একটি পাসওয়ার্ড হ্যাশ করা এবং এটি এনক্রিপ্ট করার মধ্যে পার্থক্য

এই প্রশ্নে বর্তমানের শীর্ষে ভোট দেওয়া হয়েছে:

অন্য এক সুরক্ষা সমস্যা যে না, তাই অনেক, যদিও এটি নিরাপত্তা সংক্রান্ত হয়, সম্পূর্ণ এবং এখানে পতিত ব্যর্থতা একটি পাসওয়ার্ড হ্যাশ এবং এটি এনক্রিপ্ট মধ্যে পার্থক্য grok । বেশিরভাগ কোডে প্রোগ্রামার পাওয়া যায় যেখানে প্রোগ্রামার অনিরাপদ "আমার পাসওয়ার্ড আমাকে স্মরণ করিয়ে দিন" কার্যকারিতা সরবরাহ করার চেষ্টা করছে।

এই পার্থক্যটি ঠিক কী? আমি সবসময় এই ছাপে ছিলাম যে হ্যাশিং একটি এনক্রিপশনের একটি রূপ ছিল। পোস্টারটি যে অনিরাপদ কার্যকারিতাটি উল্লেখ করছে তা কী?

হ্যাশিং একটি ওয়ান ওয়ে ফাংশন (ভাল, একটি ম্যাপিং)। এটি অপরিবর্তনীয়, আপনি নিরাপদ হ্যাশ অ্যালগরিদম প্রয়োগ করেন এবং আপনি মূল স্ট্রিংটি ফিরে পেতে পারেন না। সর্বাধিক আপনি যা করতে পারেন তা হ'ল "সংঘর্ষ" নামে পরিচিত, অর্থাত্, একই হ্যাশ সরবরাহকারী একটি ভিন্ন স্ট্রিং সন্ধান করা। ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত হ্যাশ অ্যালগরিদমগুলি সংঘর্ষের ঘটনাটি রোধ করার জন্য ডিজাইন করা হয়েছে। আপনি একটি রেইনবো টেবিল ব্যবহার করে একটি সুরক্ষিত হ্যাশ আক্রমণ করতে পারেন, যা সংরক্ষণ করার আগে আপনি হ্যাশটিতে একটি লবণ প্রয়োগ করে প্রতিরোধ করতে পারেন ।

এনক্রিপ্ট করা একটি যথাযথ (দ্বি-উপায়) ফাংশন। এটি বিপরীত, আপনি কী থাকলে মূল স্ট্রিং পেতে ম্যাংলেড স্ট্রিংটি ডিক্রিপ্ট করতে পারেন।

এটি যে অনিরাপদ কার্যকারিতাটির উল্লেখ করছে তা হ'ল আপনি যদি পাসওয়ার্ডগুলি এনক্রিপ্ট করেন তবে আপনার অ্যাপ্লিকেশনটিতে কোথাও সঞ্চিত কী রয়েছে এবং এমন আক্রমণকারী যিনি আপনার ডাটাবেসে (এবং / অথবা কোড) অ্যাক্সেস পেয়েছেন মূল কী এবং এনক্রিপ্ট হওয়া পাঠ্য উভয় পেয়েই মূল পাসওয়ার্ডগুলি পেতে পারেন , যদিও একটি হ্যাশ দিয়ে এটি অসম্ভব।

লোকেরা সাধারণত বলে যে কোনও ক্র্যাকার যদি আপনার ডাটাবেস বা আপনার কোডের মালিক হয় তবে তার কোনও পাসওয়ার্ডের প্রয়োজন নেই, সুতরাং পার্থক্যটি মূল কথা। এটি নিষ্পাপ, কারণ এখনও আপনার ব্যবহারকারীর পাসওয়ার্ড রক্ষা করার দায়িত্ব আপনার রয়েছে, মূলত কারণ তাদের বেশিরভাগই একই পাসওয়ার্ড বারবার ব্যবহার করে এবং তাদের পাসওয়ার্ড ফাঁস করে তাদেরকে আরও বেশি ঝুঁকির সামনে ফেলে দেয়।

হ্যাশিং একটি একমুখী ফাংশন, যার অর্থ একবার আপনি পাসওয়ার্ড হ্যাশ করলে হ্যাশ থেকে মূল পাসওয়ার্ডটি পাওয়া খুব কঠিন is এনক্রিপশন একটি দ্বি-মুখী ফাংশন, যেখানে এনক্রিপ্ট করা পাঠ্য থেকে মূল পাঠ্য ফিরে পাওয়া আরও সহজ।

সাদামাটা হ্যাশিং সহজেই অভিধান আক্রমণ ব্যবহার করে পরাজিত হয়, যেখানে আক্রমণকারী কেবল অভিধানের প্রতিটি শব্দকে (বা একটি নির্দিষ্ট দৈর্ঘ্যের অক্ষরের প্রতিটি সংমিশ্রণ) প্রাক-হ্যাশ করে, তারপরে হ্যাশ পাসওয়ার্ডগুলি সন্ধান করতে এই নতুন অভিধানটি ব্যবহার করে। সংরক্ষিত প্রতিটি হ্যাশ পাসওয়ার্ডের জন্য একটি অনন্য এলোমেলো লবণ ব্যবহার করে আক্রমণকারীকে এই পদ্ধতিটি ব্যবহার করা আরও বেশি কঠিন করে তোলে। তাদের মূলত আপনার ব্যবহৃত প্রতিটি লবণের জন্য একটি নতুন অনন্য অভিধান তৈরি করা দরকার যা তাদের আক্রমণকে ভীষণভাবে কমিয়ে দেয়।

কোনও এনক্রিপশন অ্যালগরিদম ব্যবহার করে পাসওয়ার্ড সংরক্ষণ করা নিরাপদ নয় কারণ ব্যবহারকারী বা প্রশাসকের পক্ষে যদি এনক্রিপ্ট করা পাঠ্য থেকে মূল পাসওয়ার্ডটি ফিরে পাওয়া সহজ হয় তবে আক্রমণকারীর পক্ষে এটি করা আরও সহজ।

উপরের ছবিতে প্রদর্শিত হিসাবে, পাসওয়ার্ডটি এনক্রিপ্ট করা থাকলে এটি সর্বদা একটি গোপনীয় গোপন বিষয় যেখানে কেউ সরল পাঠ্য পাসওয়ার্ডটি বের করতে পারে। তবে পাসওয়ার্ডটি হ্যাশ করার সময়, আপনি শিথিল হন কারণ হ্যাশ মান থেকে পাসওয়ার্ডটি পুনরুদ্ধার করার খুব কমই কোনও পদ্ধতি রয়েছে।

এনক্রিপ্টড বনাম হ্যাশড পাসওয়ার্ড থেকে উত্তোলন - এর থেকে ভাল আরও কী?

এনক্রিপশন ভাল?

সাদামাটা পাঠ্য পাসওয়ার্ডগুলি ডিইএস, এইএস বা অন্য কোনও অ্যালগরিদমের মতো প্রতিসামগ্রী এনক্রিপশন অ্যালগরিদম ব্যবহার করে এনক্রিপ্ট করা যায় এবং ডাটাবেসের ভিতরে সংরক্ষণ করা যায়। প্রমাণীকরণে (ব্যবহারকারীর নাম এবং পাসওয়ার্ড সহ পরিচয় নিশ্চিতকরণ), অ্যাপ্লিকেশনটি ডাটাবেসে সঞ্চিত এনক্রিপ্ট হওয়া পাসওয়ার্ডটি ডিক্রিপ্ট করবে এবং সমতার জন্য ব্যবহারকারী প্রদত্ত পাসওয়ার্ডের সাথে তুলনা করবে। এই জাতীয় পাসওয়ার্ড পরিচালনার পদ্ধতির ক্ষেত্রে, কেউ ডাটাবেস টেবিলগুলিতে অ্যাক্সেস পেয়ে গেলেও পাসওয়ার্ডগুলি সহজেই পুনরায় ব্যবহারযোগ্য হবে না। তবে এই পদ্ধতির মধ্যে একটি খারাপ সংবাদও রয়েছে। যদি কোনওভাবে আপনার অ্যাপ্লিকেশন দ্বারা ব্যবহৃত কী সহ কোনও ব্যক্তি ক্রিপ্টোগ্রাফিক অ্যালগরিদম অর্জন করেন, তবে সে ডিক্রিপশন দ্বারা আপনার ডাটাবেসে সঞ্চিত সমস্ত ব্যবহারকারীর পাসওয়ার্ড দেখতে সক্ষম হবে। "এটি আমি পেয়েছি সেরা বিকল্প", একজন সফ্টওয়্যার বিকাশকারী চিৎকার করতে পারে, তবে এর থেকে আরও ভাল উপায় কি?

ক্রিপ্টোগ্রাফিক হ্যাশ ফাংশন (কেবল একমুখী)

হ্যাঁ আছে, আপনি এখানে পয়েন্ট মিস করতে পারেন। আপনি কি লক্ষ্য করেছেন যে ডিক্রিপ্ট এবং তুলনা করার কোনও প্রয়োজন নেই? যদি একতরফা কেবল রূপান্তর পদ্ধতি থাকে যেখানে পাসওয়ার্ডটিকে কিছু রূপান্তরিত শব্দের মধ্যে রূপান্তর করা যায় তবে বিপরীত ক্রিয়াকলাপ (রূপান্তরিত শব্দ থেকে পাসওয়ার্ড তৈরি করা) অসম্ভব। এখন এমনকি যদি কেউ ডাটাবেসে অ্যাক্সেস পান তবে রূপান্তরিত শব্দের সাহায্যে পাসওয়ার্ডগুলি পুনরুত্পাদন করা বা উত্তোলনের কোনও উপায় নেই। এই পদ্ধতির ক্ষেত্রে, সম্ভবত যেভাবেই কিছু আপনার ব্যবহারকারীদের শীর্ষ গোপন পাসওয়ার্ডগুলি জানতে পারে; এবং এটি একাধিক অ্যাপ্লিকেশন জুড়ে একই পাসওয়ার্ড ব্যবহার করে ব্যবহারকারীদের সুরক্ষা দেবে। এই পদ্ধতির জন্য কোন অ্যালগরিদম ব্যবহার করা যেতে পারে?

আমি সবসময়ই ভেবেছিলাম যে এনক্রিপশন দুটি উপায়ে রূপান্তর করা যায়, এমনভাবে যাতে শেষের মানটি আপনাকে মূল মানের কাছে আনতে পারে এবং হ্যাশিংয়ের মাধ্যমে আপনি শেষ ফলাফল থেকে মূল মানের দিকে ফিরে যেতে সক্ষম হবেন না।

হ্যাশিং অ্যালগরিদমগুলি সাধারণত ক্রিপ্টোগ্রাফিক প্রকৃতির হয় তবে মূল পার্থক্যটি হ'ল এনক্রিপশনটি ডিক্রিপশন দ্বারা বিপরীত হয় এবং হ্যাশিং হয় না।

একটি এনক্রিপশন ফাংশন সাধারণত ইনপুট নেয় এবং এনক্রিপ্ট হওয়া আউটপুট উত্পাদন করে যা একই, বা কিছুটা বড় আকারের।

একটি হ্যাশিং ফাংশন ইনপুট নেয় এবং একটি নির্দিষ্ট আকারের সাধারণত একটি ছোট ছোট আউটপুট উত্পাদন করে।

মূল ইনপুট ফিরিয়ে আনার জন্য কোনও হ্যাশ ফলাফল নেওয়া এবং এটি "ডিহস" করা সম্ভব না হলেও আপনি সাধারণত একই হ্যাশ তৈরির কিছুতে আপনার পথটিকে জোর করে চাপিয়ে দিতে পারেন।

অন্য কথায়, যদি কোনও প্রমাণীকরণ স্কিম কোনও পাসওয়ার্ড নেয়, তা হ্যাশ করে এবং এটি প্রয়োজনীয় পাসওয়ার্ডের একটি হ্যাশ সংস্করণের সাথে তুলনা করে, তবে এটির প্রয়োজন হতে পারে না যে আপনি প্রকৃতপক্ষে মূল পাসওয়ার্ডটি জানেন, কেবল এটির হ্যাশ, এবং আপনি জোর করে ফেলতে পারেন কোনও ভিন্ন পাসওয়ার্ড হলেও, এমন কোনও কিছুতে যা আপনার সাথে মিলবে way

হ্যাশিং ফাংশনগুলি সাধারণত সংঘর্ষের সম্ভাবনা হ্রাস করার জন্য তৈরি করা হয় এবং কেবলমাত্র এমন কিছু গণনা করা শক্ত করে তোলে যা অন্য কিছু হিসাবে একই হ্যাশ উত্পাদন করে।

আদর্শভাবে আপনার উভয় করা উচিত।

একতরফা সুরক্ষার জন্য প্রথমে পাসওয়ার্ডটি পাস করুন। অতিরিক্ত সুরক্ষার জন্য একটি লবণ ব্যবহার করুন।

এরপরে আপনার পাসওয়ার্ড হ্যাশগুলির ডেটাবেস আপস করা থাকলে অভিধান আক্রমণ থেকে রক্ষা করার জন্য হ্যাশ এনক্রিপ্ট করুন।

হ্যাশিং :

এটি একমুখী অ্যালগরিদম এবং একবার হ্যাশটি রোলব্যাক করতে পারে না এবং এটি এনক্রিপশনের বিরুদ্ধে এটির মিষ্টি পয়েন্ট।

জোড়া লাগানো

আমরা যদি এনক্রিপশন সম্পাদন করি তবে এটি করার জন্য একটি কী থাকবে। এই কীটি ফাঁস হয়ে গেলে আপনার সমস্ত পাসওয়ার্ড সহজেই ডিক্রিপ্ট করা যায়।

অন্যদিকে, এমনকি যদি আপনার ডাটাবেস হ্যাক হয়ে যায় বা আপনার সার্ভার অ্যাডমিন ডিবি থেকে ডেটা নিয়েছে এবং আপনি হ্যাশ পাসওয়ার্ড ব্যবহার করেছেন, হ্যাকার এই হ্যাশ পাসওয়ার্ডগুলি ভাঙ্গতে সক্ষম হবে না। এটি যথাযথভাবে অসম্ভব, যদি আমরা পিবিকেডিএফ 2 এর সাথে সঠিক লবণ এবং অতিরিক্ত সুরক্ষা সহ হ্যাশিং ব্যবহার করি।

আপনি কীভাবে আপনার হ্যাশ ফাংশন লিখবেন তা একবার পর্যালোচনা করতে চাইলে আপনি এখানে যেতে পারেন ।

হ্যাশিং সম্পাদন করার জন্য অনেক অ্যালগরিদম রয়েছে।

1. MD5 - ম্যাসেজ ডাইজেস্ট অ্যালগরিদম 5 (MD5) হ্যাশ ফাংশন ব্যবহার করে। আউটপুট হ্যাশ দৈর্ঘ্য 128 বিট হয়। এমডি 5 অ্যালগরিদম 1990 এর দশকের গোড়ার দিকে রন রিভেস্ট ডিজাইন করেছিলেন এবং আজ এটি কোনও পছন্দসই বিকল্প নয়।

2. SHA1 - 1995 সালে প্রকাশিত সুরক্ষা হ্যাশ অ্যালগরিদম (SHA1) হ্যাশ ব্যবহার করে Uses আউটপুট হ্যাশ দৈর্ঘ্য 160 বিট। যদিও সর্বাধিক ব্যবহৃত হয়, এটি আজ পছন্দসই বিকল্প নয়।

3. এইচএমএএসএসিএসিএল ২MA6 , এইচএমএএসএসিএএসএইচএল ৩৪ , এইচএমএএসএসিএএসএ ৫৫১ - এসএএএ -২ পরিবারের শ্যা -২ 256 , এসএএএ -৩৪৪ এবং এসএইচএ -512 ফাংশনগুলি ব্যবহার করুন। SHA-2 2001 সালে প্রকাশিত হয়েছিল। হ্যাশ ফাংশনগুলির নামগুলি সূচিত করে আউটপুট হ্যাশ দৈর্ঘ্য যথাক্রমে 256, 384 এবং 512 বিট।

অন্যান্য উত্তর যেমন সঠিক হতে পারে, সেই প্রসঙ্গে যে উদ্ধৃতিটি ছিল, হ্যাশিং একটি সরঞ্জাম যা তথ্য সুরক্ষায় ব্যবহৃত হতে পারে, এনক্রিপশন এমন একটি প্রক্রিয়া যা তথ্য নেয় এবং অননুমোদিত লোকদের পড়া / ব্যবহার করা খুব কঠিন করে তোলে।

এখানে অন্য কারণগুলির জন্য আপনি অন্যগুলির মধ্যে একটিটি ব্যবহার করতে চাইতে পারেন - পাসওয়ার্ড পুনরুদ্ধার।

আপনি যদি কেবল কোনও ব্যবহারকারীর পাসওয়ার্ডের একটি হ্যাশ সঞ্চয় করেন তবে আপনি 'ভুলে যাওয়া পাসওয়ার্ড' বৈশিষ্ট্যটি সরবরাহ করতে পারবেন না।