এইচটিটিপিএস-এর মাধ্যমে সরল পাঠ্য পাসওয়ার্ড

95

আমি বর্তমানে একটি পিএইচপি ওপেনআইডি সরবরাহকারীর সাথে কাজ করছি যা এইচটিটিপিএস-এ কাজ করবে (অতএব এসএসএল এনক্রিপ্ট করা)। সরল পাঠ্য হিসাবে পাসওয়ার্ডটি স্থানান্তর করা
কি আমার পক্ষে ভুল ? তাত্ত্বিকভাবে এইচটিটিপিএস, বাধা দেওয়া যায় না, তাই আমি কোনও ভুল দেখছি না। বা এটি কি কোনও স্তরে অনিরাপদ এবং আমি এটি দেখতে ব্যর্থ হই?

https  password-protection 
কেন নটহাগো
সূত্র

উত্তর:

131

It is safe. That's how the entire web works. All passwords in forms are always sent in plain text, so its up to HTTPS to secure it.

Eduardo Scoz
সূত্র
20
Minor nitpick: some login forms use JavaScript to hash the password instead of sending it plain text.
Thorarin
5
@Thorarin if they truly hash it, that means the server is storing the password in plain text so it can hash with the same salt to verify. Ick! Sending the password in ssl wrapped text is better, as the server does not then need to store the password in plain text.
DGM
11
@ ডিজিএম: ডাবল হ্যাশিংও একটি বিকল্প, সুতরাং সাধারণ পাঠ্য পাসওয়ার্ড কঠোরভাবে প্রয়োজন হয় না।
থোররিন
4
@ ডেনিস: ক্লায়েন্ট সাইড হ্যাশিং সত্যিই খুব বেশি সাহায্য করে না। এটি সরল পাঠ্যের চেয়ে জিনিসগুলিকে কিছুটা শক্ত করে তুলতে পারে, তবে যে কেউ সত্যই পাসওয়ার্ড চুরি করতে চায় সে কোনও সমস্যা ছাড়াই এটি করতে পারে। আপনি যদি কোনও সুরক্ষিত চ্যানেল (এসএসএল) এর জন্য কমপক্ষে এক-বারের টোকেন প্রেরণ করেন তবে কেবল নিরাপদে কাজ করবে, সেক্ষেত্রে আপনি কেবল এসএসএল-এ পাসওয়ার্ডটি প্রারম্ভ করে পাঠাতে পারেন।
এডুয়ার্ডো স্কোজ
4
আমি কেবল বলছি যে ইয়াহু অনুভব করেছিলেন যে ক্লায়েন্ট সাইড হ্যাশিং যথেষ্ট পরিমাণে নিরাপদ ছিল যতক্ষণ না তারা এসএসএল-এ সমস্ত পথ সরিয়ে নিতে পারে। তবে ওহে, আমি https :) এর জন্য আছি
ডেনিস
76

আপনার এখনও এটি নিশ্চিত হওয়া দরকার যে আপনি এটি জিইটি নয়, পোস্ট অনুরোধের মাধ্যমে পাঠিয়েছেন। আপনি যদি এটি জিইটি অনুরোধের মাধ্যমে প্রেরণ করেন তবে এটি ব্যবহারকারীর ব্রাউজারের ইতিহাস লগ বা ওয়েবসভারের অ্যাক্সেস লগগুলিতে প্লেইন টেক্সটে সংরক্ষণ করা যেতে পারে।

কেউ না
সূত্র
7
হ্যাঁ, আমি এটি জানতাম, তবে অন্যেরা যারা এখানে খুঁজছেন তাদের পিছনে ফেলে রাখা এখনও একটি ভাল মন্তব্য। :)
নটহাগো
বা এটি একটি শিরোনামে প্রেরণ করুন
জেমস
22

যদি এইচটিটিপি অক্ষম থাকে এবং আপনি কেবল এইচটিটিপিএস ব্যবহার করেন তবে আপনি যেভাবেই পাসওয়ার্ডটিকে সরল পাঠ্য হিসাবে সঞ্চারিত করছেন না।

ক্যান বার্ক গ্যাডার
সূত্র
4
যদিও সার্ভারটি করে আপনার প্লেইন পাসওয়ার্ড এক্সেস আছে, তারা প্লেইন যেমন সংরক্ষণ করতে পারেন এটা লগ ইন করুন ভুল যেমন প্লেইন ইত্যাদি বলতে, আপনার পাসওয়ার্ড ক্লায়েন্ট সাইড এ থাকার নয় যে, সার্ভার এছাড়াও সূচিত এটা ঠিক কি।
xref
14

হ্যাশ ক্লায়েন্ট পক্ষ। কেন? একটু পরীক্ষা-নিরীক্ষার কথা বলি। কোম্পানির ক্যাফেটেরিয়ায় কম্পিউটার পর্যন্ত চলে যান। ব্রাউজারটি কোম্পানির ওয়েব সাইট লগইন পৃষ্ঠায় খুলুন (https)। এফ 12 টিপুন, নেটওয়ার্ক ট্যাবে ক্লিক করুন, অবিরাম লগ চেক করুন, কনসোলকে ছোট করুন তবে লগইন পৃষ্ঠাতে ওয়েব পৃষ্ঠাটি খোলা রেখে দিন। বসে বসে মধ্যাহ্নভোজন কর। কর্মচারী সংস্থাটির ওয়েবসাইটে লগ ইন করার পরে এবং একজন ভাল সামান্য কর্মী হওয়ার পরে কর্মচারী হিসাবে দেখুন done মধ্যাহ্নভোজ শেষ করুন, কম্পিউটারে বসে নেটওয়ার্ক ট্যাব আনুন এবং ফর্মের বডিগুলিতে প্রতিটি একক ব্যবহারকারীর নাম এবং পাসওয়ার্ড সরল পাঠ্যে দেখুন।

কোনও বিশেষ সরঞ্জাম নেই, বিশেষ জ্ঞান নেই, কোনও অভিনব হ্যাকিং হার্ডওয়্যার নেই, কোনও কীলগার নেই কেবল পুরানো এফ 12।

তবে ওহে, এসএসএল আপনার যা প্রয়োজন তা ভেবেই চলুন। খারাপ ছেলেরা এর জন্য আপনাকে ভালবাসবে।

কোডডগ
সূত্র
6
আপনার ক্যাফেটেরিয়া মন্তব্যে কোনও অর্থ হয় না, যতই আমি এটি পুনরায় পড়ি। লোকেরা কেন কেবল একটি কম্পিউটারে উঠে তাদের শংসাপত্রগুলি টাইপ করবে? আপনি কি প্রমাণ করার চেষ্টা করছেন? এছাড়াও, হ্যাশিং এটিকে কোনওভাবেই বেশি সুরক্ষিত করে তুলবে না । ২০০৯-এ এই প্রশ্নটি লেখা হয়েছিল, পাসওয়ার্ড হ্যাশ করা এবং সরল-পাঠ্য HTTP- র মাধ্যমে সেগুলি প্রেরণ করা একটি সাধারণ বিষয় ছিল
নটহাগো ২ug
4
আমি এই উভয় upvoted, কারণ হ্যাঁ, গৃহীত উত্তর হয় অনেক বছর পর পাঠ করা হয়। @ কোডেডগ দয়া করে কিছু প্রশমন কৌশলটি দেখিয়ে দিলে ভাল হবে। এবং হ্যাঁ, লোকেরা কেবল এলোমেলো পিসি পর্যন্ত চলতে পারে, উদাহরণস্বরূপ, স্থানীয় গ্রন্থাগারে, এবং তাদের বিশদটি প্রবেশ করান!
জোয়াক
4
আমি পাবলিক কী সহ ক্লায়েন্টের পাসওয়ার্ডগুলি এনক্রিপ্ট করি, তারপরে ফর্মটিতে কেবল এনক্রিপ্ট হওয়া পাসওয়ার্ডটি পোস্ট করি। এটি একটি অসামান্য কী তাই ক্লায়েন্টের পক্ষে পাবলিক কী থাকা আক্রমণকারীদের পক্ষে অকেজো। প্রতিটি লগ এটি একটি নতুন কী জুড়ি উত্পন্ন করে তাই পুনরায় খেলুন আক্রমণগুলি কাজ করবে না। চাবি এমনকি ব্যর্থ চেষ্টা লগ পরিবর্তন। লগ-ইন স্ক্রিনে ব্যবহারকারীরা উপস্থিত হলে মূল জোড়াটি সার্ভারের পাশ তৈরি হয়। ক্লায়েন্টের সাইড কোডে কেবল সর্বজনীন কী সরবরাহ করা হয়।
কোডডগ
বিটিডাব্লু আমি দেখেছি রুম নম্বরগুলির জন্য পাসকোড সংগ্রহ করার জন্য এই হ্যাকটি কোনও হোটেল ব্যবসায়িক কেন্দ্রে ব্যবহার করা হচ্ছে। তারা ওয়্যারলেস পেতে এবং ব্যবসায় কেন্দ্রের পিসি ব্যবহার করতে পাসকোড ব্যবহার করবে এবং এটি রুমে বিল করা হবে।
কোডডোগ
আমি আমার ব্যাঙ্ক অ্যাকাউন্টে লগইন করে এমন একটি পরীক্ষা করেছিলাম এবং অবশ্যই @ কোডডোগের সাথে একমত হতে হবে - অনুরোধের পেডে আমার লগইন এবং পাসওয়ার্ড উভয় সরলরেখার অন্তর্ভুক্ত রয়েছে।
আর্তুর মিছাজলুক
6

আগের উত্তরগুলিতে কিছু নোট তৈরি করা যাক।

প্রথমত, হ্যাশ অ্যালগরিদম ক্লায়েন্ট সাইডটি ব্যবহার করা সম্ভবত সেরা ধারণা নয়। যদি আপনার পাসওয়ার্ডটি সার্ভারের দিকে সল্ট হয়, আপনি হ্যাশগুলি তুলনা করতে পারবেন না (কমপক্ষে না যদি আপনি পাসওয়ার্ড থেকে হ্যাশিং স্তরগুলির একটিতে ডাটাবেসে ক্লায়েন্ট হ্যাশ সংরক্ষণ না করেন তবে এটি একই বা খারাপ)। এবং আপনি ক্লায়েন্ট পক্ষের ডেটাবেস দ্বারা ব্যবহৃত হ্যাশিং অ্যালগরিদম প্রয়োগ করতে চান না, এটি নির্বোধ হবে।

দ্বিতীয়ত, ক্রিপ্টোগ্রাফিক কীগুলি কেনাবেচা করা আদর্শ নয়। এমআইটিএম তাত্ত্বিকভাবে (ক্লায়েন্টের কাছে তার একটি রুট সার্ট ইনস্টল করা বিবেচনা করে) ক্রিপ্টোগ্রাফিক কীগুলি পরিবর্তন করতে এবং তার নিজস্ব কীগুলি দিয়ে পরিবর্তন করতে পারে:

মূল সংযোগ (টিআলএস বিবেচনা না করে) একটি তাত্ত্বিক সার্ভার থেকে কীগুলি বিনিময় করে:

ক্লায়েন্টের অনুরোধ সার্বজনীন কীগুলি> সার্ভারটি ব্যক্তিগত কীগুলি ধারণ করে, ক্লায়েন্টে সর্বজনীন কী উত্পন্ন করে> সার্ভার ক্লায়েন্টকে সর্বজনীন কীগুলি প্রেরণ করে

এখন, একটি তাত্ত্বিক MITM atrack এ:

ক্লায়েন্টের অনুরোধ পাবলিক কীগুলি> এমআইটিএম জাল ব্যক্তিগত কী উত্পন্ন করে > সার্ভার প্রাইভেট কীগুলি ধারণ করে, ক্লায়েন্টকে পাবলিক কী উত্পন্ন করে> এমআইটিএম মূল সার্ভার থেকে পাবলিক কীগুলি গ্রহণ করে, এখন, আমরা ক্লায়েন্টকে আমাদের নকল পাবলিক কীগুলি প্রেরণে মুক্ত এবং যখনই ক্লায়েন্টের কাছ থেকে অনুরোধ আসে, আমরা নকল কীগুলি দিয়ে ক্লায়েন্টের ডেটা ডিক্রিপ্ট করব, পে- লোড পরিবর্তন করব (বা এটি পড়ি) এবং মূল পাবলিক কীগুলি দিয়ে এমক্রিপ্ট করব> এমআইটিএম ক্লায়েন্টকে নকল পাবলিক কী প্রেরণ করে।

এটি টিএলএস-তে নির্ভরযোগ্য সিএ শংসাপত্র থাকার বিষয়টি এবং শংসাপত্রটি বৈধ না হলে আপনি ব্রাউজার সতর্কতা থেকে এই বার্তাটি পান receive

ও.পি. এর প্রতিক্রিয়া: আমার নম্র মতে আপনি এটি করতে পারবেন না, কারণ শীঘ্রই বা পরে, কেউ আপনার পরিষেবা থেকে কোনও ব্যবহারকারীর উপর আক্রমণ করতে চাইবে এবং আপনার প্রোটোকলটি ভাঙার চেষ্টা করবে।

তবে আপনি যা করতে পারেন তা হ'ল লোকদের একই পাসওয়ার্ড দিয়ে লগইন করার চেষ্টা থেকে বিরত রাখতে 2 এফএ প্রয়োগ করা। রিপ্লে আক্রমণগুলি সম্পর্কে সচেতন, যদিও।

আমি ক্রিপ্টোগ্রাফি নিয়ে দুর্দান্ত নই, আমি ভুল হলে আমাকে সংশোধন করুন।

লুকা ফেরি
সূত্র
মনে রাখবেন যে এই আলোচনাটি ২০০৯ সালের। এই সময়ে বেশিরভাগ সেরা অনুশীলন ছিল।
নটহাগো
4
@WNNHHugo আমি সচেতন আমি একটি উত্তর রেখে যাওয়ার সিদ্ধান্ত নিয়েছি কারণ এই প্রশ্নের শীর্ষ গুগল উত্তর আমাকে এখানে নিয়ে গেছে, তবে কেন নয়।
লুকা ফেরি
4

অন্য পোস্টারগুলি সঠিক। এখন আপনি এনক্রিপ্ট করতে এসএসএল ব্যবহার করছেন পাসওয়ার্ডের সংক্রমণ , নিশ্চিত হয়ে নিন যে আপনি এটি একটি ভাল অ্যালগরিদম এবং লবণের সাথে পাচ্ছেন তাই এটি যখন বিশ্রামে আসে তখনও সুরক্ষিত থাকে ...

গ্রসভোগেল
সূত্র
হ্যাঁ, আমি এটি উপলব্ধি করেছি, ধন্যবাদ, আমি কেবল এখানে সংক্রমণকেই উল্লেখ করছি।
নটহাগো
1

@ কোডডগ উদাহরণে সমস্যা রয়েছে ..

হ্যাঁ, আমি বিশ্বাস করতে পারি যে ব্যবহারকারীরা ক্যাফেরিয়া বাক্সে লগইন করবেন। আপনি যদি কোনও কর্পোরেট ক্যাফেটেরিয়া থেকে লগগুলি ক্যাপচার করেন তবে আপনি সুরক্ষা লঙ্ঘন। কর্পোরেট ক্যাফেরিয়াস বাক্সগুলি সেটআপ অক্ষম করা উচিত, উদাহরণস্বরূপ কোনও শর্তাদি নয়, কোনও লগার নেই, কোনও দূরবর্তী অ্যাক্সেস ইত্যাদি নেই, যাতে আপনাকে বাধা দিতে অভ্যন্তরের হ্যাকার।

কম্পিউটার অ্যাক্সেস সুরক্ষার জন্য উদাহরণটি নেটওয়ার্কের সুরক্ষার সাথে সত্যই সম্পর্কিত নয় is এটি ক্লায়েন্ট সাইড হ্যাশিংয়ের ন্যায়সঙ্গত হিসাবে সরবরাহ করা হয়েছে তবে আপনার কম্পিউটার অ্যাক্সেস থাকলে আপনি কেবল একটি কীস্ট্রোক লগার ব্যবহার করতে পারেন এবং এটি বাইপাস করতে পারেন। ক্লায়েন্ট সাইড হ্যাশ আবার অপ্রাসঙ্গিক। @ কোডডোগের উদাহরণটি একটি কম্পিউটার অ্যাক্সেস হ্যাক এবং নেটওয়ার্ক লেয়ার হ্যাকের থেকে পৃথক কৌশলগুলির প্রয়োজন।

এছাড়াও, একটি পাবলিক কম্পিউটার হ্যাক সিস্টেমকে হুমকী থেকে পঙ্গু করে সুরক্ষিত রয়েছে, যেমন উপরে উল্লিখিত রয়েছে। যেমন একটি পাবলিক ক্যাফেটেরিয়া কম্পিউটারের জন্য একটি ক্রোমবুক ব্যবহার করুন। কিন্তু এটি একটি শারীরিক দ্বারা বাইপাস করা হয় হ্যাককে । অফ আওয়ারের সময়, ক্যাফেটেরিয়ায় যান এবং ব্যবহারকারীরা কীবোর্ড টিপতে রেকর্ড করতে একটি গোপন ক্যামেরা সেটআপ করুন। তারপরে ক্যাফেরিয়া কম্পিউটারটি পঙ্গু হয়ে যায় বা কোন ধরণের এনক্রিপশন ব্যবহৃত হয় তা বিবেচ্য নয়।

শারীরিক স্তর -> কম্পিউটার স্তর -> ক্লায়েন্ট স্তর -> নেটওয়ার্ক স্তর -> সার্ভার স্তর

নেটওয়ার্কিংয়ের জন্য, আপনি যদি ক্লায়েন্টের পাশে হ্যাশ করেন তবে কিছু যায় আসে না কারণ https / ssl স্তরটি প্লেইন পাসডব্লুড এনক্রিপ্ট করবে। তাই অন্যরা যেমন ক্লায়েন্টের হ্যাশিং উল্লেখ করে যে টিএলএস সুরক্ষিত থাকে তা অতিরিক্ত।

রামকর্ল
সূত্র
4
আপনি ভাল পয়েন্টগুলি তৈরি করার সময়, আপনি একটি উত্তরের জবাব দিচ্ছেন (যা নিজেই জিজ্ঞাসিত প্রশ্নের সাথে প্রাসঙ্গিক নয়) সুতরাং স্ট্যাকওভারফ্লো প্রশ্নোত্তর মডেলটির পক্ষে সত্যিই উপযুক্ত নয়।
মার্টিন
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.