-সাইড করুন এবং এটি কখনই ক্লিয়ার হিসাবে সার্ভারে প্রেরণ করবেন না। তারপরে, পুনরুদ্ধার করতে, তাদের ইনপুট থেকে কীটি পুনরায় তৈরি করে ডিক্রিপশন ক্লায়েন্ট-সাইডটি আবার করুন। স্বীকারযোগ্যভাবে, এই পদ্ধতির মূলত দ্বিতীয় পাসওয়ার্ড ব্যবহার করা হচ্ছে, তবে আপনি সর্বদা তাদের এটি লিখতে বা পুরানো সুরক্ষা-প্রশ্ন পদ্ধতির ব্যবহার করতে বলতে পারেন।

আমার মনে হয় 1. ভাল পছন্দ, কারণ এটি আপনাকে ক্লায়েন্টের সংস্থার মধ্যে কাউকে ব্যক্তিগত কী ধরে রাখতে মনোনীত করতে সক্ষম করে। নিশ্চিত হয়ে নিন যে তারা কীটি নিজেই তৈরি করে এবং সেফটি নির্দেশাবলীতে সংরক্ষণ করে ইত্যাদি only আপনি এমনকি অভ্যন্তরীণ তৃতীয় পক্ষকে কেবল এনক্রিপ্ট করতে এবং নির্দিষ্ট অক্ষরগুলি পাসওয়ার্ড থেকে সরবরাহ করে সুরক্ষা যোগ করতে পারেন যাতে তাদের অনুমান করার জন্য পাসওয়ার্ডটি ক্র্যাক করতে হবে এটা। এই অক্ষরটি ব্যবহারকারীকে সরবরাহ করা, তারা সম্ভবত এটি মনে রাখবেন!

ফিল এইচ
সূত্র
8
এবং, অবশ্যই, আপনি ডিক্রিপশন-এর জন্য আপনার সংস্থার একাধিক কারও প্রয়োজনের জন্য কোনও গোপনীয়-বিভাজন কৌশল ব্যবহার করতে পারেন। তবে এর
কোনওটিই
27

এই প্রশ্নের প্রতিক্রিয়া হিসাবে ব্যবহারকারীর জন্য সুরক্ষা উদ্বেগ নিয়ে অনেক আলোচনা হয়েছে, তবে আমি সুবিধাগুলির একটি উল্লেখ যুক্ত করতে চাই। এখনও অবধি, আমি সিস্টেমে পুনরুদ্ধারযোগ্য পাসওয়ার্ড রাখার জন্য উল্লেখ করা একটি বৈধ সুবিধা দেখিনি । এই বিবেচনা:

  • তাদের পাসওয়ার্ড তাদের ইমেল করে ব্যবহারকারীর কি উপকার হয়? নং তারা একটি এক-কালীন ব্যবহারযোগ্য পাসওয়ার্ড পুনঃসেট লিঙ্ক, যা আশা তাদের একটি পাসওয়ার্ড তারা চয়ন করার অনুমতি দেবে থেকে আরো সুবিধা গ্রহণ করবে মনে রাখবেন।
  • তাদের পাসওয়ার্ডটি স্ক্রিনে প্রদর্শিত হওয়ার মাধ্যমে ব্যবহারকারী কী উপকৃত হতে পারে? না, উপরের মত একই কারণে; তাদের একটি নতুন পাসওয়ার্ড চয়ন করা উচিত।
  • একজন সমর্থনকারী ব্যক্তির ব্যবহারকারীর সাথে পাসওয়ার্ডটি কথা বলা কি ব্যবহারকারীর উপকার হয়? না; আবার, যদি সমর্থন ব্যক্তি তাদের পাসওয়ার্ডের জন্য ব্যবহারকারীর অনুরোধটিকে যথাযথভাবে প্রমাণিত হিসাবে গণ্য করে, তবে এটি একটি নতুন পাসওয়ার্ড এবং এটি পরিবর্তন করার সুযোগ দেওয়া ব্যবহারকারীর সুবিধার জন্য আরও বেশি। এছাড়াও, অটোমেটেড পাসওয়ার্ড পুনরায় সেট করার চেয়ে ফোনের সমর্থন আরও ব্যয়বহুল, সুতরাং সংস্থারও কোনও উপকার হয় না।

মনে হয় একমাত্র সেইগুলি যা পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি থেকে উপকৃত হতে পারে তারাই হ'ল দূষিত অভিপ্রায় বা দুর্বল এপিআইয়ের সমর্থক যাদের তৃতীয় পক্ষের পাসওয়ার্ড এক্সচেঞ্জের প্রয়োজন হয় (দয়া করে কখনও বলা এপিআইগুলি ব্যবহার করবেন না!)। সম্ভবত আপনি আপনার ক্লায়েন্টদের সত্যতার সাথে উল্লেখ করে আপনার যুক্তিটি জিততে পারেন যে পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি সংরক্ষণ করে সংস্থা কোনও লাভ এবং কেবল দায়বদ্ধতা অর্জন করবে না

এই ধরণের অনুরোধগুলির লাইনের মধ্যে পড়া, আপনি দেখতে পাবেন যে আপনার ক্লায়েন্টরা সম্ভবত পাসওয়ার্ডগুলি কীভাবে পরিচালিত হয় সে সম্পর্কে কিছু বোঝে না বা আসলে এমনকি যত্নও করে না। তারা সত্যই যা চায় তা হ'ল একটি প্রমাণীকরণ সিস্টেম যা তাদের ব্যবহারকারীর পক্ষে এত কঠিন নয়। সুতরাং কীভাবে তারা প্রকৃতপক্ষে পুনরুদ্ধারযোগ্য পাসওয়ার্ড চান না তা জানানোর পাশাপাশি, আপনাকে তাদের প্রমাণীকরণ প্রক্রিয়াটিকে কম বেদনাদায়ক করে তোলার উপায়গুলি সরবরাহ করা উচিত, বিশেষত যদি আপনার কোনও ভারী সুরক্ষা স্তরের প্রয়োজন না হয়:

  • ব্যবহারকারীকে তাদের ব্যবহারকারীর নামের জন্য তাদের ইমেল ঠিকানা ব্যবহার করার অনুমতি দিন। আমি এমন অসংখ্য কেস দেখেছি যেখানে ব্যবহারকারী তাদের ব্যবহারকারীর নাম ভুলে যায় তবে খুব কম লোকই তাদের ইমেল ঠিকানা ভুলে যায়।
  • ওপেনআইডি অফার করুন এবং ব্যবহারকারীর ভুলে যাওয়ার জন্য তৃতীয় পক্ষকে অর্থ প্রদান করুন।
  • পাসওয়ার্ড বিধিনিষেধে সহজেই বন্ধ করুন। আমি নিশ্চিত যে "যখন আপনি বিশেষ অক্ষর ব্যবহার করতে পারবেন না" বা "আপনার পাসওয়ার্ডটি অনেক দীর্ঘ" বা "আপনার পাসওয়ার্ডটি শুরু করতে হবে" এর মতো অকেজো প্রয়োজনীয়তার কারণে যখন কোনও ওয়েব সাইট আপনার পছন্দসই পাসওয়ার্ডকে অনুমতি দেয় না তখন আমরা সকলেই অবিশ্বাস্যরকম বিরক্ত হয়ে পড়েছি must একটি চিঠি দিয়ে। " এছাড়াও, যদি ব্যবহারের সহজলভ্যতা পাসওয়ার্ড শক্তির চেয়ে বড় উদ্বেগ হয় তবে আপনি ছোট পাসওয়ার্ডগুলি মঞ্জুর করে বা অক্ষর শ্রেণীর সংমিশ্রণের প্রয়োজন না করেও অ-মূর্খ প্রয়োজনীয়তাগুলি আলগা করতে পারেন। আলগা নিষেধাজ্ঞার সাথে, ব্যবহারকারীরা ভুলে যাবেন না এমন পাসওয়ার্ড ব্যবহার করার সম্ভাবনা বেশি থাকে।
  • পাসওয়ার্ডের মেয়াদ শেষ করবেন না।
  • ব্যবহারকারীকে একটি পুরানো পাসওয়ার্ড পুনরায় ব্যবহার করার অনুমতি দিন।
  • ব্যবহারকারীকে তাদের নিজস্ব পাসওয়ার্ড পুনরায় সেট করার প্রশ্ন চয়ন করতে অনুমতি দিন।

তবে আপনি যদি কোনও কারণে (এবং দয়া করে কারণ আমাদের বলুন) সত্যই, সত্যিকার অর্থেই একটি পুনরুদ্ধারযোগ্য পাসওয়ার্ড অর্জন করতে সক্ষম হওয়া প্রয়োজন হয় তবে আপনি ব্যবহারকারীকে তাদের অন্যান্য অনলাইন অ্যাকাউন্টের সাথে কোনও পাসওয়ার্ডবিহীন আপোস করার হাত থেকে রক্ষা করতে পারেন- ভিত্তিক প্রমাণীকরণ সিস্টেম যেহেতু লোকেরা ইতিমধ্যে ব্যবহারকারীর নাম / পাসওয়ার্ড সিস্টেমগুলির সাথে পরিচিত এবং তারা একটি ভাল-অনুশীলনযুক্ত সমাধান, এটি এক শেষ অবলম্বন হবে, তবে অবশ্যই পাসওয়ার্ডের প্রচুর সৃজনশীল বিকল্প রয়েছে:

  • ব্যবহারকারীর একটি সংখ্যার পিন চয়ন করতে দিন, পছন্দসই 4-অঙ্কের নয় এবং কেবলমাত্র যদি জোর-জোর প্রচেষ্টা চালানো থেকে বিরত থাকে।
  • ব্যবহারকারীকে একটি সংক্ষিপ্ত উত্তর সহ একটি প্রশ্ন চয়ন করুন যা কেবলমাত্র তারা উত্তরটি জানেন, কখনই পরিবর্তিত হবে না, তারা সর্বদা স্মরণ করবে এবং অন্য লোকেরা এটি খুঁজে বের করতে তাদের কোনও আপত্তি নেই।
  • ব্যবহারকারীকে কোনও ব্যবহারকারী নাম লিখুন এবং তারপরে অনুমান করা থেকে রক্ষা করার জন্য পর্যাপ্ত অনুমতি দিয়ে একটি সহজে মনে রাখার মতো আকৃতি আঁকুন ( ফোনটি আনলক করার জন্য জি 1 কীভাবে এটি করে তার এই নিফটির ফটোটি দেখুন )।
  • বাচ্চাদের ওয়েব সাইটের জন্য, আপনি ব্যবহারকারীর নামের উপর ভিত্তি করে একটি অস্পষ্ট প্রাণীটি স্বয়ংক্রিয়ভাবে তৈরি করতে পারেন (ধরণের কোনও শৈলীর মতো) এবং ব্যবহারকারীকে প্রাণীটিকে একটি গোপন নাম দিতে বলতেন। তারপরে তাদের লগ ইন করার জন্য প্রাণীর গোপন নাম লিখতে অনুরোধ করা যেতে পারে।
জ্যাকব
সূত্র
আমি এখানে আমার মন্তব্যে প্রতিক্রিয়া জানিয়েছিলাম, যেহেতু এটি বেশ দীর্ঘ ছিল - আমি বিশ্লেষণ এবং উত্থাপিত বিষয়গুলির আলোচনার পর্যালোচনা করা এটি গুরুত্বপূর্ণ মনে করি। stackoverflow.com/questions/2283937/...
ক্ষুধিত
তাদের পাসওয়ার্ডটি স্ক্রিনে প্রদর্শিত হওয়ার মাধ্যমে ব্যবহারকারী কী উপকৃত হতে পারে? আমার মতে - অবশ্যই হ্যাঁ! যতবারই আমি সরবরাহিত ইন্টারনেট থেকে অস্পষ্ট পাসওয়ার্ড পাই, আমি অ্যাপলকে ধন্যবাদ জানাই আমি এটি দৃশ্যমান করে তুলতে পারি যাতে আমাকে এটিকে পুনরায় 100 বার ব্যথার জন্য টাইপ না করতে হয়। আমি কল্পনা করতে পারি যে অক্ষম ব্যক্তিটি কেমন অনুভব করবে।
দিমিত্রি জইতসেভ
1
আপনি মনে রাখতে পারেন এমন একটি নতুন পাসওয়ার্ড বেছে নেওয়ার চেয়ে কেন অস্পষ্ট পাসওয়ার্ড প্রদর্শন করা ভাল?
জ্যাকব
@ জ্যাকব: আরও এনট্রপি?
আলেকজান্ডার শ্যাচব্লিকিন
25

আমি এই প্রশ্নের উপর যে মন্তব্য করেছি তার অনুসারে:
একটি গুরুত্বপূর্ণ বিষয় প্রায় প্রত্যেকেই খুব বেশি প্রকাশ পেয়েছে ... আমার প্রাথমিক প্রতিক্রিয়াটি @ মিশেল ব্রুকসের সাথে খুব সাদৃশ্য ছিল, যতক্ষণ না আমি বুঝতে পেরেছি @ স্টেফানও, যে বিষয়টি এখানে সমস্যা ভঙ্গ হয়েছে? তবে এগুলি এগুলি।
কিন্তু তারপরে, আমার কাছে এমন ঘটনা ঘটেছিল যে এটি এমনকি নাও হতে পারে! অনুপস্থিত বিন্দুটি হ'ল অ্যাপ্লিকেশনটির সম্পদের অপ্রকাশিত মান । সহজ ভাষায় বলতে গেলে, একটি নিম্নমানের ব্যবস্থার জন্য, সম্পূর্ণ প্রক্রিয়া জড়িত একটি সম্পূর্ণ সুরক্ষিত প্রমাণীকরণ প্রক্রিয়া, ওভারকিল এবং ভুল সুরক্ষা পছন্দ হবে।
স্পষ্টতই, একটি ব্যাংকের জন্য, "সেরা অনুশীলনগুলি" আবশ্যক এবং সিডব্লিউই -২77 নৈতিকভাবে লঙ্ঘনের কোনও উপায় নেই। তবে স্বল্পমূল্যের সিস্টেমগুলির কথা চিন্তা করা সহজ যেখানে এটি কেবল মূল্যবান নয় (তবে একটি সাধারণ পাসওয়ার্ড এখনও প্রয়োজন)।

এটি মনে রাখা জরুরী, সত্য সুরক্ষা দক্ষতা উপযুক্ত ট্রেডঅফগুলি সন্ধানে হয়, যে কেউ "অনলাইনে অনুশীলনগুলি" অনলাইনে পড়তে পারে তা স্পষ্টভাবে ফুটিয়ে তোলার ক্ষেত্রে নয়।

এই হিসাবে, আমি অন্য সমাধানের পরামর্শ দিচ্ছি:
সিস্টেমের মানের উপর নির্ভর করে, এবং কেবলমাত্র যদি সিস্টেমটি যথাযথভাবে কোনও "ব্যয়বহুল" সম্পদ (স্বীকৃতি নিজেই অন্তর্ভুক্ত) সহ কম মান না দেয় এবং বৈধ ব্যবসায়ের প্রয়োজনীয়তা রয়েছে যা যথাযথ প্রক্রিয়া করে অসম্ভব (বা যথেষ্ট কঠিন / ব্যয়বহুল), এবং ক্লায়েন্টকে সমস্ত সতর্কতা সম্পর্কে অবহিত করা হয়েছে ...
তারপরে কেবল কোনও বিশেষ হুপগুলি না পেরে কেবল বিপরীত এনক্রিপশনকে অনুমতি দেওয়া উপযুক্ত হতে পারে।
আমি মোটেও এনক্রিপশন নিয়ে বিরক্ত করার কথা বলার অপেক্ষা রাখে না, কারণ এটি প্রয়োগ করা খুব সহজ / সস্তা (এমনকি প্যাসেবল কী পরিচালনা বিবেচনা করে) এবং এটি কিছু সুরক্ষা সরবরাহ করে (এটি বাস্তবায়নের ব্যয়ের চেয়েও বেশি)। এছাড়াও, কীভাবে ব্যবহারকারীকে মূল পাসওয়ার্ড, কীভাবে ইমেলের মাধ্যমে, স্ক্রিনে প্রদর্শন করা যায় ইত্যাদি সরবরাহ করা যায় সেদিকে নজর রাখা
যেহেতু এখানে অনুমান করা হয়েছে যে চুরি হওয়া পাসওয়ার্ডের মান (এমনকি সমষ্টিগত) বেশ কম, এই সমাধানগুলির যে কোনওটি বৈধ হতে পারে।

যেহেতু একটি প্রাণবন্ত আলোচনা চলছে, আসলে আলাদা আলাদা প্রাণবন্ত আলোচনা, বিভিন্ন পোস্টে এবং পৃথক মন্তব্যের থ্রেডে, আমি কিছু স্পষ্টতা যুক্ত করব এবং এখানে অন্য কোথাও উত্থিত খুব ভাল কিছু পয়েন্টগুলিতে প্রতিক্রিয়া জানাব।

শুরু করার জন্য, আমি এখানে সবার কাছে এটা পরিষ্কার মনে করি যে ব্যবহারকারীর আসল পাসওয়ার্ড পুনরুদ্ধার করা, খারাপ অভ্যাস এবং সাধারণত একটি ভাল ধারণা নয় allowing এটি মোটেও বিরোধের মধ্যে নয় ...
আরও, আমি জোর দিয়ে বলব যে অনেকগুলি, বেশিরভাগ ক্ষেত্রেই নয় - এটি সত্যই ভুল, এমনকি বোকা, কদর্য এবং কুৎসিত

তবে প্রশ্ন থেকে যায় মূল অংশ প্রায় নীতি , সেখানে কোনো পরিস্থিতি যেখানে এটি প্রয়োজনীয় নাও হতে পারে IS এই নিষেধ, এবং যদি তাই হয়, কিভাবে এটি করার জন্য পরিস্থিতি সবচেয়ে সঠিক পদ্ধতিতে উপযুক্ত

এখন, @ থমাস, @ এসফুসনেগার এবং আরও কয়েকজন উল্লিখিত হিসাবে, এই প্রশ্নের উত্তর দেওয়ার একমাত্র সঠিক উপায় হ'ল যে কোনও (বা অনুমান) পরিস্থিতি সম্পর্কে ঝুঁকিপূর্ণ বিশ্লেষণ করা, কী কী ঝুঁকির মধ্যে রয়েছে তা বোঝা, এটি কতটা সুরক্ষিত করার পক্ষে মূল্যবান? , এবং অন্যান্য সুরক্ষাগুলি সেই সুরক্ষা বহন করতে কার্যকর play
না, এটি কোনও বাজওয়ার্ড নয়, এটি বাস্তব-লাইভ সুরক্ষা পেশাদারের জন্য অন্যতম একটি প্রাথমিক, সবচেয়ে গুরুত্বপূর্ণ সরঞ্জাম। সর্বোত্তম অনুশীলনগুলি এক পর্যায়ে ভাল (সাধারণত অনভিজ্ঞ এবং হ্যাকদের দিকনির্দেশ হিসাবে), চিন্তাভাবনা ঝুঁকি বিশ্লেষণের দায়িত্ব নেওয়ার পরে।

হ্যাঁ, এটি মজাদার - আমি নিজেকে সর্বদা সুরক্ষা ধর্মান্ধদের মধ্যে বিবেচনা করতাম এবং কোনওরকমভাবে আমি সেই তথাকথিত "সুরক্ষা বিশেষজ্ঞ" এর বিপরীত দিকে ছিলাম ... ভাল, সত্য - কারণ আমি একজন ধর্মান্ধ, এবং প্রকৃত বাস্তবজীবনের সুরক্ষার বিশেষজ্ঞ - আমি যে সমস্ত গুরুত্বপূর্ণ ঝুঁকি বিশ্লেষণ ছাড়াই "সেরা অনুশীলন" ডগমা (বা সিডব্লুইই) স্পাউটিংয়ে বিশ্বাস করি না ।
"আসল সমস্যাটি যে তারা রক্ষা করছে তা না জেনে যে তাদের সরঞ্জাম বেল্টে সমস্ত কিছু প্রয়োগ করতে তত্ক্ষণাতিত নিরাপত্তা জিলিয়োটকে সাবধান করুন More আরও সুরক্ষা অগত্যা ভাল সুরক্ষার সমান হয় না" "
ঝুঁকি বিশ্লেষণ, এবং সত্য সুরক্ষা ধর্মান্ধবাদীরা ঝুঁকি, সম্ভাব্য ক্ষতি, সম্ভাব্য হুমকি, পরিপূরক প্রশমন ইত্যাদি ইত্যাদির উপর ভিত্তি করে একটি চৌকস, মান / ঝুঁকিভিত্তিক ট্রেড অফকে নির্দেশ করবে যে কোনও "সুরক্ষা বিশেষজ্ঞ" যা ঝুঁকি বিশ্লেষণকে শব্দ হিসাবে চিহ্নিত করতে পারে না তাদের সুপারিশগুলির ভিত্তিতে বা যৌক্তিক ব্যবসায়ের সমর্থন করে, তবে ঝুঁকি বিশ্লেষণ কীভাবে করা যায় তা বুঝতে না পেরে ডগমা এবং সিডব্লিউইগুলিকে বাছাই করা পছন্দ করে, সিকিউরিটি হ্যাক ব্যতীত, এবং তাদের বিশেষজ্ঞরা যে টয়লেট পেপারটি প্রিন্ট করেছেন তাতে তার মূল্য নেই।

প্রকৃতপক্ষে, আমরা এইভাবেই হাস্যকর জিনিসটি পাই যা বিমানবন্দর সুরক্ষা।

তবে এই পরিস্থিতিটি তৈরি করার জন্য উপযুক্ত ব্যবসায়ের বিষয়ে কথা বলার আগে আসুন আমরা ঝুঁকিগুলি (আপাতদৃষ্টিতে দেখে নেওয়া যাক) কারণ আমাদের এই পরিস্থিতিতে সমস্ত পটভূমি তথ্য নেই, আমরা সবাই অনুমান করছি - যেহেতু প্রশ্নটি অনুমানমূলক কি পরিস্থিতি হতে পারে ...)
আসুন একটি স্বল্প-ভলিউম সিস্টেমটি ধরে নেওয়া যাক, তবুও এত ত্রৈমাসিক নয় যে এটি জনসাধারণের অ্যাক্সেস। সিস্টেমের মালিক নৈমিত্তিক ছদ্মবেশ রোধ করতে চান, তবুও "উচ্চ" সুরক্ষা ব্যবহারের সুবিধার মতো অতুলনীয় নয়। (হ্যাঁ, কোনও দক্ষ স্ক্রিপ্ট-কিডি সাইট হ্যাক করতে পারে এমন ঝুঁকিটি এসিইপিটি-র কাছে বৈধ বাণিজ্য) ... দাঁড়াও, এখন এপিটি জনপ্রিয় নয় ...?)
উদাহরণস্বরূপ, আসুন আমরা বলি যে আমি একটি বৃহত পারিবারিক জমায়েতের জন্য একটি সহজ সাইট সাজিয়ে রেখেছি, যেখানে আমরা এই বছর আমাদের শিবির ভ্রমণে যেতে চাই সেখানে প্রত্যেককেই মস্তিষ্কে ঝড় তুলতে দেয়। আমি কিছু বেনাম হ্যাকার সম্পর্কে কম চিন্তিত, এমনকি চাচাত ভাই ফ্রেড বারবার পরামর্শে পিছু হটানামানাবিকিলিকিতে ফিরে যেতে চাইছি, কারণ আমি আন্টি এরমা যখন প্রয়োজন হবে তখন লগইন করতে সক্ষম হচ্ছিলাম না। এখন, আন্টি ইরমা, একজন পারমাণবিক পদার্থবিজ্ঞানী, পাসওয়ার্ডগুলি মনে রাখা বা কম্পিউটার ব্যবহার করা মোটেই ভাল নয় ... তাই আমি তার পক্ষে সম্ভব সমস্ত ঘৃণা অপসারণ করতে চাই। আবার, আমি হ্যাক সম্পর্কে উদ্বিগ্ন নই, আমি কেবল ভুল লগইনের নির্বিকার ভুলগুলি চাই না - আমি জানতে চাই কে আসছে, এবং তারা কী চায়।

যাই হোক।
তাহলে এখানে আমাদের মূল ঝুঁকিগুলি কী কী, যদি আমরা একপেশে হ্যাশ ব্যবহারের পরিবর্তে প্রতিলিপিগুলি এনক্রিপ্ট করি?

  • ব্যবহারকারীদের নকল করছেন? না, আমি ইতিমধ্যে সেই ঝুঁকিটি মেনে নিয়েছি, আকর্ষণীয় নয়।
  • দুষ্ট প্রশাসক? ঠিক আছে, তবে ... তবে, আমি যত্নবান হই না যদি কেউ অন্য ব্যবহারকারী, আন্তঃনাল বা না ... এর নকল করতে পারে এবং যাইহোক কোনও দূষিত অ্যাডমিন আপনার পাসওয়ার্ড পেয়ে যাচ্ছিল না কেন - যদি আপনার প্রশাসক খারাপ হয়ে যায় তবে যাইহোক এটির খেলাটি।
  • আর একটি সমস্যা যে উত্থাপিত হয়েছে, পরিচয়টি আসলে বেশ কয়েকটি সিস্টেমের মধ্যে ভাগ করা হয়। আহ! এটি একটি খুব আকর্ষণীয় ঝুঁকি, এটি নিবিড় চেহারা প্রয়োজন।
    আমাকে জোর করেই শুরু করা যাক এটি প্রকৃত পরিচয় ভাগ করা নয়, বরং প্রমাণ বা প্রমাণীকরণের শংসাপত্র। ঠিক আছে, যেহেতু একটি ভাগ করা পাসওয়ার্ড কার্যকরভাবে আমাকে অন্য সিস্টেমে প্রবেশের অনুমতি দেবে (বলুন, আমার ব্যাংক অ্যাকাউন্ট বা জিমেইল), এটি কার্যকরভাবে একই পরিচয়, সুতরাং এটি কেবল শব্দার্থিক ... ব্যতীত এটির । প্রত্যেকটি সিস্টেমের মাধ্যমে পরিচয় আলাদাভাবে পরিচালনা করা হয়, এই দৃশ্যে (যদিও সেখানে তৃতীয় পক্ষের আইডি সিস্টেম যেমন ওআউথ থাকতে পারে - তবুও, এই সিস্টেমে এটির পরিচয়টি পৃথক করে - এটি আরও পরে)।
    যেমন, এখানে ঝুঁকির মূল বিষয়টি হ'ল ব্যবহারকারী স্বেচ্ছায় তার (একই) পাসওয়ার্ডকে বিভিন্ন সিস্টেমে ইনপুট দেবে - এবং এখন, আমি (প্রশাসক) বা আমার সাইটের অন্য কোনও হ্যাকারের জন্য খালা এরমার পাসওয়ার্ডগুলি অ্যাক্সেস করতে পারি পারমাণবিক ক্ষেপণাস্ত্র সাইট।

হুম।

এখানে কি কিছু মনে হচ্ছে না?

এটা করা উচিত।

আসুন এই বিষয়টি দিয়ে শুরু করা যাক যে পারমাণবিক ক্ষেপণাস্ত্র ব্যবস্থা রক্ষা করা আমার দায়িত্ব নয় , আমি কেবল একটি ফ্রেমকিন ফ্যামিলি আউটিং সাইট তৈরি করছি (আমার পরিবারের জন্য)। তাহলে দায় কার? উম্ম ... পারমাণবিক ক্ষেপণাস্ত্র সিস্টেম সম্পর্কে কীভাবে? Duh।
দ্বিতীয়ত, আমি যদি কারও পাসওয়ার্ড চুরি করতে চাইতাম (যে কেউ সুরক্ষিত সাইটগুলির মধ্যে একই পাসওয়ার্ডটি বারবার ব্যবহার করে এবং তাই সুরক্ষিত নয়) তবে কেন আমি আপনার সাইট হ্যাকিং করতে বিরক্ত করব? বা আপনার প্রতিসম এনক্রিপশন নিয়ে লড়াই করছেন? গোশদরনিতল, আমি কেবল আমার নিজস্ব সরল ওয়েবসাইট তৈরি করতে পারি , ব্যবহারকারীরা যা চায় তার সম্পর্কে অনেক গুরুত্বপূর্ণ সংবাদ পেতে সাইন আপ করতে পারে ... পুফো প্রেস্টো, আমি তাদের পাসওয়ার্ডগুলি "চুরি" করেছি।

হ্যাঁ, ব্যবহারকারীর শিক্ষা সর্বদা আমাদেরকে হিয়েনিতে কামড়ানোর জন্য ফিরে আসে, তাই না?
এবং এটি সম্পর্কে আপনি কিছুই করতে পারবেন না ... এমনকি যদি আপনি নিজের সাইটে তাদের পাসওয়ার্ডগুলি হ্যাশ করে রেখেছিলেন এবং টিএসএ যা ভাবতে পারে সেগুলি করতে সমস্ত কিছু করতে, আপনি তাদের পাসওয়ার্ডের সুরক্ষা যোগ করেছেন তবে তারা যদি রাখে তবে তারা যে সকল সাইটের মধ্যে টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো করে চলা কখনও চেষ্টা করে বিরক্ত করবেন না।

অন্য একটি উপায় রাখুন, আপনি তাদের পাসওয়ার্ডগুলির মালিক নন , তাই আপনার মতো কাজ করার চেষ্টা বন্ধ করুন।

সুতরাং, আমার প্রিয় সুরক্ষা বিশেষজ্ঞরা, বয়স্ক মহিলা হিসাবে ওয়ান্ডির কাছে জিজ্ঞাসা করতেন, "ঝুঁকিটি কোথায়?"

উপরে উত্থাপিত কিছু সমস্যার উত্তরে আরও কয়েকটি পয়েন্ট:

  • সিডব্লিউই কোনও আইন, বা নিয়ন্ত্রণ বা একটি মান নয়। এটি সাধারণ দুর্বলতাগুলির একটি সংগ্রহ , অর্থাৎ "সেরা অভ্যাসগুলি" এর বিপরীত।
  • ভাগ করা পরিচয় ইস্যুটি একটি আসল সমস্যা, তবে এখানে নায়েসারদের দ্বারা ভুল বোঝা (বা ভুল উপস্থাপন করা)। এটি স্বতন্ত্র এবং নিজের (!) ভাগ করে নেওয়ার বিষয়টি, নিম্ন-মান সিস্টেমে পাসওয়ার্ড ক্র্যাক করার বিষয়ে নয়। আপনি যদি কোনও নিম্ন-মান এবং একটি উচ্চ-মানের সিস্টেমের মধ্যে একটি পাসওয়ার্ড ভাগ করে নিচ্ছেন তবে সমস্যাটি ইতিমধ্যে রয়েছে!
  • বাই দ্বারা, পূর্ববর্তী পয়েন্টটি আসলে এই স্বল্প-মূল্য সিস্টেম এবং উচ্চ-মূল্যমানের ব্যাংকিং সিস্টেমগুলির জন্য OAuth এবং এর মতো ব্যবহার করে আবার AININST নির্দেশ করবে ।
  • আমি জানি এটি কেবল একটি উদাহরণ ছিল, তবে (দুঃখের সাথে) এফবিআই সিস্টেমগুলি আশেপাশে সবচেয়ে সুরক্ষিত নয়। একেবারে আপনার বিড়ালের ব্লগের সার্ভারগুলির মতো নয়, তবে তারা আরও সুরক্ষিত কয়েকটি ব্যাংককে ছাড়িয়ে যায় না।
  • এনক্রিপশন কীগুলির বিভক্ত জ্ঞান বা দ্বৈত নিয়ন্ত্রণ, কেবল সামরিক ক্ষেত্রে ঘটে না, বাস্তবে পিসিআই-ডিএসএস এখন মূলত সমস্ত বণিকদের কাছ থেকে এটি প্রয়োজন , সুতরাং এটি এখন পর্যন্ত খুব বেশি নেই (যদি মানটি ন্যায়সঙ্গত করে)।
  • যারা এই অভিযোগ করছেন তাদের কাছে যারা এই জাতীয় প্রশ্নগুলি বিকাশকারী পেশাকে এত খারাপ দেখায়: এটি তাদের মত উত্তর যা সুরক্ষা পেশাকে আরও খারাপ দেখায়। আবার, ব্যবসায়-কেন্দ্রিক ঝুঁকি বিশ্লেষণ যা প্রয়োজন তা অন্যথায় আপনি নিজেকে অকেজো করে তোলেন। ভুল হওয়ার পাশাপাশি।
  • আমার ধারণা, এ কারণেই কেবল একটি নিয়মিত বিকাশকারীকে নেওয়া এবং তার উপরে আরও সুরক্ষার দায়বদ্ধতা ফেলে দেওয়া, ভিন্নভাবে চিন্তাভাবনা করার প্রশিক্ষণ না দিয়ে এবং সঠিক ট্রেডঅফস অনুসন্ধান করা ভাল ধারণা নয়। কোনও অপরাধ নেই, এখানে আপনার সকলের পক্ষে, আমি এর জন্য সবই করছি - তবে আরও প্রশিক্ষণের ব্যবস্থা রয়েছে।

রক্ষে। কত দীর্ঘ পোস্ট ...
তবে আপনার মূল প্রশ্নের উত্তর দিতে, @ শানে:

  • গ্রাহককে জিনিসগুলি করার সঠিক উপায়টি ব্যাখ্যা করুন।
  • তিনি যদি এখনও জেদ করেন তবে আরও কিছু ব্যাখ্যা করুন, জোর দিন, যুক্তি দিন। প্রয়োজন হলে একটি তন্ত্র ছুঁড়ে ফেলুন।
  • তাকে ব্যবসায়িক ঝুঁকি ব্যাখ্যা করুন। বিশদগুলি ভাল, পরিসংখ্যানগুলি আরও ভাল, একটি লাইভ ডেমো সাধারণত সেরা।
  • যদি তিনি এখনও জোর দিয়ে থাকেন, এবং বৈধ ব্যবসায়ের কারণগুলি উপস্থাপন করেন - আপনার পক্ষে রায় দেওয়ার কল করার সময় এসেছে:
    এই সাইটটি কি কম-মূল্য-নয়? এটি কি আসলেই একটি বৈধ ব্যবসায়ের মামলা? এটা কি আপনার পক্ষে যথেষ্ট? আপনি বিবেচনা করতে পারেন এমন কোনও ঝুঁকি রয়েছে কি না, এটি বৈধ ব্যবসায়ের কারণে অতিক্রম করবে? (এবং অবশ্যই, ক্লায়েন্টটি কোনও বিদ্বেষপূর্ণ সাইট নয়, তবে এটি দুষ্)।
    যদি তা হয় তবে ঠিক এগিয়ে যান। প্রয়োজনীয় প্রক্রিয়াটি স্থানে রাখার জন্য প্রচেষ্টা, ঘর্ষণ এবং হারানো ব্যবহারের (এই হাইপোটিকাল পরিস্থিতিতে) মূল্য নেই। অন্য যে কোনও সিদ্ধান্ত (আবারও, এই পরিস্থিতিতে) একটি খারাপ বাণিজ্য is

সুতরাং, নীচের লাইন, এবং একটি আসল উত্তর - এটিকে একটি সাধারণ প্রতিসম আলগরিদম দিয়ে এনক্রিপ্ট করুন, শক্তিশালী এসিএল এবং পছন্দসই ডিপিপিআই বা অনুরূপ সহ এনক্রিপশন কীটি সংরক্ষণ করুন, এটি নথি করুন এবং ক্লায়েন্টকে (সেই সিদ্ধান্ত নেওয়ার পক্ষে যথেষ্ট বয়স্ক কেউ) সাইন অফ করুন এটা।

ক্ষুধিত
সূত্র
5
পাসওয়ার্ড "না" ব্যয়বহুল সম্পদ এবং ফেসবুক / জিমেইল / আপনার ব্যাংক সঙ্গে আপনার কম মান সাইটের মধ্যে ভাগ হয় এমনকি কম মান সাইটগুলিতে থাকাকালীন একটি ব্যয়বহুল সম্পদ।
জ্যামাইক্যাক্স
3
আমি মনে করি যে এখানে সমস্যাটি হ'ল উপরের বর্ণিত ব্যবহারকারীদের গোষ্ঠীগুলি বিভিন্ন বিভিন্ন সুরক্ষা স্তর থেকে ব্যাংকিং থেকে রেসিপি ব্লগ পর্যন্ত সমস্ত অ্যাপ্লিকেশনের জন্য একই পাসওয়ার্ড ব্যবহার করার ঝোঁক। সুতরাং প্রশ্নটি হল, ব্যবহারকারীদের নিজের থেকে এমনকি সুরক্ষিত করা যদি ডেভেলপারের দায়িত্ব হয়। আমি অবশ্যই বলব, হ্যাঁ!
এরকান
7
আমি দুঃখিত, কিন্তু পরিচয় নিজেই হয় একটি উচ্চ মান সম্পদ, কাল। কোনও ব্যতিক্রম নেই, কোনও অজুহাত নেই। আপনার সাইটটি কতটা ছোট এবং অসংলগ্ন বলে মনে হচ্ছে তা নয়। এবং একটি ভাগ করা পাসওয়ার্ড হ'ল পরিচয় যদি এটি হ্যাকারকে আপনার ব্যবহারকারীর ফেসবুক অ্যাকাউন্ট, জিমেইল অ্যাকাউন্ট, ব্যাংক অ্যাকাউন্ট ইত্যাদিতে প্রবেশ করতে দেয় তবে শব্দার্থক শব্দগুলির সাথে এটি করার কিছুই নয়, তবে পরিণতিতে এটি করার মতো সবকিছু। শুধু যারা এই ওয়েব সাইটে একটি হ্যাকার হামলায় প্রভাবিত হয়েছিলেন জিজ্ঞেস করুন: theregister.co.uk/2009/08/24/4chan_pwns_christians
jammycakes
2
@ জ্যাকব, অন্য সিস্টেমে এরমার অ্যাকাউন্টে আপস করা হয়েছে বলে আপনার ক্লায়েন্টকে কী বিশ্বে মামলা করা হবে? এমনকি আপনার ক্লায়েন্টের পক্ষ থেকে সম্পূর্ণ অবহেলাও দেওয়া হয়েছে (যা আমি প্রদত্ত নয়, যেমনটি আমি বর্ণনা করেছি), এবং এই সত্যটি প্রমাণ করে যে আপনার সিস্টেমের কারণে অন্য সিস্টেমটি লঙ্ঘিত হয়েছিল তা প্রমাণ করার কোন উপায় নেই, এর পক্ষে কোনও আইনগত অবস্থান নেই অন্য সিস্টেমে এক সিস্টেম থেকে যে কোনও ধরণের ক্ষতির দাবি করুন। এটি কুসংস্কারের সাথে আদালতের বাইরে ফেলে দেওয়া হবে এবং অবজ্ঞার মধ্যে বাদী খুঁজে পাওয়া যেত। যাইহোক,
এরমার
5
@ জ্যাকব, এটি খুব ভুল। পাসওয়ার্ডটি একই হয়ে যাওয়ার কারণ (যা স্পষ্টভাবে আপনার টস এবং তাদের সুরক্ষা নীতি লঙ্ঘন করবে), তাদের এই দুটিটি সংশোধন করার কোনও আইনি অবস্থান নেই। এমনকি এটি প্রমাণ করা অসম্ভবের নিকটবর্তী হয়ে যাওয়া রঞ্জক হবে B একদিকে যেমন, আমি আরও উল্লেখ করব যে কোনও আইন শৃঙ্খলা নেই যে নির্দিষ্ট নিয়মগুলি প্রাসঙ্গিক না হলে একটি র্যান্ডম সংস্থার নিরাপত্তা রীতি শিথিল না করা দরকার। এবং তার উপরে, পাসওয়ার্ডগুলি এনক্রিপ্ট করা (!), সুতরাং শিথিলতা একটি ভুলে যাওয়া উপসংহার থেকে অনেক দূরে।
এভিডি
21

হাফওয়ে বাড়ি কেমন?

শক্তিশালী এনক্রিপশন সহ পাসওয়ার্ডগুলি সংরক্ষণ করুন এবং পুনরায় সেটগুলি সক্ষম করবেন না।

পাসওয়ার্ডগুলি পুনরায় সেট করার পরিবর্তে, এককালীন পাসওয়ার্ড পাঠানোর অনুমতি দিন (এটি প্রথম লগন হওয়ার সাথে সাথেই পরিবর্তন করতে হবে)। ব্যবহারকারীকে তারপরে যে পাসওয়ার্ড চান তা পরিবর্তন করতে দিন (আগেরটি যদি তারা চয়ন করেন)।

পাসওয়ার্ড পুনরায় সেট করার একটি সুরক্ষিত প্রক্রিয়া হিসাবে আপনি এটি "বিক্রয়" করতে পারেন।

ওবেদের
সূত্র
আপনি জানেন, আমি বেশ কয়েকটি পরিস্থিতিতে এটি ব্যবহার করেছি (সাধারণত এটি আমার মাঝের ক্ষেত্র), তবে আমার কাছে লোকেরা আমাকে বলেছিল যে শেষ ব্যবহারকারী কেবল ইন্টারঅ্যাকশনটি পাচ্ছেন না এবং সেই সমর্থনটি তাদের 'তাদের জানাতে সক্ষম হতে হবে পাসওয়ার্ড 'ব্যবসায়ের পরিস্থিতিতে' মডেল। আমি যখন সম্মত হই তবে সম্ভব হয় যখন এটি পছন্দনীয়।
শেন
আপনার ক্লায়েন্টকে তাদের ডিবি দুষ্ট হাতে পড়ার ঝুঁকি এবং চুরি হওয়া পাসওয়ার্ডগুলির প্রচার পাওয়ার বিষয়ে আপনি সবসময় বলতে পারেন ... চারপাশে প্রচুর উদাহরণ রয়েছে।
ওডে
6
তাদের অতিরিক্ত নকশায় "নকশায়" সাইন আপ করতে বলুন, আপনি তাদের সম্পর্কে যে সতর্কতা দিয়েছিলেন তা যদি সত্যই ঘটে থাকে তবে তারা আপনার বিরুদ্ধে মামলা করতে পারবেন না ... কমপক্ষে আপনি নিজেকে আবরণ করুন।
ওডে
4
-1 পাসওয়ার্ড কখনই "এনক্রিপ্ট করা 'হবে এটা CWE-257 লঙ্ঘন cwe.mitre.org/data/definitions/257.html
দাড়কাক
34
@ মিশেল ব্রুকস: একই মন্তব্যকে বারবার কমিয়ে দেওয়ার এবং অনুলিপি করার দরকার নেই; আমরা সকলেই জানি যে এটি খারাপ অভ্যাস। শেন বলেছিলেন যে যদিও এই বিষয়ে তার কোনও লাভ নেই, তাই পরবর্তী সেরা জিনিস (গুলি) প্রস্তাব করা হচ্ছে।
জোহানেস গর্সেট
13

কোনও ব্যবহারকারীকে তাদের আসল পাসওয়ার্ড পুনরুদ্ধার করার অনুমতি দেওয়ার একমাত্র উপায় হ'ল এটি ব্যবহারকারীর নিজস্ব পাবলিক কী দিয়ে এনক্রিপ্ট করা। কেবলমাত্র সেই ব্যবহারকারী তখনই তাদের পাসওয়ার্ড ডিক্রিপ্ট করতে পারবেন।

সুতরাং পদক্ষেপগুলি হবে:

  1. ব্যবহারকারীরা এখনও কোনও পাসওয়ার্ড সেট না করেই আপনার সাইটে (অবশ্যই এসএসএল-এর উপরে) নিবন্ধন করে। এগুলিকে স্বয়ংক্রিয়ভাবে লগ ইন করুন বা একটি অস্থায়ী পাসওয়ার্ড সরবরাহ করুন।
  2. ভবিষ্যতের পাসওয়ার্ড পুনরুদ্ধারের জন্য আপনি তাদের সর্বজনীন পিজিপি কী সঞ্চয় করার প্রস্তাব দিচ্ছেন।
  3. তারা তাদের সর্বজনীন পিজিপি কী আপলোড করে।
  4. আপনি তাদের একটি নতুন পাসওয়ার্ড সেট করতে বলছেন।
  5. তারা তাদের পাসওয়ার্ড জমা দেয়।
  6. আপনি পাসওয়ার্ডটি হ্যাশ করে সেরা পাসওয়ার্ড হ্যাশিং অ্যালগরিদম উপলব্ধ (যেমন বিসিক্রিপ)। পরবর্তী লগ-ইনটি যাচাই করার সময় এটি ব্যবহার করুন।
  7. আপনি পাবলিক কী দিয়ে পাসওয়ার্ডটি এনক্রিপ্ট করেছেন এবং এটিকে আলাদাভাবে সঞ্চয় করেন।

ব্যবহারকারী যদি তাদের পাসওয়ার্ড জিজ্ঞাসা করে তবে আপনি এনক্রিপ্ট করা (হ্যাশ করা হয়নি) পাসওয়ার্ড দিয়ে সাড়া দিন। যদি ব্যবহারকারী ভবিষ্যতে তাদের পাসওয়ার্ড পুনরুদ্ধার করতে সক্ষম না হন (তারা কেবল এটি কোনও পরিষেবা-উত্পাদিতটিতে পুনরায় সেট করতে সক্ষম হবে), 3 এবং 7 পদক্ষেপগুলি এড়িয়ে যেতে পারে।

নিকোলাস শ্যাঙ্কস
সূত্র
5
বেশিরভাগ ব্যবহারকারীর পিজিপি কী থাকে না (আমার কাছে এখনও একটি নেই; শিল্পে 20 বছর পরেও আমি কখনই এর প্রয়োজন অনুভব করি নি), এবং এটি পাওয়ার জন্য কোনও বিঘ্নহীন প্রক্রিয়া নয়। তদুপরি, একটি প্রাইভেট কী আসলেই প্রকৃত পাসওয়ার্ডের জন্য প্রক্সি just এটি অন্য পাসওয়ার্ডের জন্য একটি পাসওয়ার্ড; এটি সমস্ত ভাবে কচ্ছপ।
রবার্ট হার্ভে
1
@ রবার্টহারভে লক্ষ্যটি হ'ল কোনও ব্যবহারকারীর বা কোনও হ্যাকারকে এটির অনুমতি না দিয়েই তাদের পাসওয়ার্ড পুনরুদ্ধার করার অনুমতি দেওয়া user পুনরুদ্ধার প্রক্রিয়াটি ব্যবহারকারীর নিজস্ব কম্পিউটারে ঘটে যাওয়ার প্রয়োজনীয়তা দ্বারা, আপনি এটি প্রয়োগ করেন। পিজিপি-র বিকল্পগুলিও থাকতে পারে যা একই অর্জন করতে পারে। কচ্ছপগুলি পুরোপুরি নীচে নেমে আসতে পারে (সম্ভবত কিছু হাতি পথের) তবে আমি অন্য কোনও উপায় দেখতে পাচ্ছি না। সাধারণ জনগণের জন্য (স্বতন্ত্রভাবে লক্ষ্যবস্তু হওয়ার সম্ভাবনা নেই) কিছুটা কাগজে আপনার পাসওয়ার্ড থাকা এবং সেবার থেকে সেগুলি পুনরুদ্ধার করতে না পারা আমাদের বর্তমানে উপস্থিতি থেকে আরও নিরাপদ হতে পারে
নিকোলাস শ্যাঙ্কস
আমি এটি পছন্দ করি কারণ এটি প্রত্যেককে পিজিপি পাবলিক কী করতে বাধ্য করে, যা আশ্চর্যের বিষয় হল একটি খুব নৈতিক কাজ।
লোদেউইজক
আপনি কেবল একটি তৈরি করতে এবং এটি ব্যবহারকারীকে দিতে পারেন।
My1
@ রবার্টহারভে আপনি সঠিক হতে পারেন যে এটি "কোনও কলহের বিহীন প্রক্রিয়া নয়" তবে বিদ্যুৎ ব্যবহারকারীর জন্য এটি একটি অতিরিক্ত পরিষেবা হতে পারে, যা নিয়মিত ব্যবহারকারীরা এটিকে উপেক্ষা করতে পারে। কোনও পিকে "পাসওয়ার্ডের জন্য একটি পাসওয়ার্ড" হওয়ার বিষয়ে তর্ক হিসাবে মনে রাখবেন যে এটি তাত্ত্বিকভাবে অনেকগুলি পাসওয়ার্ডের জন্য হতে পারে ; আপনি বিভিন্ন পরিষেবার জন্য বিভিন্ন পাসওয়ার্ড ব্যবহার করতে পারেন এবং একই কী ব্যবহার করে সেগুলি সমস্ত এনক্রিপ্ট করতে পারেন। তারপরে পিকে কেবলমাত্র একটি পাসওয়ার্ডের চেয়ে মূল্যবান হবে। সম্ভবত এটি একটি বিমূর্ত পদ্ধতিতে একটি পাসওয়ার্ড পরিচালক (?) এর সাথে তুলনাযোগ্য। যদিও এর পরিণতিগুলি কী হতে পারে তা তাত্ক্ষণিকভাবে আমার কাছে পরিষ্কার নয় ...
Kjartan
12

আমার মনে হয় আপনার নিজের কাছে আসল প্রশ্নটি করা উচিত: 'মানুষকে বোঝানোর ক্ষেত্রে আমি কীভাবে আরও ভাল হতে পারি?'

Z-মনিব
সূত্র
4
@ স্নেগ - আচ্ছা, আমি খুব দৃ .়প্রত্যয়ী লোক, তবে কখনও কখনও এটি একজন বস এবং কখনও কখনও একজন গ্রাহক তাই আমি সবসময় তাদের কোনও উপায়ে বা অন্যভাবে বোঝানোর জন্য প্রয়োজনীয় লিভারেজ রাখি না। আমি যদিও আয়নায় কিছুটা অনুশীলন করব ..;)
শেন
নিশ্চিত করার জন্য আপনার নিজের যোগ্যতা এবং যোগাযোগ দক্ষতা ব্যতীত অন্য কোনও লিভারেজের দরকার নেই। আপনি যদি কিছু করার আরও ভাল উপায় জানেন তবে লোকেরা কান দেয় না ... এটি সম্পর্কে চিন্তা করুন।
জেড-বস
7
@ জেড-বস - স্পষ্টতই আপনি কিছু শক্ত মাথা নিয়ে কাজ করেন নি যেগুলি নিয়ে কাজ করে আমার আনন্দ হয়েছে। কখনও কখনও আপনার জিহ্বাকে সোনায় ধাতব করা হয় এবং আপনি কোনও দিনেই গুগল ক্রোমকে পুনরায় প্রোগ্রাম করতে পারেন (এটি সম্ভবত তত্ক্ষণাত এটি কার্যকরভাবে কার্যকর হতে পারে) তারা এখনও বাজে না matter
শেন
11

আমি একই সমস্যা আছে। এবং একইভাবে আমি সর্বদা মনে করি যে কেউ আমার সিস্টেম হ্যাক করে এটি "যদি" তবে "কখন" এর বিষয় নয়।

সুতরাং, যখন আমাকে এমন কোনও ওয়েবসাইট করতে হবে যা একটি ক্রেডিট কার্ড বা পাসওয়ার্ডের মতো পুনরুদ্ধারযোগ্য গোপনীয় তথ্য সংরক্ষণ করতে হবে, আমি এটি কী করি:

  • এর সাথে এনক্রিপ্ট করুন: openssl_encrypt (স্ট্রিং $ ডেটা, স্ট্রিং $ পদ্ধতি, স্ট্রিং $ পাসওয়ার্ড)
  • তথ্য আরগ :
    • সংবেদনশীল তথ্য (যেমন ব্যবহারকারীর পাসওয়ার্ড)
    • প্রয়োজনে সিরিয়ালাইজ করুন, উদাহরণস্বরূপ যদি তথ্যটি একাধিক সংবেদনশীল তথ্যের মতো ডেটার অ্যারে হয়
  • পাসওয়ার্ড আরগ : এমন তথ্য ব্যবহার করুন যা কেবল ব্যবহারকারীরা জানেন:
    • ব্যবহারকারী লাইসেন্স প্লেট
    • সামাজিক সুরক্ষা নম্বর
    • ব্যবহারকারী ফোন নম্বর
    • ব্যবহারকারীর মা নাম
    • ইমেল এবং / অথবা এসএমএস দ্বারা রেজিস্টার সময়ে প্রেরিত একটি এলোমেলো স্ট্রিং
  • পদ্ধতি আরগ :
    • "এস -২66-সিবিসি" এর মতো একটি সিফার পদ্ধতি চয়ন করুন
  • কখনও ডাটাবেসের এ "পাসওয়ার্ড" যুক্তি ব্যবহার করা তথ্য (অথবা যাই হোক না কেন জায়গা সিস্টেমের মধ্যে) সংরক্ষণ

যখন এই ডেটাটি পুনরুদ্ধার করার প্রয়োজন হবে কেবল "ওপেনসেল_ডেক্রিপ্ট ()" ফাংশনটি ব্যবহার করুন এবং ব্যবহারকারীকে উত্তরের জন্য জিজ্ঞাসা করুন। উদাহরণস্বরূপ: "আপনার পাসওয়ার্ড পাওয়ার জন্য প্রশ্নের উত্তর দিন: আপনার সেলফোন নম্বরটি কী?"

পিএস 1 : ডেটাবেসে সঞ্চিত ডেটা কখনও পাসওয়ার্ড হিসাবে ব্যবহার করবেন না। যদি আপনার ব্যবহারকারীর সেলফোন নম্বর সংরক্ষণ করতে হয় তবে ডেটা এনকোড করার জন্য এই তথ্যটি কখনই ব্যবহার করবেন না। সর্বদা এমন তথ্য ব্যবহার করুন যা কেবলমাত্র ব্যবহারকারী জানেন বা অনাত্মীয় কারও পক্ষে জানা শক্ত।

PS 2 : ক্রেডিট কার্ডের তথ্যের জন্য, "এক ক্লিক ক্রয়" এর মতো আমি লগইন পাসওয়ার্ডটি ব্যবহার করি। এই পাসওয়ার্ডটি ডেটাবেজে (sha1, md5, ইত্যাদি) হ্যাশ করা হয়েছে, তবে লগইন করার সময় আমি সাদামাটা বা অ-অবিচলিত (যেমন মেমরির) সুরক্ষিত কুকিতে প্লেইন-পাঠ্যের পাসওয়ার্ডটি সংরক্ষণ করি। এই সরল পাসওয়ার্ডটি কখনই ডাটাবেসে থাকে না, প্রকৃতপক্ষে এটি সর্বদা স্মৃতিতে থাকে, বিভাগের শেষে ধ্বংস হয়। ব্যবহারকারী "ওয়ান ক্লিক ক্রয়" বাটনে ক্লিক করলে সিস্টেমটি এই পাসওয়ার্ডটি ব্যবহার করে। যদি ফেসবুক, টুইটার ইত্যাদির মতো ব্যবহারকারীর সাথে লগইন করা হয়, তবে আমি কেনার সময় আবার পাসওয়ার্ডটি প্রম্পট করব (ঠিক আছে, এটি পুরোপুরি "ক্লিকে নেই") বা তার পরে সেবার কিছু তথ্য ব্যবহার করুন যা ব্যবহারকারী লগইন করতে ব্যবহার করত (ফেসবুক আইডির মতো)।

ড্যানিয়েল লোরেইরো
সূত্র
9

শংসাপত্রাদি সুরক্ষিত করা বাইনারি অপারেশন নয়: নিরাপদ / সুরক্ষিত নয়। সুরক্ষা সমস্ত ঝুঁকি মূল্যায়ন সম্পর্কে এবং একটি ধারাবাহিকতায় পরিমাপ করা হয়। সুরক্ষা ধর্মান্ধরা এইভাবে চিন্তা করতে ঘৃণা করেন তবে কুরুচিপূর্ণ সত্যটি হ'ল কিছুই পুরোপুরি নিরাপদ নয়। কঠোর পাসওয়ার্ডের প্রয়োজনীয়তা, ডিএনএ নমুনা এবং রেটিনা স্ক্যান সহ পাসওয়ার্ডগুলি হ্যাশ করা আরও সুরক্ষিত তবে বিকাশ এবং ব্যবহারকারীর অভিজ্ঞতার ব্যয়। সাদামাটা পাসওয়ার্ডগুলি অনেক কম সুরক্ষিত তবে এটি প্রয়োগের জন্য সস্তা (তবে এড়ানো উচিত)। দিনের শেষে, এটি লঙ্ঘনের ব্যয় / উপকার বিশ্লেষণে নেমে আসে। আপনি সুরক্ষিত হওয়া ডেটার মান এবং তার সময়-মানের ভিত্তিতে সুরক্ষা কার্যকর করেন implement

কারও পাসওয়ার্ড বুনো getting প্রদত্ত পদ্ধতিতে ছদ্মবেশে ব্যয় কত? এফবিআই কম্পিউটারগুলির জন্য, ব্যয়টি প্রচুর পরিমাণে হতে পারে। বব-এর এক-অফ পাঁচ পৃষ্ঠার ওয়েবসাইটে, ব্যয়টি নগদ হতে পারে। একজন পেশাদার তাদের গ্রাহকদের জন্য বিকল্প সরবরাহ করে এবং এটি যখন সুরক্ষার কথা আসে, তখন কোনও বাস্তবায়নের সুবিধা এবং ঝুঁকিগুলি থাকে। এটি দ্বিগুণ তাই যদি ক্লায়েন্ট এমন কিছু অনুরোধ করে যা তাদের শিল্পের মান মেনে চলা ব্যর্থতার কারণে ঝুঁকিতে ফেলতে পারে। যদি কোনও ক্লায়েন্ট নির্দিষ্টভাবে দ্বি-মুখী এনক্রিপশনের জন্য অনুরোধ করে তবে আমি আপনাকে আপনার আপত্তিগুলি নথিভুক্ত করার বিষয়টি নিশ্চিত করব তবে এটি আপনাকে জানার সেরা উপায়ে কার্যকর করা থেকে বিরত থাকবে না। দিন শেষে এটি ক্লায়েন্টের অর্থ। হ্যাঁ,

আপনি যদি দ্বি-মুখী এনক্রিপশন সহ পাসওয়ার্ডগুলি সংরক্ষণ করছেন, সুরক্ষা সমস্ত কী-পরিচালনায় নেমে আসে। উইন্ডোজ প্রশাসনিক অ্যাকাউন্টগুলিতে এবং পাসওয়ার্ড সহ শংসাপত্রগুলির ব্যক্তিগত কীগুলিতে অ্যাক্সেস সীমাবদ্ধ করার ব্যবস্থা সরবরাহ করে। আপনি যদি অন্য প্ল্যাটফর্মের হোস্টিং করছেন তবে আপনাকে সেগুলিতে কী কী বিকল্প উপলব্ধ রয়েছে তা আপনাকে দেখতে হবে। অন্যরা যেমন পরামর্শ দিয়েছে, আপনি অসমমিতি এনক্রিপশন ব্যবহার করতে পারেন।

এখানে কোনও আইন নেই (ইউকেতে ডেটা সুরক্ষা আইনও নেই) যার মধ্যে আমি সচেতন যে নির্দিষ্টভাবে পাসওয়ার্ডগুলিকে ওয়ান-ওয়ে হ্যাশ ব্যবহার করে সংরক্ষণ করা উচিত। এই আইনের যে কোনও একমাত্র প্রয়োজন কেবল সুরক্ষার জন্য যুক্তিসঙ্গত পদক্ষেপ নেওয়া। যদি ডাটাবেসে অ্যাক্সেস সীমাবদ্ধ থাকে, এমনকি প্লেইন টেক্সট পাসওয়ার্ডগুলি এ জাতীয় বিধিনিষেধের অধীনে আইনত যোগ্যতা অর্জন করতে পারে।

যাইহোক, এটি আরও একটি দিক আলোকিত করে: আইনী প্রাধান্য। যদি আইনি অগ্রাধিকার প্রস্তাব দেয় যে আপনার সিস্টেমে যে শিল্পটি নির্মিত হচ্ছে সেই শিল্পকে আপনাকে অবশ্যই একমুখী হ্যাশগুলি ব্যবহার করতে হবে, তবে তা সম্পূর্ণ আলাদা। আপনার গ্রাহককে বোঝাতে আপনি যে গোলাবারুদ ব্যবহার করেন তা এটি। এই ব্যতীত, যুক্তিসঙ্গত ঝুঁকি মূল্যায়ন সরবরাহ করার সর্বোত্তম পরামর্শ, আপনার আপত্তিগুলি নথিভুক্ত করুন এবং সর্বাধিক সুরক্ষিত পদ্ধতিতে আপনি গ্রাহকের প্রয়োজনীয়তা দিতে পারবেন এমন ব্যবস্থাটি বাস্তবায়ন করুন।

টমাস
সূত্র
10
আপনার উত্তর সম্পূর্ণরূপে উপেক্ষা করে যে একাধিক সাইট / পরিষেবা জুড়ে পাসওয়ার্ড পুনরায় ব্যবহার করা হয়, যা এই বিষয়টির কেন্দ্রবিন্দু এবং কেন পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি গুরুতর দুর্বলতা হিসাবে বিবেচিত হয় reason কোনও সুরক্ষা পেশাদার অ-প্রযুক্তিগত ক্লায়েন্টকে সুরক্ষা সিদ্ধান্তের প্রতিনিধিত্ব করে না; একজন পেশাদার জানেন যে তার দায়িত্বগুলি পরিশোধকারী ক্লায়েন্টের বাইরে রয়েছে এবং উচ্চ ঝুঁকি এবং শূন্য পুরষ্কারের সাথে বিকল্পগুলি সরবরাহ করে না । -1 উচ্চারণের উপর ভারী একটি ঘটনা এবং সত্যগুলিতে অত্যন্ত হালকা - এবং এমনকি সত্যিকার অর্থে প্রশ্নের উত্তর না দেওয়ার জন্য।
অ্যারোনআউট
4
আবার, আপনি ঝুঁকির মূল্যায়ণকে সম্পূর্ণ উপেক্ষা করছেন lo আপনার যুক্তিটি ব্যবহার করতে, আপনি কেবল 1-ওয়ে হ্যাশ এ থামাতে পারবেন না। আপনার অবশ্যই জটিলতার প্রয়োজনীয়তা, পাসওয়ার্ডের দৈর্ঘ্য, পাসওয়ার্ড পুনরায় ব্যবহারের বিধিনিষেধ ইত্যাদি অন্তর্ভুক্ত করতে হবে। ব্যবহারকারীরা বোবা পাসওয়ার্ড ব্যবহার করবেন বা পাসওয়ার্ড পুনরায় ব্যবহার করবেন এমন ব্যবস্থাটি যদি অপ্রাসঙ্গিক এবং খোলামেলাভাবে হয় তবে যথেষ্ট ব্যবসায়ের ন্যায্যতা নয়, আমি প্রশ্নের উত্তর দিয়েছি। সংক্ষিপ্ত উত্তর: একটি স্ট্যান্ড বাস্তবায়ন ব্যবহারের জন্য চাপ দিন, যদি আপনি ওভারল্লড হন এবং আপনার পদক্ষেপে থাকে তবে আপনার আপত্তিগুলি নথি করুন।
থমাস
7
এবং আবার আপনি কর্ডটি পুনরাবৃত্তি করেন যে এগুলির কোনওটিই নিম্নমানের সিস্টেমের জন্য গুরুত্বপূর্ণ নয়! আপনার সিস্টেমে কোনও ব্যবহারকারীর অ্যাকাউন্টের মানের সাথে কোনও ব্যবহারকারীর পাসওয়ার্ডের মানের কোনও সম্পর্ক নেই। এটি একটি গোপনীয় বিষয় এবং যা আপনাকে অবশ্যই সর্বদা রাখতে হবে। আমি আশা করি আমি মন্তব্যটির জন্য আরও একটি -1 দিতে পারবো যে আপনি এখনও এখানে সমস্যাগুলি বুঝতে পারছেন না।
অ্যারোনআউট
5
ঝুঁকি মূল্যায়ন মূল বিষয়। পাসওয়ার্ড পুনঃব্যবহার হ'ল সমস্যাগুলির বৃহত্তর সেটগুলিতে কেবলমাত্র একটি সম্ভাব্য সমস্যা। Fobs প্রয়োজন হয় না কেন? লগইন করার জন্য ব্যক্তিটি আপনার অফিসে গাড়ি চালানোর দরকার নেই কেন? ঝুঁকিগুলির একটি যুক্তিসঙ্গত মূল্যায়ন ছাড়া এই প্রশ্নের উত্তর দেওয়ার উপায় নেই। আপনার বিশ্বে, সমস্ত কিছু ঝুঁকিপূর্ণ তাই প্রতিটি সিস্টেমে এফবিআই স্তরের লগইন সুরক্ষা প্রয়োজন। আসল বিশ্ব কীভাবে কাজ করে তা কেবল তা নয়।
থমাস
7
এখানে কেবল পরিষ্কার যে আপনার সম্পূর্ণ যুক্তি পিচ্ছিল Slালু ছদ্মবেশ ছাড়া আর কিছুই নয় এবং আপনি এই সত্যটি আচ্ছাদন করতে "ঝুঁকি মূল্যায়ন" এর মতো বুজওয়ার্ড সহ পাঠকদের স্টিমরোল করার চেষ্টা করছেন। "এফবিআই" যে সিস্টেম ব্যবহার করে তা একটি বিসিআরপি হ্যাশ এবং ন্যূনতম পাসওয়ার্ডের দৈর্ঘ্যের চেয়ে অনেক বেশি সুরক্ষিত হতে পারে তা নিশ্চিত করুন Rest যদি শিল্প-মানক প্রমাণীকরণ সিস্টেমগুলির প্রয়োজনীয়তা আমাকে "সুরক্ষা ধর্মান্ধ" করে তোলে, তবে আমি অনুমান করি যে আমি ধর্মান্ধ; ব্যক্তিগতভাবে, এটি জেনে আমার ব্যথা হয় যে এমন কিছু লোক আছে যারা অর্থের জন্য আমার সুরক্ষা ত্যাগ করতে ইচ্ছুক । তা অনৈতিক
অ্যারোনআউট
8

ব্যবহারকারীর সুরক্ষা প্রশ্নের উত্তরটি এনক্রিপশন কীটির একটি অংশ করুন এবং সুরক্ষা প্রশ্নের উত্তরটি সরল পাঠ্য হিসাবে সংরক্ষণ করবেন না (পরিবর্তে হ্যাশ)

রব ফনসেকা-এনসর
সূত্র
ব্যবহারকারী বিভিন্ন প্রশ্নের উত্তরও দিতে পারেন। কিছু প্রশ্ন দীর্ঘ উত্তর চেয়ে থাকে যা পরে পুনরায় উত্তর দেওয়া সহজ।
মনোমন
5
সুরক্ষা প্রশ্নগুলি একটি খারাপ ধারণা। তথ্য লঙ্ঘন হওয়ার পরে আপনি কীভাবে আপনার মাকে তার প্রথম নাম পরিবর্তন করতে পারবেন? পিটার গুটম্যানের ইঞ্জিনিয়ারিং সুরক্ষাও দেখুন ।
jww
7

আমি একটি জীবিতের জন্য একাধিক-গুণমানের প্রমাণীকরণ সিস্টেমগুলি প্রয়োগ করি, সুতরাং আমার পক্ষে স্বাভাবিকভাবেই পুনরায় সেট / বিনোদন কর্মপ্রবাহের জন্য ব্যবহারকারীকে প্রমাণীকরণ করার জন্য আরও একটি কম ফ্যাক্টর ব্যবহার করে আপনি পাসওয়ার্ডটি পুনরায় সেট করতে বা পুনঃনির্মাণ করতে পারবেন তা স্বাভাবিক। বিশেষত অতিরিক্ত কিছু হিসাবে ওটিপি ব্যবহার (ওয়ান-টাইম পাসওয়ার্ড), প্রস্তাবিত কর্মপ্রবাহের জন্য টাইম উইন্ডো সংক্ষিপ্ত থাকলে অনেক ঝুঁকি হ্রাস করে। আমরা দুর্দান্ত সাফল্যের সাথে স্মার্টফোনগুলির জন্য সফ্টওয়্যার ওটিপি জেনারেটরগুলি প্রয়োগ করেছি (যা বেশিরভাগ ব্যবহারকারী ইতিমধ্যে সারা দিন নিজের সাথে বহন করেন)। কোনও বাণিজ্যিক প্লাগের অভিযোগ উপস্থিত হওয়ার আগে, আমি যা বলছি তা হ'ল আমরা যখন পাসওয়ার্ডগুলি সহজেই পুনরুদ্ধারযোগ্য বা পুনরায় সেট করতে সক্ষম হয় তখনই তারা ঝুঁকিগুলি হ্রাস করতে পারি যখন তারা কোনও ব্যবহারকারীর প্রমাণীকরণের জন্য ব্যবহৃত একমাত্র কারণ নয়।

Monoman
সূত্র
একাধিক ফ্যাক্টর প্রমাণীকরণ সিস্টেম থেকে অস্থায়ীভাবে কোনও ফ্যাক্টর সরিয়ে ফেলা সত্যিই এতগুলি সাইটে দেখা বিপর্যয়কর "গোপন প্রশ্ন" সিস্টেমগুলির চেয়ে পাসওয়ার্ড পুনরায় সেট করার অনেক বেশি নিরাপদ উপায় । তবে পুনরুদ্ধারযোগ্য ফর্ম্যাটে পাসওয়ার্ডগুলি সংরক্ষণ করার জন্য, আমি নিশ্চিত না যে এটি কীভাবে সহায়তা করে, যদি না আপনি কোনওভাবে প্রথম এনক্রিপ্ট বা অপ্রয়োজনীয় দ্বিতীয় ফ্যাক্টরটি ব্যবহার করেন এবং আমি নিশ্চিত না যে এটি সিকিউরিডের মতো কিছু দিয়ে কীভাবে সম্ভব। তুমি কি ব্যাখ্যা করতে পারো?
অ্যারোনআউট
@ অ্যারোনট আমি যা বলেছি তা হ'ল, যদি আপনার পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলির জন্য 'প্রয়োজনীয়' হন, তবে কেবলমাত্র প্রমাণীকরণের ফ্যাক্টর না হলে অন্তর্নিহিত ঝুঁকি কম থাকে এবং শেষ ব্যবহারকারীর পক্ষে যদি আরও কার্যকর হয় যে যদি ওয়ার্কফ্লোগুলি পুনরায় ব্যবহারের কারণগুলি পুনরায় ব্যবহার করে তবে তিনি ইতিমধ্যে 'গোপন উত্তর' ভুলে যাওয়া বা সময়-সীমাবদ্ধ লিঙ্ক বা অস্থায়ী পাসওয়ার্ডগুলি ব্যবহার না করে উভয়ই অনিরাপদ চ্যানেলের মাধ্যমে প্রেরণ করা (যদি না আপনি ক্লায়েন্ট শংসাপত্র সহ এস-মাইম ব্যবহার করছেন, বা পিজিপি, উভয়ই সঠিক
সংস্থান
1
আমি মনে করি এগুলি সবই সত্য তবে জনসাধারণের সাথে সমঝোতার ঝুঁকিটি সবচেয়ে কম শুরু হয়; পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলির সাথে আরও গুরুতর সমস্যা হ'ল অভ্যন্তরীণ সুরক্ষা এবং সম্ভাব্যভাবে একজন অসন্তুষ্ট কর্মচারীকে হাজার হাজার গ্রাহকের ই-মেইল পাসওয়ার্ডগুলি সহ প্রস্থান করা বা কুটিল সিইও এটি ফিশার এবং স্প্যামারদের কাছে বিক্রি করার অনুমতি দেয়। দ্বি-গুণক প্রমাণীকরণ পরিচয় চুরি এবং পাসওয়ার্ড অনুমানের বিরুদ্ধে লড়াই করার ক্ষেত্রে দুর্দান্ত তবে আসল পাসওয়ার্ডের ডাটাবেস নিরাপদ রাখা পর্যন্ত টেবিলে আসলে তেমন কিছু আনেনি।
অ্যারোনআউট
5

দুঃখিত, তবে যতক্ষণ না আপনার পাসওয়ার্ড ডিকোড করার কিছু উপায় রয়েছে, এটি নিরাপদ হওয়ার কোনও উপায় নেই। একেবারে লড়াই করুন, এবং যদি আপনি হেরে যান তবে সিওয়াইএ।

স্টিভেন সুদিত
সূত্র
5

সবেমাত্র এই আকর্ষণীয় এবং উত্তপ্ত আলোচনা জুড়ে এসেছিল। আমাকে সবচেয়ে অবাক করে দিয়েছিল কি, নিম্নলিখিত মৌলিক প্রশ্নের প্রতি কতটা মনোযোগ দেওয়া হয়েছিল:

  • চতুর্থাংশ 1। ব্যবহারকারী সরল পাঠ্য সঞ্চিত পাসওয়ার্ড অ্যাক্সেস করার জন্য জিদ করার আসল কারণগুলি কী কী? এত মূল্য কেন?

ব্যবহারকারীরা যে বয়স্ক বা অল্প বয়স্ক সে তথ্য সত্যই সেই প্রশ্নের উত্তর দেয় না। কিন্তু গ্রাহকের উদ্বেগকে সঠিকভাবে না বুঝে কীভাবে ব্যবসায়ের সিদ্ধান্ত নেওয়া যেতে পারে?

এখন ব্যাপারটা কেন? কারণ যদি গ্রাহকদের অনুরোধের আসল কারণটি এমন সিস্টেম যা বেদনাদায়কভাবে ব্যবহার করা কঠিন, তবে সম্ভবত সঠিক কারণটি সম্বোধন করা প্রকৃত সমস্যাটি সমাধান করবে?

যেহেতু আমার কাছে এই তথ্য নেই এবং সেই গ্রাহকদের সাথে কথা বলতে পারি না, আমি কেবল অনুমান করতে পারি: এটি ব্যবহারের বিষয়ে, উপরে দেখুন।

আমি আরও একটি প্রশ্ন জিজ্ঞাসা করতে দেখেছি:

  • Q2 এর। যদি ব্যবহারকারী প্রথমে পাসওয়ার্ড মনে না রাখে তবে পুরানো পাসওয়ার্ডটি কেন গুরুত্বপূর্ণ?

এবং এখানে সম্ভাব্য উত্তর। যদি আপনি বিড়ালটিকে "মিয়াউমিয়াউ" বলে থাকেন এবং তার নামটি পাসওয়ার্ড হিসাবে ব্যবহার করেছেন তবে আপনি ভুলে গেছেন, আপনি কি এটি মনে করিয়ে দিতে পছন্দ করবেন বা "# জাই * আরডাব্লু (ইও") এর মতো কিছু পাঠানো হবে?

আর একটি সম্ভাব্য কারণ হ'ল ব্যবহারকারী এটি একটি নতুন পাসওয়ার্ড নিয়ে আসা কঠিন কাজ হিসাবে বিবেচনা করে! সুতরাং পুরানো পাসওয়ার্ডটি ফেরত পাঠানো তাকে আবার সেই বেদনাদায়ক কাজ থেকে বাঁচানোর মায়া দেয়।

আমি কেবল কারণটি বোঝার চেষ্টা করছি। তবে কারণ যা-ই হোক না কেন, কারণটি যে কারণে সমাধান করতে হবে তা নয়।

ব্যবহারকারী হিসাবে, আমি জিনিস সহজ চাই! আমি পরিশ্রম করতে চাই না!

যদি আমি কোনও নিউজ সাইটে লগইন করে সংবাদপত্রগুলি পড়তে চাই, আমি পাসওয়ার্ড হিসাবে 1111 টাইপ করতে এবং এর মাধ্যমে যেতে চাই !!!

আমি জানি এটি অনিরাপদ তবে আমার "অ্যাকাউন্টে" অ্যাক্সেস পেয়ে কেউ আমার কী যত্ন করবেন? হ্যাঁ, তিনিও খবরটি পড়তে পারেন!

সাইটটি কি আমার "ব্যক্তিগত" তথ্য সঞ্চয় করে? আজ আমি যে নিউজ পড়েছি? তাহলে এটি সাইটের সমস্যা, আমার নয়! সাইটটি প্রমাণীকৃত ব্যবহারকারীর কাছে ব্যক্তিগত তথ্য প্রদর্শন করে? তারপরে এটি প্রথম স্থানে দেখাবেন না!

এটি কেবল সমস্যার প্রতি ব্যবহারকারীর মনোভাব প্রদর্শনের জন্য।

সুতরাং সংক্ষেপে বলতে গেলে, আমি বুঝতে পারি না যে কীভাবে "নিরাপদে" প্লেইন পাঠ্য পাসওয়ার্ডগুলি সংরক্ষণ করা যায় (যা আমরা জানি অসম্ভব) তবে কীভাবে গ্রাহকদের প্রকৃত উদ্বেগের সমাধান করা যায়।

দিমিত্রি জাইতসেভ
সূত্র
4

হারিয়ে যাওয়া / ভুলে যাওয়া পাসওয়ার্ডগুলি পরিচালনা করা:

কেউ কখনও পাসওয়ার্ড পুনরুদ্ধার করতে সক্ষম হবেন না।

যদি ব্যবহারকারীরা তাদের পাসওয়ার্ড ভুলে যায় তবে তাদের অবশ্যই কমপক্ষে তাদের ব্যবহারকারীর নাম এবং ইমেল ঠিকানাগুলি জানতে হবে। অনুরোধের পরে, ব্যবহারকারীদের টেবিলে একটি জিইউইডি তৈরি করুন এবং ব্যবহারকারীর ইমেল ঠিকানায় প্যারামিটার হিসাবে গাইড থাকা লিঙ্কযুক্ত একটি ইমেল প্রেরণ করুন।

লিঙ্কটির পেছনের পৃষ্ঠাটি যাচাই করেছে যে প্যারামিটার গাইডটি সত্যই উপস্থিত রয়েছে (সম্ভবত কিছু সময়সীমা যুক্তি সহ) এবং ব্যবহারকারীকে একটি নতুন পাসওয়ার্ড চেয়েছেন।

আপনার যদি হটলাইন সহায়তা ব্যবহারকারীদের দরকার হয় তবে আপনার অনুদানের মডেলটিতে কিছু ভূমিকা যুক্ত করুন এবং হটলাইন ভূমিকাটি চিহ্নিত ব্যবহারকারী হিসাবে অস্থায়ীভাবে লগইন করার অনুমতি দিন। এই জাতীয় সমস্ত হটলাইন লগইন লগইন করুন। উদাহরণস্বরূপ, বাগজিলা অ্যাডমিনদের কাছে এমন একটি ছদ্মবেশ বৈশিষ্ট্য সরবরাহ করে।

devio
সূত্র
জিইউইডি একটি খারাপ ধারণা, প্রায় এলোমেলোভাবে এবং ব্রুটফোর্সের পক্ষে সহজ নয়। এই নিয়ে আমার অন্য সমস্যা হয়, দেখুন stackoverflow.com/questions/664673/...
ক্ষুধিত
3

এনক্রিপ্ট করা এবং হারিয়ে যাওয়ার আগে প্লেইনেক্সট পাসওয়ার্ডটি নিবন্ধকরণের বিষয়ে কী? আমি প্রচুর ওয়েবসাইট এটি করতে দেখেছি এবং ব্যবহারকারীর ইমেল থেকে পাসওয়ার্ড পাওয়া এটি আপনার সার্ভার / কম্পিউটারে রেখে দেওয়ার চেয়ে বেশি সুরক্ষিত।

casraf
সূত্র
আমি ধরে নেব না যে ইমেল অন্য কোনও সিস্টেমের চেয়ে নিরাপদ। যদিও এটি আইনী উদ্বেগটি আমার হাত থেকে সরিয়ে নিয়েছে সেখানে এখনও কারও ইমেল হারানো / মুছে ফেলার বিষয়টি রয়েছে এবং এখন আমি ফিরে এসেছি square
শেন
উভয় একটি পাসওয়ার্ড পুনরায় সেট করুন এবং প্লেটেক্সট পাসওয়ার্ড ইমেল করুন। আমি মনে করি এটি নিজের পক্ষে পাসওয়ার্ডের অনুলিপি না রেখেই আপনি সবচেয়ে বেশি কিছু করতে পারেন।
ক্যাসাফ
এটি একেবারে ভয়াবহ ধারণা। এটি উভয়ই অকার্যকর (অনেক ব্যবহারকারী আসলে পড়ার পরে ইমেলগুলি মুছুন) এবং আপনি যেটির বিরুদ্ধে রক্ষা করার চেষ্টা করছেন তার চেয়ে খারাপ (যেহেতু ই-মেইলটি ডিফল্ট দ্বারা এনক্রিপ্ট করা হয় এবং অবিশ্বস্ত নেটওয়ার্কগুলির মধ্য দিয়ে যায়)। ব্যবহারকারীকে পরামর্শ দেওয়া ভাল যে তারা নিজেরাই পাসওয়ার্ডটি একটি নোট তৈরি করে, কমপক্ষে নিজেকে ইমেল প্রেরণ করা তথ্য পুরো ইন্টারনেট জুড়ে নয়, ইমেল সার্ভারের চেয়ে বেশি বেশি কখনও যায় না!
বেন ভয়েগট
3

আপনি যদি পুনরুদ্ধারযোগ্য পাসওয়ার্ডগুলি সঞ্চয় করার প্রয়োজনীয়তাটি কেবল প্রত্যাখ্যান করতে না পারেন তবে এটি আপনার পাল্টা যুক্তি হিসাবে কীভাবে।

আমরা হয় সঠিকভাবে পাসওয়ার্ডগুলি হ্যাশ করতে এবং ব্যবহারকারীদের জন্য একটি পুনরায় সেট করার পদ্ধতি তৈরি করতে পারি, বা আমরা সিস্টেম থেকে ব্যক্তিগতভাবে সনাক্তযোগ্য সমস্ত তথ্য মুছে ফেলতে পারি। আপনি ব্যবহারকারী পছন্দগুলি সেট আপ করতে একটি ইমেল ঠিকানা ব্যবহার করতে পারেন, তবে এটি সম্পর্কে এটি। ভবিষ্যতে পরিদর্শনগুলিতে স্বয়ংক্রিয়ভাবে পছন্দগুলি টানতে এবং কোনও যুক্তিসঙ্গত সময়ের পরে ডেটা ফেলে দিতে কুকি ব্যবহার করুন।

পাসওয়ার্ড নীতি নিয়ে প্রায়শই উপেক্ষা করা একটি বিকল্প হ'ল পাসওয়ার্ডটি সত্যই এমনকি প্রয়োজন কিনা। যদি আপনার পাসওয়ার্ড নীতিটি কেবলমাত্র গ্রাহক পরিষেবা কলগুলির কারণ হয়ে থাকে, তবে আপনি এটি থেকে মুক্তি পেতে পারেন।

anopres
সূত্র
আপনার পাসওয়ার্ডের সাথে সম্পর্কিত কোনও ইমেল ঠিকানা রয়েছে এবং সেই পাসওয়ার্ডটি পুনরুদ্ধারযোগ্য, ততক্ষণ আপনি পাসওয়ার্ড পুনরায় ব্যবহারের কারণে সেই ইমেল ঠিকানাটির জন্য পাসওয়ার্ডটি ফাঁস করে দিয়েছেন aked এটি আসলে এখানে প্রাথমিক উদ্বেগ। সত্যিকার অর্থে ব্যক্তিগতভাবে শনাক্তযোগ্য কোনও তথ্য নেই।
অ্যারোনআউট
1
আপনি আমার বক্তব্য পুরোপুরি মিস করেছেন। আপনার যদি সত্যিই কোনও পাসওয়ার্ডের প্রয়োজন না হয় তবে একটি সংগ্রহ করবেন না। বিকাশকারীরা প্রায়শই "আমাদের কেবল এটিই হয়" চিন্তার মোডে আটকে যায়। কখনও কখনও এটি প্রাক-কল্পনাযুক্ত ধারণাগুলি ছড়িয়ে দিতে সহায়তা করে।
anopres
2

ব্যবহারকারীদের সত্যিই কি কী পাসওয়ার্ড ভুলে গিয়েছিল তা পুনরুদ্ধার করার (যেমন বলা হবে) প্রয়োজন, না তাদের কেবল সিস্টেমে যেতে সক্ষম হওয়া দরকার? লগইন করার জন্য যদি তারা সত্যিকার অর্থে যা চান তা হ'ল কেন একটি রুটিন নেই যা কেবল পুরানো পাসওয়ার্ড (যা তা হোক না কেন) একটি নতুন পাসওয়ার্ডে পরিবর্তন করে যা সমর্থন ব্যক্তি তার পাসওয়ার্ড হারানো ব্যক্তিকে দিতে পারে?

আমি এমন সিস্টেমে কাজ করেছি যা ঠিক এটি করে। সমর্থনকারী ব্যক্তির বর্তমান পাসওয়ার্ড কী তা জানার উপায় নেই তবে এটি একটি নতুন মানটিতে পুনরায় সেট করতে পারে। অবশ্যই এই জাতীয় সমস্ত পুনরায় সেটগুলি কোথাও লগইন করা উচিত এবং ভাল অনুশীলনটি হ'ল ব্যবহারকারীর কাছে একটি ইমেল তৈরি করা হবে যা তাকে বলে যে পাসওয়ার্ডটি পুনরায় সেট করা হয়েছে।

আরেকটি সম্ভাবনা হ'ল একাউন্টে অ্যাক্সেসের অনুমতি দেওয়ার সাথে সাথে একই সাথে দুটি পাসওয়ার্ড। একটি হ'ল "সাধারণ" পাসওয়ার্ড যা ব্যবহারকারী পরিচালনা করে এবং অন্যটি একটি কঙ্কাল / মাস্টার কী এর মতো যা কেবল সমর্থন কর্মীদের দ্বারা পরিচিত এবং সমস্ত ব্যবহারকারীর জন্য একই the যখন কোনও ব্যবহারকারীর কোনও সমস্যা হয় তখন সমর্থনকারী ব্যক্তি মাস্টার কী দিয়ে অ্যাকাউন্টে লগইন করতে পারেন এবং ব্যবহারকারীকে তার পাসওয়ার্ডটি যেকোনো কিছুতে পরিবর্তন করতে সহায়তা করে। বলার অপেক্ষা রাখে না যে মাস্টার কী সহ সমস্ত লগইনগুলিও সিস্টেম দ্বারা লগ করা উচিত। অতিরিক্ত পরিমাপ হিসাবে, যখনই মাস্টার কী ব্যবহার করা হয় আপনি সমর্থন ব্যক্তির শংসাপত্রগুলিও যাচাই করতে পারেন।

-ডিডিটি - মাস্টার কী না থাকা সম্পর্কে মন্তব্যের জবাবে: আমি সম্মত হই যে এটিরও খারাপ যেহেতু আমি বিশ্বাস করি যে ব্যবহারকারী ব্যতীত অন্য কাউকে ব্যবহারকারীর অ্যাকাউন্টে অ্যাক্সেস রাখতে দেওয়া খারাপ is আপনি যদি প্রশ্নটির দিকে লক্ষ্য করেন তবে পুরো ভিত্তিটি হ'ল গ্রাহক একটি অত্যন্ত আপোষযুক্ত সুরক্ষা পরিবেশকে বাধ্যতামূলক করেছিলেন।

একটি মাস্টার কী প্রথমে মনে হবে তত খারাপ হতে হবে না। আমি একটি প্রতিরক্ষা কেন্দ্রে কাজ করতাম যেখানে তারা মেনফ্রেম কম্পিউটার অপারেটরকে নির্দিষ্ট অনুষ্ঠানে "বিশেষ অ্যাক্সেস" পাওয়ার প্রয়োজনীয়তা অনুধাবন করেছিল। তারা কেবল সিল করা খামে বিশেষ পাসওয়ার্ডটি রেখে অপারেটরের ডেস্কে এটি টেপ করে। পাসওয়ার্ডটি ব্যবহার করতে (যা অপারেটর জানত না) তাকে খামটি খুলতে হয়েছিল। শিফ্টের প্রতিটি পরিবর্তনের সময় শিফ্ট সুপারভাইজারের একটি চাকরি দেখতে হবে যে খামটি খোলার আগেই হয়েছিল এবং যদি তাৎক্ষণিকভাবে পাসওয়ার্ডটি পরিবর্তন করা হয় (অন্য বিভাগ দ্বারা) এবং নতুন পাসওয়ার্ডটি একটি নতুন খামে রাখা হয়েছিল এবং প্রক্রিয়াটি সমস্ত শুরু হয়েছিল আবারো. অপারেটরকে জিজ্ঞাসা করা হবে কেন তিনি এটি খোলেন এবং ঘটনাটি রেকর্ডের জন্য নথিভুক্ত করা হবে।

যদিও এটি এমন কোনও পদ্ধতি নয় যা আমি ডিজাইন করব, এটি কার্যকর হয়েছে এবং চমৎকার জবাবদিহিতার জন্য সরবরাহ করেছে। সমস্ত কিছু লগ এবং পর্যালোচনা করা হয়েছিল, প্লাস সমস্ত অপারেটরের ডিওডি গোপন ছাড়পত্র ছিল এবং আমাদের কোনও আপত্তি ছিল না had

পর্যালোচনা এবং তদারকি করার কারণে, সমস্ত অপারেটররা জানত যে তারা খামটি খোলার সুযোগটি অপব্যবহার করলে তারা তাত্ক্ষণিক বরখাস্ত এবং সম্ভাব্য ফৌজদারি মামলার শিকার হতে পারে।

সুতরাং আমি অনুমান করি যে আসল উত্তরটি হ'ল যদি কেউ এমন কাজ করতে চায় যে ব্যক্তি যদি তাদের বিশ্বাস করতে পারে এমন লোককে নিয়োগ দেয়, পটভূমি চেক করে এবং সঠিক পরিচালনা তদারকি এবং জবাবদিহিতা অনুশীলন করে।

তবে আবার যদি এই দরিদ্র সহকর্মীর ক্লায়েন্টের ভাল ব্যবস্থাপনার ব্যবস্থা থাকে তবে তারা এই ধরণের সুরক্ষার সমাধানের জন্য প্রথমে জিজ্ঞাসা না করত, এখন তারা কি করবে?

JonnyBoats
সূত্র
একটি মাস্টার কীটি মারাত্মক ঝুঁকিপূর্ণ হবে, সমর্থন কর্মীদের প্রতিটি অ্যাকাউন্টে অ্যাক্সেস থাকবে - এবং আপনি একবার এই কীটি কোনও ব্যবহারকারীর কাছে পৌঁছে দিলে তাদের কাছে তখন মাস্টার কী এবং সমস্ত কিছুর অ্যাক্সেস থাকবে।
কারসন মায়ার্স
একটি মাস্টার কী একটি ভয়ানক ধারণা, যেহেতু যদি কেউ এটি আবিষ্কার করে (বা এটি দুর্ঘটনাক্রমে তাদের কাছে প্রকাশ করেছে) তবে তারা এটিকে কাজে লাগাতে পারে। অ্যাকাউন্ট অনুসারে পাসওয়ার্ড পুনরায় সেট করার পদ্ধতিটি আরও বেশি ভাল।
ফিল মিলার
আমি কৌতূহলী, আমি ভেবেছিলাম ডিফল্টরূপে লিনাক্সের রুট স্তর অ্যাক্সেসের সাথে একটি সুপার ব্যবহারকারী অ্যাকাউন্ট রয়েছে? সিস্টেমের সমস্ত ফাইল অ্যাক্সেস করার জন্য এটি কি "মাস্টার কী" নয়?
জনিবোটস
@ জনিবোটস হ্যাঁ, এটি। এজন্য ম্যাক ওএস এক্সের মতো আধুনিক ইউনিক্সগুলি রুট অ্যাকাউন্টটি অক্ষম করে।
নিকোলাস শ্যাঙ্কস
@ নিকোলাসশ্যাঙ্কস: মূল অ্যাকাউন্টটি অক্ষম করুন, বা মূল অ্যাকাউন্টে ইন্টারেক্টিভ লগইন অক্ষম করবেন? সীমাহীন অনুমতি নিয়ে এখনও প্রচুর কোড চলছে।
বেন ভয়েগট
2

এই বিষয় সম্পর্কে আমি যে সামান্য বুঝতে পারি তা থেকে আমি বিশ্বাস করি যে আপনি যদি সাইনন / পাসওয়ার্ড দিয়ে কোনও ওয়েবসাইট তৈরি করে থাকেন তবে আপনার সার্ভারে এমনকি সরলখরার পাসওয়ার্ডটি মোটেও দেখতে পাওয়া উচিত নয়। এমনকি ক্লায়েন্টটি ছাড়ার আগে পাসওয়ার্ডটি হ্যাশ করা উচিত এবং সম্ভবত লবণাক্ত হওয়া উচিত।

আপনি যদি কখনও প্লেইন টেক্সট পাসওয়ার্ড না দেখেন তবে পুনরুদ্ধারের প্রশ্নটি ওঠে না।

এছাড়াও, আমি একত্রিত হয়েছি (ওয়েব থেকে) যে (কথিত) কিছু অ্যালগরিদম যেমন এমডি 5 আর নিরাপদ বলে বিবেচিত হয় না। আমার নিজের বিচার করার উপায় নেই, তবে এটি বিবেচনা করার মতো বিষয়।

জেরেমি সি
সূত্র
1

একটি স্বতন্ত্র সার্ভারে একটি ডিবি খুলুন এবং প্রতিটি ওয়েব সার্ভারে একটি এনক্রিপ্ট করা দূরবর্তী সংযোগ দিন যা এই বৈশিষ্ট্যটির প্রয়োজন।
এটি রিলেশনাল ডিবি হতে হবে না, এটি সারণী এবং সারিগুলির পরিবর্তে ফোল্ডার এবং ফাইল ব্যবহার করে এফটিপি অ্যাক্সেস সহ একটি ফাইল সিস্টেম হতে পারে।
আপনি যদি পারেন তবে ওয়েব সার্ভারগুলিকে কেবল লেখার অনুমতি দিন।

পাসওয়ার্ডটির অ-পুনরুদ্ধারযোগ্য এনক্রিপশনটি সাইটের ডিবিতে সংরক্ষণ করুন (আসুন যাকে একে "পাস-এ" বলে দিন)
প্রতিটি নতুন ব্যবহারকারীর (বা পাসওয়ার্ড পরিবর্তন) পাসওয়ার্ডের একটি সরল অনুলিপি রিমোট ডিবিতে সঞ্চয় করে রাখুন। এই পাসওয়ার্ডটির জন্য সম্মিলিত কী হিসাবে সার্ভারের আইডি, ব্যবহারকারীর আইডি এবং "পাস-এ" ব্যবহার করুন। এমনকি রাতে আরও ভাল ঘুমের জন্য আপনি পাসওয়ার্ডে দ্বি-দিকনির্দেশক এনক্রিপশন ব্যবহার করতে পারেন।

এখন কারও কাছে পাসওয়ার্ড এবং এটির প্রসঙ্গ উভয়ই পেতে (সাইটের আইডি + ব্যবহারকারী আইডি + "পাস-এ") পেতে হয়েছে:

  1. একটি ("পাস-এ", ব্যবহারকারী আইডি) জুড়ি বা জোড়া পেতে ওয়েবসাইটের ডিবি হ্যাক করুন।
  2. কিছু কনফিগার ফাইল থেকে ওয়েবসাইটের আইডি পান
  3. দূরবর্তী পাসওয়ার্ডগুলির ডিবি খুঁজে বার করুন এবং হ্যাক করুন।

আপনি পাসওয়ার্ড পুনরুদ্ধার পরিষেবাটির অ্যাক্সেসযোগ্যতা নিয়ন্ত্রণ করতে পারেন (এটি কেবলমাত্র একটি সুরক্ষিত ওয়েব পরিষেবা হিসাবে প্রকাশ করুন, কেবলমাত্র প্রতিদিন নির্দিষ্ট পরিমাণ পাসওয়ার্ড পুনরুদ্ধারের অনুমতি দিন, ম্যানুয়ালি এটি করুন, ইত্যাদি) এবং এমনকি এই "বিশেষ সুরক্ষা ব্যবস্থা" এর জন্য অতিরিক্ত চার্জ নিতে পারেন।
পাসওয়ার্ডগুলি পুনরুদ্ধার ডিবি সার্ভারটি বেশ লুকিয়ে রয়েছে কারণ এটি অনেকগুলি কার্য সম্পাদন করে না এবং এটি আরও ভালভাবে সুরক্ষিত করা যায় (আপনি অনুমতি, প্রক্রিয়া এবং পরিষেবাদিগুলি দৃ .়ভাবে করতে পারেন)।

সব মিলিয়ে আপনি হ্যাকারের পক্ষে কাজটি আরও শক্ত করে তোলেন। যে কোনও একক সার্ভারে সুরক্ষা লঙ্ঘনের সুযোগটি এখনও একই, তবে অর্থবহ ডেটা (অ্যাকাউন্ট এবং পাসওয়ার্ডের মিল) একত্রিত করা শক্ত হবে।

আমির আরাদ
সূত্র
3
অ্যাপ্লিকেশন সার্ভার যদি এটি অ্যাক্সেস করতে পারে তবে অ্যাপ্লিকেশন সার্ভারটিতে অ্যাক্সেস সহ যে কেউ এটিকে (এটি হ্যাকার বা দূষিত অন্তর্নিহিত) হতে পারে। এটি শূন্যের অতিরিক্ত সুরক্ষা দেয়।
মল্ফ
1
এখানে যোগ করা সুরক্ষাটি হ'ল অ্যাপ্লিকেশন সার্ভারের ডিবি পাসওয়ার্ড ধারণ করে না (সুতরাং একটি দ্বিতীয় হ্যাকের প্রয়োজন - পাসওয়ার্ড ডিবিতে), এবং পাসওয়ার্ডগুলি ডিবি অনিয়মিত কার্যকলাপের বিরুদ্ধে আরও সুরক্ষিত করতে পারে, কারণ আপনি পাসওয়ার্ড পুনরুদ্ধারের পরিষেবাটির অ্যাক্সেসযোগ্যতা নিয়ন্ত্রণ করেন। যাতে আপনি বাল্ক ডেটা পুনরুদ্ধারগুলি সনাক্ত করতে পারেন, সাপ্তাহিক ভিত্তিতে পুনরুদ্ধার এসএসএইচ কী পরিবর্তন করতে পারেন, বা এমনকি স্বয়ংক্রিয় পাস পুনরুদ্ধারকে মঞ্জুরি দিতে পারবেন না এবং সমস্ত কিছু নিজেই করতে পারেন। এই সমাধানটি পাসওয়ার্ড ডিবিতে যে কোনও অভ্যন্তরীণ এনক্রিপশন স্কিমের (যেমন পাবলিক + প্রাইভেট কী, লবণ ইত্যাদি) ফিট করে।
আমির আরাদ
1

আপনি বিবেচনা না করে থাকতে পারেন এমন অন্য বিকল্পটি ইমেলের মাধ্যমে ক্রিয়াকলাপের অনুমতি দেয় allowing এটি কিছুটা কষ্টকর, তবে আমি এমন একটি ক্লায়েন্টের জন্য এটি প্রয়োগ করেছি যার ব্যবহারকারীরা সিস্টেমের কিছু অংশ দেখতে (কেবল পঠন করতে) তাদের সিস্টেমের "বাইরের" প্রয়োজন। উদাহরণ স্বরূপ:

  1. কোনও ব্যবহারকারী নিবন্ধিত হয়ে গেলে তাদের সম্পূর্ণ অ্যাক্সেস থাকে (নিয়মিত ওয়েবসাইটের মতো)। নিবন্ধকরণ অবশ্যই একটি ইমেল অন্তর্ভুক্ত।
  2. যদি ডেটা বা কোনও ক্রিয়া প্রয়োজন হয় এবং ব্যবহারকারী তাদের পাসওয়ার্ড মনে রাখে না, তবে তারা নিয়মিত " জমা দেওয়ার ঠিক পাশেই একটি বিশেষ" আমাকে ইমেলের জন্য ইমেল করুন "বোতামে ক্লিক করে ক্রিয়াটি সম্পাদন করতে পারেন they " বোতামের পারেন।
  3. তারপরে অনুরোধটি হাইপারলিংকের সাথে ইমেলের কাছে প্রেরণ করা হয় যাতে তারা জিজ্ঞাসা করে যে কর্মটি সম্পাদন করা হোক। এটি পাসওয়ার্ড পুনরায় সেট করার ইমেল লিঙ্কের অনুরূপ, তবে পাসওয়ার্ডটি পুনরায় সেট করার পরিবর্তে এটি ওয়ান-টাইম ক্রিয়া সম্পাদন করে
  4. তারপরে ব্যবহারকারী "হ্যাঁ" ক্লিক করেন এবং এটি নিশ্চিত করে যে ডেটা প্রদর্শন করা উচিত, বা ক্রিয়াটি করা উচিত, ডেটা প্রকাশ হওয়া ইত্যাদি etc.

আপনি মন্তব্যে যেমন উল্লেখ করেছেন, ইমেলটি আপোস করা হয় তবে এটি কাজ করবে না, তবে এটি পাসওয়ার্ডটি পুনরায় সেট করতে না চাওয়ার বিষয়ে @ জোয়াচিমের মন্তব্যকে সম্বোধন করে। অবশেষে, তাদের পাসওয়ার্ড পুনরায় সেট করতে হবে, তবে তারা প্রয়োজন মতো এটি আরও সুবিধাজনক সময়ে বা প্রশাসক বা বন্ধুর সহায়তায় এটি করতে পারত।

এই সমাধানটির একটি মোড় হ'ল তৃতীয় পক্ষের বিশ্বস্ত প্রশাসকের কাছে ক্রিয়া অনুরোধ প্রেরণ করা। প্রবীণ, মানসিক প্রতিবন্ধী, খুব অল্প বয়স্ক বা অন্যথায় বিভ্রান্ত ব্যবহারকারীদের ক্ষেত্রে এটি সবচেয়ে ভাল কাজ করবে। অবশ্যই এই লোকদের তাদের ক্রিয়াগুলি সমর্থন করার জন্য একটি বিশ্বস্ত প্রশাসক প্রয়োজন।

Sablefoste
সূত্র
1

স্বাভাবিক হিসাবে ব্যবহারকারীর পাসওয়ার্ড লবণ এবং হ্যাশ। ব্যবহারকারীকে লগ ইন করার সময়, উভয় ব্যবহারকারীর পাসওয়ার্ড (সল্টিং / হ্যাশিংয়ের পরে) অনুমতি দিন, তবে ব্যবহারকারী আক্ষরিক অর্থে যা মেলে তা মঞ্জুরি দিন।

এটি ব্যবহারকারীকে তাদের গোপন পাসওয়ার্ড প্রবেশ করতে দেয়, তবে তাদের পাসওয়ার্ডের সল্ট / হ্যাশড সংস্করণে প্রবেশের অনুমতি দেয়, যা ডাটাবেস থেকে কেউ পড়তে পারে।

মূলত, সল্টেড / হ্যাশ পাসওয়ার্ডটিকে একটি "প্লেইন-পাঠ্য" পাসওয়ার্ডও করুন।

Eliott
সূত্র
ব্যবহারকারীরা ডাটাবেসে থাকা হ্যাশ পাসওয়ার্ডের সাথে সরাসরি যা প্রবেশ করেছেন তা তুলনা করা কেন আপনার মনে হয়? এটি আপনাকে কী ধরনের কার্যকারিতা দেয়? এছাড়াও, এটি করার সময় ব্যবহারকারীর প্রবেশ করা পাসওয়ার্ড এবং ডাটাবেস থেকে হ্যাশ পাসওয়ার্ডের মধ্যে ধ্রুবক-সময় তুলনা ফাংশন প্রয়োগ করা অত্যন্ত গুরুত্বপূর্ণ। অন্যথায়, সময় পার্থক্যের ভিত্তিতে হ্যাশ পাসওয়ার্ড নির্ধারণ করা প্রায় তুচ্ছভাবে সম্ভব।
আর্টজম বি।
1
@ArtjomB। প্রশ্নটি জিজ্ঞাসা করে যে কীভাবে গ্রাহক সমর্থন (সিএস) ব্যবহারকারীকে তাদের ভুলে যাওয়া পাসওয়ার্ড প্রবেশের মাধ্যমে কথা বলতে / ইমেল করার অনুমতি দেওয়ার পাশাপাশি ব্যবহারকারীর পাসওয়ার্ড কীভাবে সুরক্ষিত করা যায়। সরল-পাঠ্য পাসওয়ার্ড হিসাবে হ্যাশ সংস্করণটি ব্যবহারযোগ্য হতে পারে, সিএস এটি পড়তে পারে এবং ব্যবহারকারীকে ভুলে যাওয়া পাসওয়ার্ডের পরিবর্তে এটি ব্যবহার করতে পারে। সিএস এটিকে ব্যবহারকারীর হিসাবে লগ-ইন করতে এবং কোনও কাজের মাধ্যমে তাদের সহায়তা করতে পারে। এটি স্বয়ংক্রিয় ভুলে যাওয়া-পাসওয়ার্ড সিস্টেমে স্বাচ্ছন্দ্যযুক্ত ব্যবহারকারীদের সুরক্ষিত করার অনুমতি দেয়, কারণ তারা প্রবেশ করায় এবং ব্যবহার করা পাসওয়ার্ডটি হ্যাশ হয়ে যায়।
এলিয়ট
আমি দেখি. আমি পুরোপুরি প্রশ্নটি পড়িনি। পুরো সিস্টেমের ন্যূনতম ভাঙ্গন রোধ করার জন্য ধ্রুবক-সময়ের তুলনা ব্যবহার এখনও প্রয়োজনীয়।
আর্টজম বি
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.