পাসওয়ার্ডে আমার কি সর্বোচ্চ দৈর্ঘ্য চাপানো উচিত?


162

আমি বুঝতে পারি যে পাসওয়ার্ডগুলিতে ন্যূনতম দৈর্ঘ্য চাপিয়ে দেওয়ার বিষয়টি অনেকটা অর্থবোধ করে (ব্যবহারকারীদের নিজের কাছ থেকে বাঁচাতে) তবে আমার ব্যাংকের একটি প্রয়োজনীয়তা রয়েছে যে পাসওয়ার্ডগুলি 6 থেকে 8 বর্ণের মধ্যে দীর্ঘ হয় এবং আমি ভাবতে শুরু করি ...

  • এটি কি কেবল নিষ্ঠুর বাহিনীর আক্রমণগুলির পক্ষে সহজ করে তুলবে না? (খারাপ)
  • এটি কি বোঝায় যে আমার পাসওয়ার্ডটি এনক্রিপ্ট না করে সংরক্ষণ করা হচ্ছে? (খারাপ)

যদি (আশাবাদী) কোনও ভাল আইটি সুরক্ষা পেশাদারদের সাথে কাজ করে তাদের পক্ষে সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য আরোপ করা হয়, তবে আমার কি অনুরূপ করার বিষয়ে চিন্তা করা উচিত? এর উপকারিতা / বিধিগুলি কী কী?


16
প্রায় অবশ্যই একটি "তিন ধর্মঘট এবং আপনি আউট" নীতি রয়েছে, যা একটি নিষ্ঠুর বাহিনীর আক্রমণের হুমকি দূর করে।
স্টু থম্পসন

23
আধুনিক দিনের ওয়েবসাইটগুলির মতো অ-উত্তরাধিকার ব্যবস্থাগুলির জন্য এটির জন্য কোনও অজুহাত নেই।
এমপারাজ

7
আমি মনে করি না উত্তরটি সম্পূর্ণ আইটি think ন্যূনতম আকার (6) এবং সর্বাধিক প্রয়াসের সীমাবদ্ধতা বন্য অনুমানগুলি নির্মূল করার "সম্ভাবনা"। আমার অনুমান যে সর্বাধিক আকার (8) হ'ল "ওফস আমি মাইকোডটি ভুলে যাই" বা "আমি দ্রুত কোডটি টাইপ করি" বা "আমি একটি অক্ষর ভুল টাইপ করি" - এর সমর্থনের কলটির সংখ্যা (এবং ফলস্বরূপ ব্যয়) সীমাবদ্ধ করে দেওয়া হয় ইত্যাদি কাগজ ছাড়াও যে পাসওয়ার্ডটিতে আপনি এটি পাসওয়ার্ডটি মনে করতে না পারলে তা লিখুন ..
আমাকে স্টিভ

17
বিশ্ববিদ্যালয়ে ভর্তি হওয়া নিখরচায় পাসওয়ার্ডের নিয়ম রয়েছে: 8 টি অক্ষর, কমপক্ষে 1 নম্বর, তবে পাসওয়ার্ডের শুরু বা শেষের দিকে নয়, কীবোর্ডের 2 টি উপরের সারির চেয়ে বেশি বর্ণের দরকার হয় ইত্যাদি etc. তারা এই নিয়মগুলি চালিয়ে ব্রুটফোর্সিংকে আরও সহজ করে তোলে। আমি আপনাকে বুঝতে পারি যে এই নির্বোধ, তবে দয়া করে এর মতো নির্বোধ বিধি তৈরি করবেন না! (এটি কেবলমাত্র আমার সিস্টেম থেকে বেরিয়ে আসতে হয়েছিল :))
cwap

17
@ কল কল যদি আপনি সেই কারণে সর্বাধিক দৈর্ঘ্য আরোপ করেন তবে আপনি আমার কাছ থেকে "আমি আমার পাসওয়ার্ড ভুলে গেছি" কলগুলি পেয়ে যাব কারণ আমার সাইট-অনন্য পাসওয়ার্ডগুলি দীর্ঘ long মনে নেই
রোমান স্টারকভ

উত্তর:


193

পাসওয়ার্ডগুলি হ'ল 32, 40, 128, দৈর্ঘ্য যাই হোক না কেন। নূন্যতম দৈর্ঘ্যের একমাত্র কারণ হ'ল পাসওয়ার্ডগুলি অনুমান করা সহজ prevent সর্বোচ্চ দৈর্ঘ্যের কোনও উদ্দেশ্য নেই purpose

বাধ্যতামূলক এক্সকেসিডি ব্যাখ্যা করছে যে আপনি যদি সর্বোচ্চ দৈর্ঘ্য আরোপ করেন তবে আপনি কেন আপনার ব্যবহারকারীর প্রতিবাদ করছেন:

বাধ্যতামূলক এক্সকেসিডি


6
সম্ভবত কোনও ব্যাংক পাসওয়ার্ড সীমাবদ্ধ করতে পছন্দ করতে পারে কারণ এটিএম এ আপনি 8 টি অক্ষরের চেয়ে বেশি ইনপুট করতে পারবেন না।
আন্দ্রে চেলেলা

11
অন্তত এটিএম-তে, যদি আপনি কোনও বর্বরোচিত আক্রমণ চালানোর চেষ্টা করেন তবে এটি আপনার কার্ডটি খাবে। আমি যা উল্লেখ করছি তা কেবল অনলাইনে লগইন করার জন্য পাসওয়ার্ড।
নিকফ

39
দুঃখজনকভাবে এটি ধরে নেয় যে পাসওয়ার্ডগুলি সর্বদা হ্যাশ হয়। সর্বাধিক দৈর্ঘ্যের পাসওয়ার্ডগুলি সরলরেখায় সংরক্ষণ করা পাসওয়ার্ডের একটি লক্ষণ।
jevon

14
দীর্ঘশ্বাস, এমনকি পেপালে , "সঠিক ঘোড়ার ব্যাটারি স্ট্যাপল" তাদের < সেন্সরড
রোমান

3
@ ক্লেইনফ্রিউন্ড কারণ এটি হ্যাশ করা থাকলে পাসওয়ার্ডের দৈর্ঘ্য তাদের পক্ষে কিছু যায় আসে না (হ্যাশ ফাংশনগুলি কোনও দৈর্ঘ্যের একটি স্ট্রিংকে একটি নির্দিষ্ট দৈর্ঘ্যে রূপান্তর করে )।
ভিকি চিজওয়ানি

75

একটি পাসওয়ার্ড ক্ষেত্রে নির্দিষ্ট সর্বাধিক দৈর্ঘ্যটি সিকিউরিটি সতর্কতা হিসাবে পড়তে হবে । যে কোনও বুদ্ধিমান, সুরক্ষিত সচেতন ব্যবহারকারীর অবশ্যই সবচেয়ে খারাপ ধারণা নিতে হবে এবং প্রত্যাশা করতে হবে যে এই সাইটটি আপনার পাসওয়ার্ডটি অক্ষরে অক্ষরে সংরক্ষণ করছে (অর্থাত্ হ্যাশ নয়, ইপোকল্ফের ব্যাখ্যা অনুসারে)।

যে ক্ষেত্রে হয়:

  1. যদি সম্ভব হয় তবে প্লাগের মতো এই সাইটটি ব্যবহার করা এড়িয়ে চলুন। তারা অবশ্যই সুরক্ষা সম্পর্কে কিছুই জানে না।
  2. আপনার যদি সত্যই সাইটটি ব্যবহার করতে হয় তবে নিশ্চিত হয়ে নিন যে আপনার পাসওয়ার্ডটি অনন্য - আপনি অন্য কোথাও ব্যবহার করেন এমন কোনও পাসওয়ার্ডের থেকে আলাদা।

আপনি একটি সাইট পাসওয়ার্ড গ্রহণ করে উন্নয়নশীল হয়, না , একটি নিরীহ পাসওয়ার্ড সীমা করা যদি না আপনি একই বুরুশ সঙ্গে tarred পেতে চান।

[অভ্যন্তরীণভাবে, অবশ্যই আপনার কোডটি প্রথম 256/1024/2 কে / 4 কে / (যাই হোক না কেন) বাইটগুলিকে "উল্লেখযোগ্য" হিসাবে বিবেচনা করতে পারে, যাতে প্রচুর পাসওয়ার্ডগুলিতে ক্রাচিং এড়ানোর জন্য নয়।]


17
আমি এই জাতীয় ওয়েবসাইটগুলিকে একটি স্ট্যান্ডার্ড ইমেলও প্রেরণ করি, উল্লেখ করে যে তারা আমাকে একটি ছোট, কম সুরক্ষিত পাসওয়ার্ড ব্যবহার করতে বাধ্য করেছিল, যে আমি এমন ওয়েবসাইটগুলিতে পুনরায় ব্যবহার করতে পারি যা এইরকম নির্বোধ সীমাবদ্ধতা আরোপ করে। এটি তাদের বুঝতে দেয় যে এটি একটি সমস্যা এবং জো কোডারকে উচ্চ-আপগুলি দেখানোর জন্য কিছু উপার্জন দিতে পারে: প্রমাণ হিসাবে প্রমাণিত হয়েছে যে ব্যবহারকারীরা প্রকৃতপক্ষে এটির ফলাফল হিসাবে ওয়েবসাইট সম্পর্কে খারাপ ধারণা করে।
রোমান স্টারকভ

3
আমি নিশ্চিত নই যে আপনার মনে করা উচিত যে কোনও পাসওয়ার্ডের সর্বাধিক অর্থ তারা সরল পাঠ্য পাসওয়ার্ড সংরক্ষণ করে। কখনও কখনও, তারা ইনপুট কেটে ফেলা হয় এবং কেবল প্রথম x অক্ষরটিকে হ্যাশিং () এ প্রবেশ করে। (চেক করার উপায়টি সীমা ছাড়িয়ে একটি পাসওয়ার্ড সেট করে, তারপরে সর্বাধিক দৈর্ঘ্যের বাইরে পাসওয়ার্ডের অক্ষরের ভিন্নতার সাথে লগইন করার চেষ্টা করুন)।
বেঞ্চ

5
@ বেঙ্ক নিশ্চিত, এটি সম্ভব, তবে মূল বিষয়টি হ'ল একজন ব্যবহারকারী হিসাবে আপনার জানার কোনও উপায় নেই যে তারা এটিই করছে কিনা। সর্বাধিক দৈর্ঘ্য (বিশেষত একটি সংক্ষিপ্ততম) হ'ল একটি সতর্কতা চিহ্ন এবং আমার মনে হয় সবচেয়ে খারাপ অনুমান করা ভাল (বা সরবরাহকারীর সাথে তাদের যোগাযোগ নিশ্চিত হওয়া নিশ্চিত করুন) best
তারদেট

1
সম্প্রসারিত করুন. এই উত্তরটি নিছক বক্তব্য।
ক্লিনফ্রেন্ড

1
সর্বাধিক পাসওয়ার্ডের অর্থ এই নয় যে এটি সরল পাঠ্য হিসাবে সংরক্ষণ করা হচ্ছে; এটি প্রযুক্তিগত কারণে হতে পারে, উদাহরণস্বরূপ, bcrypt কেবলমাত্র 72 টি অক্ষর পর্যন্ত পাসওয়ার্ডের অনুমতি দেয়।
ইমোরিস

58

আপনি যদি অবিশ্বস্ত উত্স থেকে পাসওয়ার্ডটি গ্রহণ করেন তবে সম্পূর্ণ আনবাউন্ডেড পাসওয়ার্ড দৈর্ঘ্যের অনুমতি দেওয়াতে একটি বড় অসুবিধা রয়েছে।

প্রেরক আপনাকে এত দীর্ঘ পাসওয়ার্ড দেওয়ার চেষ্টা করতে পারে যার ফলশ্রুতিতে এটি অন্য ব্যক্তির জন্য পরিষেবা অস্বীকার করে। উদাহরণস্বরূপ, যদি পাসওয়ার্ডটি 1 জিবি ডেটা হয় এবং আপনি আপনার সমস্ত সময় ব্যয় করেন যতক্ষণ না আপনার স্মৃতিশক্তি শেষ হয়ে যায়। এখন ধরুন আপনি গ্রহণ করতে ইচ্ছুক এই ব্যক্তি আপনাকে এই পাসওয়ার্ডটি যতবার পাঠায়। যদি আপনি জড়িত অন্যান্য পরামিতিগুলি সম্পর্কে সতর্ক না হন তবে এটি কোনও ডস আক্রমণ করতে পারে।

উপরের সীমাটি 256 অক্ষরের মতো কিছুতে সেট করা আজকের মানদণ্ডে অত্যধিক উদার বলে মনে হচ্ছে।


35
আপনি এখনও সীমাবদ্ধতার সাথে 1 জিবি ডেটা প্রেরণ করতে পারেন। সীমাবদ্ধ করা সফ্টওয়্যারটি প্রায়শই ওয়েবসারভারের পিছনে থাকে।
epochwolf

6
আপনি এখনও গণনামূলকভাবে নিবিড় কিছু করার আগে প্রথম 256chars বাদে সমস্ত বাদ দিতে পারেন। 1 জিবি ডেটাতে একটি শ হ্যাশ চালানো 256 অক্ষরে একই হ্যাশের থেকে অনেক বেশি সময় নিতে চলেছে ।
rcreswick

2
@ আইয়াল: ওয়েব অ্যাপ্লিকেশনটির ক্লায়েন্টের পক্ষে যা কিছু ঘটে তা সহজাতভাবে অবিশ্বস্ত; সুতরাং, হ্যাশটি পাসওয়ার্ডের সমতুল্য হয়ে ওঠে, এটি এটিকে নিরর্থকতার অনুশীলন করে তোলে। (কোনও ওয়েব ব্রাউজার সম্ভবত 1-জিবি পাঠ্য ইনপুট গ্রহণ করবে না এবং একটি কাস্টম ক্লায়েন্ট "থিসিথশেডপ্যাসওয়ার্ড" ফর্ম ক্ষেত্রে 1-জিবি স্ট্রিং প্রেরণ করতে পারে)
পিসকভর

4
@ পিসকোভার: তবে যাইহোক 1 জিবি স্ট্রিং প্রতিরোধের কোনও উপায় নেই। একজন ব্যবহারকারী সর্বদা উদাহরণ . com/ ? password=abcabcabcabc ... এর জন্য অনুরোধ করতে পারেন এবং তার অনুরোধটি তার চেয়ে বড় করতে পারেন। স্ট্যান্ডার্ড ডস।
ইয়াল

4
@ পিসকভর এবং আইয়াল, সৌভাগ্যক্রমে, আপাচি এবং আইআইএস (এবং সম্ভবত অন্যান্য পরিপক্ক সার্ভার) ইউআরএলগুলির মধ্য দিয়ে উত্তীর্ণ ক্ষেত্রগুলির দৈর্ঘ্য সীমাবদ্ধ করেছে: boutell.com/newfaq/misc/urleleth.html
সাম্পাব্লুকপার

21

প্রথমত, ধরে নিবেন না যে ব্যাঙ্কগুলির জন্য তাদের পক্ষে ভাল আইটি সুরক্ষা পেশাদার রয়েছে। প্রচুর না

এটি বলেছে, সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য মূল্যহীন। ব্যবহারকারীদের প্রায়শই একটি নতুন পাসওয়ার্ড তৈরি করা প্রয়োজন (প্রতিটি সাইটে মুহুর্তের জন্য আলাদা আলাদা পাসওয়ার্ড ব্যবহারের মূল্য সম্পর্কে তর্ক), যা তারা কেবল তাদের লিখে রাখার সম্ভাবনা বাড়িয়ে তোলে। এটি ব্রুট ফোর্স থেকে সোশ্যাল ইঞ্জিনিয়ারিং পর্যন্ত যে কোনও ভেক্টর দ্বারা আক্রমণ করার সংবেদনশীলতাও ব্যাপকভাবে বৃদ্ধি করে।


একমত! গত কয়েক বছরের ইউকে ব্যাংক অনলাইন অ্যাক্সেস সুরক্ষা ব্যর্থতার স্ট্রিংটি দেখুন ...
স্টু থম্পসন

6
আমি ইতিমধ্যে একটি স্কিমের মাধ্যমে প্রতিটি ওয়েবসাইটে আলাদা পাসওয়ার্ড ব্যবহার করেছি যা আমাকে সেগুলি সব মনে রাখতে দেয় তবে সেগুলি সমস্ত দীর্ঘ rather আমি যে পাসওয়ার্ডগুলিকে স্টিকি নোটগুলিতে লিখি কেবল সেগুলি হ'ল মরোনিক সর্বাধিক দৈর্ঘ্যের সীমাবদ্ধতা আরোপ করে এবং এভাবে আমাকে আমার পছন্দসই এখনও অনন্য পাসওয়ার্ড থেকে দূরে সরিয়ে দেয় ...
রোমান স্টারকভ

@romkyns আমি কি আপনার প্রকল্পটি প্রতীক ব্যবহার করে না? আমার এমন স্কিম একবার ছিল যা একবারে ছোট থেকে শক্ত জোর পাসওয়ার্ড তৈরি করেছিল, তবে আমি যখন 10-10% সাইট ব্যবহার করেছি সেগুলি সাধারণ বিশেষ অক্ষরগুলি নিষিদ্ধ করেছিল তখন আমাকে এটিকে ত্যাগ করতে হয়েছিল।
স্পার

কোনও বিশেষ অক্ষর নেই, না, তবে এটি সর্বদা সংখ্যার এবং বড় হাতের অক্ষর যুক্ত করে, কারণ আমি জানতাম যে কয়েকটি সাইট এটির দাবি করে। আমি যখন এটির সামনে এসেছি সর্বাধিক দৈর্ঘ্যের সীমা সম্পর্কে আমি জানতে পারতাম ... তবে নিকটাত্মীয়দের জন্য আমি যে (সরল) স্কিমগুলি তৈরি করেছি সেগুলি এখনও অবধি সঠিকভাবে কাজ করেছে!
রোমান স্টারকভ

1
@ এই জাতীয় প্রকল্পগুলির সাথে অন্যান্য সমস্যাগুলিও রয়েছে: পাসওয়ার্ডগুলি ভাগ করে নেওয়ার সাইটগুলি। যদি আপনার স্কিমটি নামফওয়েবসাইটফও0 (গুগলফओ0 ইয়াহোফো0 ইত্যাদি) এর মতো কিছু হয় তবে আপনি কীভাবে মনে রাখবেন যে আপনি ফ্লিকার.কম এ "ইয়াহোফফ00" ব্যবহার করবেন, অথবা জিজ্ঞাসাবান্টু ডট কম এ স্ট্যাকওভারফ্লোফোন0 ব্যবহার করবেন? সাইটগুলি যা পাসওয়ার্ডের মেয়াদ শেষ করে। তারপরে আপনাকে এমন একটি অংশ অন্তর্ভুক্ত করতে স্কিমটি প্রসারিত করতে হবে যা পরিবর্তন করতে পারে। মেয়াদ শেষ হওয়ার নিয়ম সাবস্ট্রিংগুলির জন্য পরীক্ষা করে তবে এটি ব্যর্থ হয়।
স্পার

13

সর্বোচ্চ পাসওয়ার্ডের দৈর্ঘ্য 128 টিরও কম অক্ষরের চেয়ে কম সেট করা এখন OWASP প্রমাণীকরণ চিট শীট দ্বারা নিরুৎসাহিত করা হয়েছে

https://www.owasp.org/index.php/Authentication_Cheat_Sheet

পুরো অনুচ্ছেদের উদ্ধৃতি:

দীর্ঘ পাসওয়ার্ডগুলি অক্ষরের একটি বৃহত্তর সংমিশ্রণ সরবরাহ করে এবং ফলস্বরূপ আক্রমণকারীর পক্ষে অনুমান করা আরও কঠিন করে তোলে।

পাসওয়ার্ডগুলির সর্বনিম্ন দৈর্ঘ্য প্রয়োগের মাধ্যমে প্রয়োগ করা উচিত। 10 টির চেয়ে কম অক্ষরের পাসওয়ার্ডকে দুর্বল বলে মনে করা হয় ([1])। যদিও ন্যূনতম দৈর্ঘ্যের প্রয়োগের ফলে কিছু ব্যবহারকারীর মধ্যে পাসওয়ার্ড মুখস্থ করতে সমস্যা হতে পারে তবে অ্যাপ্লিকেশনগুলিকে তাদের পাসফ্রেস (বাক্য বা শব্দের সংমিশ্রণ) সেট করতে উত্সাহিত করা উচিত যা সাধারণত পাসওয়ার্ডের চেয়ে বেশি দীর্ঘ এবং মনে রাখা আরও সহজ হতে পারে।

সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য খুব কম সেট করা উচিত নয়, কারণ এটি ব্যবহারকারীদের পাসফ্রেস তৈরি করা থেকে বিরত রাখবে। সাধারণত সর্বোচ্চ দৈর্ঘ্য 128 টি অক্ষর। 20 টির চেয়ে কম অক্ষরের পাসফ্রেজগুলি সাধারণত দুর্বল হিসাবে বিবেচিত হয় যদি সেগুলিতে কেবল ছোট ক্ষেত্রে ল্যাটিন বর্ণ থাকে। প্রতিটি চরিত্র গণনা করে !!

নিশ্চিত করুন যে ব্যবহারকারীরা যে অক্ষরটি টাইপ করে তা প্রকৃতপক্ষে পাসওয়ার্ডে অন্তর্ভুক্ত রয়েছে। আমরা এমন সিস্টেমগুলি দেখেছি যা ব্যবহারকারীরা সরবরাহ করে তার চেয়ে কম দৈর্ঘ্যে পাসওয়ার্ড কেটে দেয় (উদাহরণস্বরূপ, তারা 20-এ প্রবেশ করার সময় 15 টি অক্ষরে কাটা হয়েছে)। এটি সাধারণত সমস্ত পাসওয়ার্ড ইনপুট ক্ষেত্রগুলির দৈর্ঘ্যকে সর্বোচ্চ দৈর্ঘ্যের পাসওয়ার্ডের ঠিক একই দৈর্ঘ্য হিসাবে সেট করে পরিচালনা করা হয়। আপনার সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য যদি 20-30 অক্ষরের মতো হয় তবে এটি বিশেষত গুরুত্বপূর্ণ।


11
এই উত্সটি সর্বাধিক পাসওয়ার্ড দৈর্ঘ্যের সীমাটিকে নিরুৎসাহিত করে না, এটি কম পাসওয়ার্ডের দৈর্ঘ্যের সীমাটি (128 টির চেয়ে কম বর্ণের) নিরুৎসাহিত করে।
ম্যাথু

9

সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য প্রয়োগের জন্য আমি কল্পনা করতে পারি তার একটি কারণ হ'ল যদি সীমান্তটি অবশ্যই বহু উত্তরাধিকারী সিস্টেমের ব্যাককেডগুলির সাথে ইন্টারফেস করে, যার মধ্যে একটি নিজে নিজেই একটি সর্বোচ্চ পাসওয়ার্ড দৈর্ঘ্য প্রয়োগ করে en

আরেকটি চিন্তাভাবনা প্রক্রিয়াটি হতে পারে যে কোনও ব্যবহারকারী যদি সংক্ষিপ্ত পাসওয়ার্ড নিয়ে যেতে বাধ্য হয় তবে তারা সহজেই অনুমান করা (তাদের বন্ধুবান্ধব / পরিবার দ্বারা) ক্যাচ-বাক্যাংশ বা ডাকনামের চেয়ে এলোমেলো গীব্রিশ উদ্ভাবন করতে পারে। এই পন্থাটি কেবল তখনই কার্যকর যদি ফ্রন্টএন্ডটি সংখ্যা / বর্ণগুলি মিক্সিংয়ের জন্য প্রয়োগ করে এবং পাসওয়ার্ডগুলিকে প্রত্যাখ্যান করে যা কোনও অভিধান শব্দ রয়েছে, যার মধ্যে l33t-স্পোকে লিখিত শব্দগুলি রয়েছে।


1
বোধগম্য হওয়ার পরেও লিগ্যাসি সিস্টেমগুলিকে মাঝে মাঝে নকশার নির্দেশ দিতে হয়। যেদিকেই সম্ভব তাদের এটিকে প্রভাবিত করা উচিত নয়। একটি নতুন সিস্টেমে আপনি শেষ জিনিসটি চান সেটি হল সুরক্ষা নীতি যা আধুনিক সুরক্ষা আক্রমণগুলি এমনকি সাধারণ হওয়ার আগে তৈরি হয়েছিল designed বা আরও খারাপ, নতুন সফ্টওয়্যার তবে ভুল জায়গায় প্রথম জায়গায় নকশা করা হয়েছে। একটি বিদ্যমান কর্পোরেট সিস্টেমটি এইচটিটিপি ব্যবহার করতে পারে তবে নতুন সিস্টেম বা এক্সটেনশনে এসএসএল ব্যবহার না করার কোনও যৌক্তিকতা নেই। তেমনিভাবে, পাসওয়ার্ড নীতিগুলি কেবল দুর্বল হওয়ার কারণে অবিরত হওয়া উচিত নয় কারণ সর্বশেষ লোকেরা এটি ভুল করেছে nd এবং যদি তা রাখে, তবে এখানে একটি বিশাল ব্যয় / বেনিফিট স্টাডি থাকতে পারে।
ক্যাটাস্টিক ভয়েজ

6

সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য আরোপের এক সম্ভাব্য বৈধ কারণ হ্যাশ করার প্রক্রিয়াটি (বিসিআরপিটের মতো ধীর হ্যাশিং ফাংশন ব্যবহারের ফলে) খুব বেশি সময় নেয়; সার্ভারের বিরুদ্ধে কোনও ডস আক্রমণ চালানোর জন্য এমন কিছু যা আপত্তিজনক হতে পারে।

তারপরে আবার সার্ভারগুলি অনুরোধ হ্যান্ডলারগুলিকে স্বয়ংক্রিয়ভাবে ড্রপ করতে কনফিগার করা উচিত যা খুব বেশি সময় নেয়। সুতরাং আমি সন্দেহ করি এটি অনেকটা সমস্যা হতে পারে।


4

আমি মনে করি আপনি বুলেট পয়েন্ট উভয়ই ঠিক আছে। যদি তারা পাসওয়ার্ডগুলি হ্যাশ করে রাখে, যেমন তাদের করা উচিত, তবে পাসওয়ার্ডের দৈর্ঘ্য তাদের ডিবি স্কিমাকে প্রভাবিত করে না। একটি ওপেন-এন্ড পাসওয়ার্ডের দৈর্ঘ্য থাকাতে আরও একটি ভেরিয়েবল ছুঁড়ে যায় যা একজন ব্রুট-ফোর্স আক্রমণকারীকে জবাবদিহি করতে হয়।

খারাপ ডিজাইনের পাশাপাশি পাসওয়ার্ডের দৈর্ঘ্য সীমাবদ্ধ করার কোনও অজুহাত দেখা মুশকিল।


3

সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্যে কেবলমাত্র আমিই দেখতে পাচ্ছি তা হ'ল অতি দীর্ঘ পাসওয়ার্ডের কারণে বাফার ওভারফ্লো আক্রমণের ঝুঁকি দূর করা, তবে সেই পরিস্থিতিটি পরিচালনা করার আরও অনেক ভাল উপায় আছে।


1
সর্বাধিক ইনপুট দৈর্ঘ্য হওয়া উচিত, হ্যাঁ, তবে এটি অবশ্যই <64 হওয়া উচিত নয় 8 8 বা 12 সর্বাধিক দৈর্ঘ্য কেবল হাস্যকর।
ড্যান বেচার্ড

2

দীর্ঘ পাসওয়ার্ডগুলি বৈধতা না দেওয়ার জন্য লোকদের উপেক্ষা করুন। ওওয়াস্প আক্ষরিকভাবে বলেছে যে 128 টির জন্য যথেষ্ট হওয়া উচিত। কেবল পর্যাপ্ত শ্বাস প্রশ্বাসের স্থান দেওয়ার জন্য আপনি যদি কিছু মনে করেন তবে 300, 250, 500 বলুন।

https://www.owasp.org/index.php/Authentication_Cheat_Sheet#Password_Length

পাসওয়ার্ড দৈর্ঘ্য দীর্ঘ পাসওয়ার্ডগুলি অক্ষরের একটি বৃহত্তর সংমিশ্রণ সরবরাহ করে এবং ফলস্বরূপ আক্রমণকারীর পক্ষে অনুমান করা আরও কঠিন করে তোলে।

...

সর্বাধিক পাসওয়ার্ডের দৈর্ঘ্য খুব কম সেট করা উচিত নয়, কারণ এটি ব্যবহারকারীদের পাসফ্রেস তৈরি করা থেকে বিরত রাখবে। সাধারণত সর্বোচ্চ দৈর্ঘ্য 128 টি অক্ষর । 20 টির চেয়ে কম অক্ষরের পাসফ্রেজগুলি সাধারণত দুর্বল হিসাবে বিবেচিত হয় যদি সেগুলিতে কেবল ছোট ক্ষেত্রে ল্যাটিন বর্ণ থাকে।


আলোচনার সাথে প্রাসঙ্গিক নয়। প্রশ্নটি হল 128 যথেষ্ট কিনা তা দৈর্ঘ্য সীমাবদ্ধ করার কোনও সুবিধা আছে কিনা।
ভিক্কি

1

স্টোরেজ সস্তা, কেন পাসওয়ার্ডের দৈর্ঘ্য সীমিত করুন। এমনকি আপনি যদি পাসওয়ার্ডটি হ্যাশ করার বিপরীতে এনক্রিপ্ট করে থাকেন তবে একটি 64 অক্ষরের স্ট্রিংটি এনক্রিপ্ট করতে 6 টি অক্ষরের স্ট্রিংয়ের চেয়ে বেশি কিছু নেয় না।

সম্ভাবনা হ'ল ব্যাংক সিস্টেমটি কোনও পুরানো সিস্টেমকে ওভারলাই করছে তাই তারা কেবল পাসওয়ার্ডের জন্য নির্দিষ্ট পরিমাণের জন্য অনুমতি দিতে সক্ষম হয়েছিল।


9
খুব কার্যকর বৈধ কারণ না থাকলে পাসওয়ার্ডগুলি হ্যাশ করা উচিত। হ্যাশগুলির ফলস্বরূপ স্থির দৈর্ঘ্যের স্ট্রিং থাকে। ব্যবস্থা করার জন্য স্থান যুক্তি নেই, যদি না সিস্টেম প্রকৃত পাসওয়ার্ডটি সংরক্ষণ করে, যা তাত্ক্ষণিকভাবে একটি ভয়ানক ধারণা।
স্টু থম্পসন

8
পাসওয়ার্ড এনক্রিপ্ট করা একটি ভয়ঙ্কর ধারণা। একজন বেscমান কর্মচারী আপনাকে গ্যাজিলিয়ন পাসওয়ার্ড ফাঁস করতে লাগে takes এটিকে প্রথম স্থানে না রেখে সমস্যাটি সংরক্ষণ করুন।
রোমান স্টারকভ

1

আমার ব্যাংকও এটি করে। এটি যে কোনও পাসওয়ার্ডের অনুমতি দেয় এবং আমার একটি 20 অক্ষর ছিল। একদিন আমি এটি পরিবর্তন করেছি, এবং দেখুন এবং এটি আমাকে সর্বাধিক 8 দিয়েছে এবং আমার পুরানো পাসওয়ার্ডে অ-অক্ষর অক্ষরগুলি কেটে ফেলেছিল। আমার কাছে কোনও বোধগম্য হয়নি।

ব্যাঙ্কের সমস্ত ব্যাক-এন্ড সিস্টেমগুলি আগে যখন আমি আমার 20 চরের পাসওয়ার্ডটি অ অ্যালफा-সংখ্যাসহ ব্যবহার করতাম তখন কাজ করেছিল, সুতরাং উত্তরাধিকার সমর্থন কারণ হতে পারে না। এমনকি এটি থাকলেও তাদের এখনও আপনার যথেচ্ছ পাসওয়ার্ড থাকার অনুমতি দেওয়া উচিত এবং তারপরে একটি হ্যাশ তৈরি করা উচিত যা উত্তরাধিকার ব্যবস্থাগুলির প্রয়োজনীয়তার সাথে খাপ খায়। আরও ভাল, তাদের উত্তরাধিকার ব্যবস্থা ঠিক করা উচিত।

একটি স্মার্ট কার্ড সমাধান আমার সাথে ভাল যাবে না। আমার কাছে ইতিমধ্যে প্রচুর কার্ড রয়েছে ... আমার আর কোনও গিমিক দরকার নেই।


তারা গুরুত্বপূর্ণ কী স্পেস কেটে দেয় যা জোর ফোর্সের আক্রমণে সময়মতো দীর্ঘায়িত হয় (এবং আমি যখন বলতে চাইছি) তাদের হ্যাশগুলির ডেটাবেস চুরি হয়ে গেছে (ধরে নিলাম তারা লবণ / হ্যাশ / প্রসারিত করে, আমি নিশ্চিত যে তারা তা করে না)। ব্যাংক পরিবর্তন করার সময়
ক্রিস গোমেজ

1

আপনি যদি একটি স্বেচ্ছাকৃতির আকারের পাসওয়ার্ড গ্রহণ করেন তবে কেউ ধরে নেন যে এটি হ্যাশ হওয়ার আগে পারফরম্যান্সের কারণে এটি একটি পর্দার দৈর্ঘ্যে কাটা হচ্ছে। কেটে যাওয়ার সমস্যাটি হ'ল সময়ের সাথে সাথে আপনার সার্ভারের কার্যকারিতা বাড়ার সাথে সাথে আপনি কাটা কাটার আগে দৈর্ঘ্য সহজেই বাড়িয়ে তুলতে পারবেন না কারণ এর হ্যাশটি স্পষ্টভাবে আলাদা হবে। অবশ্যই আপনার একটি সংক্রমণের সময় থাকতে পারে যেখানে উভয় দৈর্ঘ্য হ্যাশ এবং চেক করা হয় তবে এটি আরও সংস্থান ব্যবহার করে।


1

প্রয়োজন না হলে কোনও সীমাবদ্ধতা আরোপের চেষ্টা করবেন না। সতর্কতা অবলম্বন করুন: এটি বিভিন্ন ক্ষেত্রে প্রচুর ক্ষেত্রে প্রয়োজনীয় এবং প্রয়োজনীয় হতে পারে। উত্তরাধিকার ব্যবস্থাগুলি নিয়ে কাজ করা এই অন্যতম কারণ। নিশ্চিত হয়ে নিন যে আপনি খুব দীর্ঘ পাসওয়ার্ডের ক্ষেত্রে ভালভাবে পরীক্ষা করেছেন (আপনার সিস্টেমটি 10MB দীর্ঘ পাসওয়ার্ডগুলির সাথে ডিল করতে পারে?) আপনি সার্ভিস (ডওস) সমস্যা অস্বীকার করতে পারেন কারণ আপনি যে কী ডিফিলিয়েশন ফাংশন (কেডিএফ) ব্যবহার করবেন (সাধারণত পিবিকেডিএফ 2, বিসিআরপিট, স্ক্রিপ্ট) অনেক সময় এবং সংস্থান গ্রহণ করবে। বাস্তব জীবনের উদাহরণ: http://arstechnica.com/security/2013/09/long-passwords-are-good-but-too-much-length-can-be-bad- for- সুরক্ষা/


0

সর্বোচ্চ দৈর্ঘ্য হওয়া উচিত? এটি আইটি-তে একটি কৌতূহলপূর্ণ বিষয়, দীর্ঘতর পাসওয়ার্ডগুলি মনে রাখা সাধারণত কঠিন এবং তাই লিখিত হওয়ার সম্ভাবনা বেশি থাকে (স্পষ্ট কারণে বিআইজি নং-না)। দীর্ঘ পাসওয়ার্ডগুলি আরও ভুলে যাওয়ার ঝোঁক থাকে, এটি সুরক্ষার ঝুঁকি নয়, প্রশাসনিক ঝামেলা সৃষ্টি করতে পারে, উত্পাদনশীলতা হারাতে পারে etc. ইত্যাদি প্রশাসকরা যারা বিশ্বাস করেন যে এই সমস্যাগুলি চাপছে তারা সম্ভবত পাসওয়ার্ডে সর্বোচ্চ দৈর্ঘ্য চাপিয়ে দেবে।

আমি ব্যক্তিগতভাবে এই নির্দিষ্ট সমস্যাটিতে প্রতিটি ব্যবহারকারীকে তাদের নিজস্ব বিশ্বাস করি। আপনি যদি মনে করেন যে আপনি একটি 40 টি অক্ষরের পাসওয়ার্ড মনে করতে পারেন, তবে আপনার কাছে আরও শক্তি!

যদিও বলা হয়েছে যে, পাসওয়ার্ডগুলি দ্রুত সুরক্ষার একটি পুরানো মোডে পরিণত হচ্ছে, স্মার্ট কার্ড এবং শংসাপত্র প্রমাণীকরণ কার্যকরভাবে জোর করা অসম্ভবকে কঠিন হিসাবে প্রমাণিত হয়েছে যেহেতু এটি একটি ইস্যু, এবং কেবলমাত্র একটি সার্বজনিক কী প্রাইভেটের সাথে সার্ভারের শেষে সংরক্ষণ করা উচিত prove আপনার কার্ড / কম্পিউটারে সর্বদা কী।


লোকেরা সহজেই একটি প্রিয় গানের লিরিক, বাইবেল শ্লোক বা অন্যান্য উক্তিটি মনে রাখতে পারে। যারা খুব দীর্ঘ একটি টিপিক্যাল পাসওয়ার্ড তুলনায়। আমি মাত্র একটি পরীক্ষা করেছি এবং characters৯ টি অক্ষরে এসেছি! (মঞ্জুর, ভুলের সম্ভাবনা যত বেশি পাসফ্রেজ হয় তত বেশি বাড়িয়ে দেয় Even আরও বেশি খারাপ যখন কোনও স্টুপিড ওয়েবসাইট আপনাকে পাসওয়ার্ড বাক্সে প্রবেশ করা শেষ চরিত্রটি না দেখায়))
ক্যাটাস্টিক ভয়েজ

0

দীর্ঘ পাসওয়ার্ড বা পাস-বাক্যাংশগুলি কেবল দৈর্ঘ্যের উপর ভিত্তি করে ক্র্যাক করা শক্ত এবং জটিল পাসওয়ার্ডের চেয়ে মনে রাখা সহজ।

দৈর্ঘ্যটিকে অকেজো করে সীমাবদ্ধ করে মোটামুটি দীর্ঘ (10+) ন্যূনতম দৈর্ঘ্যের জন্য সবচেয়ে ভাল best


0

লিগ্যাসি সিস্টেমগুলি (ইতিমধ্যে উল্লিখিত) বা বিক্রেতার সিস্টেমগুলির বাইরের ইন্টারফেসিংয়ের জন্য 8 টি অক্ষরের ক্যাপ লাগতে পারে। এটি ব্যবহারকারীদের নিজের থেকে বাঁচানোর একটি বিভ্রান্ত প্রচেষ্টা হতে পারে attempt ফ্যাশনে এটিকে সীমাবদ্ধ রাখার ফলে সিস্টেমে প্রচুর pssw0rd1, pssw0rd2, ইত্যাদি পাসওয়ার্ড আসবে।


0

পাসওয়ার্ডগুলি হ্যাশ না হওয়ার একটি কারণ হ'ল প্রমাণীকরণ আলগোরিদম ব্যবহৃত। উদাহরণস্বরূপ, কিছু হজম অ্যালগরিদম সার্ভারে পাসওয়ার্ডের একটি সরল সংস্করণ প্রয়োজন কারণ প্রমাণীকরণ পদ্ধতিতে ক্লায়েন্ট এবং সার্ভার উভয়ই প্রবেশ করা পাসওয়ার্ডে একই গণিত সম্পাদন করে (যা সাধারণত পাসওয়ার্ড হিসাবে প্রতিবার একই আউটপুট উত্পাদন করে না এলোমেলোভাবে উত্পাদিত 'ননস' এর সাথে মিলিত হয়, যা দুটি মেশিনের মধ্যে ভাগ করা হয়)।

প্রায়শই এটি শক্তিশালী হতে পারে কারণ ডাইজেস্টকে কিছু ক্ষেত্রে অংশ হিসাবে গণনা করা যায়, তবে সবসময় নয়। পাসওয়ার্ডকে বিপরীতমুখী এনক্রিপশন সহ সঞ্চয় করার জন্য একটি আরও ভাল রুট হ'ল - এর অর্থ হল অ্যাপ্লিকেশন উত্সগুলি সুরক্ষিত করা দরকার কারণ সেগুলিতে এনক্রিপশন কী থাকবে।

অন্যথায় এনক্রিপ্ট করা চ্যানেলগুলির উপরে প্রমাণীকরণের অনুমতি দেওয়ার জন্য ডিগস্ট এথ রয়েছে। যদি এসএসএল বা অন্য কয়েকটি পূর্ণ-চ্যানেল এনক্রিপশন ব্যবহার করা হয়, তবে ডাইজেস্ট অথথ মেকানিজম ব্যবহার করার দরকার নেই, অর্থাত পাসওয়ার্ডগুলি হ্যাশ সংরক্ষণ করা যায় (যেহেতু পাসওয়ার্ডগুলি নিরাপদে তার প্রদত্ত মূল্যের জন্য) তারের উপর দিয়ে সরলীকৃত পাঠানো যেতে পারে।


-4

মাত্র 8 টি চর দীর্ঘ পাসওয়ার্ড সোজা ভুল বলে মনে হচ্ছে। যদি কোনও সীমা থাকা উচিত, তবে কমপক্ষে 20 চর আরও ভাল ধারণা।


3
তবে এটি জিনিস - কোনও সীমা থাকা উচিত নয়।
লুক স্টিভেনসন

-4

আমি মনে করি যে কেবলমাত্র সীমা প্রয়োগ করা উচিত তা হ'ল 2000 বর্ণের সীমা, বা অন্য কিছু খুব উচ্চ মাত্রার মতো তবে কেবল ডাটাবেসের আকার সীমাবদ্ধ করতে যদি এটি সমস্যা হয়


9
পাসওয়ার্ডগুলি হ্যাশ করা উচিত ... এবং ডাটাবেস আকার হ'ল সমস্যাটি পাসওয়ার্ডটি হ্যাশ করা হবে না।
Epochwolf

4
@ পেচওল্ফ - পাসওয়ার্ডগুলি সর্বদা হ্যাশ করা উচিত নয় এর একটি কারণ সম্পর্কে আমি ভাবতে পারি (কারণ এটি আমি নিজেই আজ আবিষ্কার করেছি): ব্যবহারকারীর পক্ষে তৃতীয় পক্ষের কাছে জমা দেওয়া দরকার এমন একটি পাসওয়ার্ড হ্যাশ হিসাবে সংরক্ষণ করা যায় না মান। [উদাহরণস্বরূপ এমন একটি অ্যাপ্লিকেশন যাতে কোনও বাহ্যিক ডোমেনের মাধ্যমে ইমেল প্রেরণের জন্য শংসাপত্র সংরক্ষণ করতে হবে]]
কেনি এভিট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.