অ-গণিতবিদদের জন্য পাসওয়ার্ড সুরক্ষা প্রমাণ করার কোনও মানক পদ্ধতি আছে?

আমার ক্লায়েন্টের একটি সার্ভার রয়েছে যা বোটনেট থেকে ব্রুট-ফোর্স লগইন প্রচেষ্টা চালিত হচ্ছে। সার্ভার এবং ক্লায়েন্টের ক্লায়েন্টের অনিয়মের কারণে আমরা ফায়ারওয়াল, পোর্ট পরিবর্তন বা লগইন অ্যাকাউন্টের নাম পরিবর্তনের মাধ্যমে প্রচেষ্টাগুলি সহজেই আটকাতে পারি না।

এটিকে আক্রমণ করার জন্য উন্মুক্ত রাখার সিদ্ধান্ত নেওয়া হয়েছে, তবে পাসওয়ার্ডটি সুরক্ষিত রাখার একটি পদ্ধতি খুঁজে নিন। পরিচালনা এবং অন্যান্য পরামর্শদাতাদের মধ্যে কয়েকজন নির্ধারণ করেছেন যে করণীয় হ'ল সর্বোত্তম কাজ হ'ল পাসওয়ার্ড প্রতি দশ মিনিটে পাসওয়ার্ড ঘোরানোর জন্য পাসওয়ার্ড রোটেশন সফ্টওয়্যার ইনস্টল করা এবং লগ ইন করতে হবে এমন ব্যবহারকারীদের জন্য নতুন পাসওয়ার্ড সরবরাহ করা।

বর্বর বাহিনীর প্রচেষ্টা প্রতি সেকেন্ডে দু'বার ঘটছে।

আমার প্রমান করতে হবে যে 12-15 অক্ষরের সাথে একটি শক্তিশালী পাসওয়ার্ড প্রয়োগ করা একটি সহজ এবং নিখরচায় সমাধান। গণিত দিয়ে এটি কীভাবে প্রমাণ করতে হয় তা আমি জানি, তবে আমি কেবল "আমাদের পাসওয়ার্ডের অনেকগুলি সম্ভাব্য ক্রম রয়েছে, এবং আক্রমণকারী কেবল প্রতিদিন এন চেষ্টা করতে পারে, এইভাবে আমরা তাদের x / যেতে আশা করব like তারা আমাদের পাসওয়ার্ড অনুমান করার আগে 2n দিন গড়ে। " এর আরও মানসম্পন্ন "প্রমাণ" আছে কি?

Iptables সঙ্গে ব্যর্থ 2ban ব্যবহার করা দুর্দান্ত উপায়।

এখানে আপনার জন্য গণিত রয়েছে:

উচ্চতর এবং নিম্নের বর্ণমালা এবং সাধারণ চিহ্নগুলি, 8 টি অক্ষর দীর্ঘ, আপনাকে 2.9 কোয়াড্রিলিয়ন সংমিশ্রণ দেয় এবং 10,000 বারের প্রচেষ্টা সহ দ্বিতীয়টি 9,488 বছর সময় নেয়। সর্বাধিক অবশ্যই - আপনার পাসওয়ার্ডটি 4000 বছরের মধ্যে ফাটল হওয়ার আশা করে। 1000 বছর যদি আপনি ভাগ্যবান বোধ করেন না।

আপনি দেখতে পাচ্ছেন যে আপনি যদি 15 অক্ষরের পাসওয়ার্ডটি করেন তবে আপনার কোনও সমস্যা হবে না:

dJ&3${bs2ujc"qX

ব্যর্থ 2ban ছাড়াও,

আপনি যদি কোনও আধুনিক ইউএনআইএক্স চালাচ্ছেন, আপনি সাধারণত খারাপ পাসওয়ার্ড এন্ট্রি ঘুমের সময়টিকে 5 সেকেন্ড পর্যন্ত পরিবর্তন করতে পারেন, আক্রমণের গতি 2000% কমিয়ে দেন। [সোলারিস 10 এর মধ্যে / ইত্যাদি / ডিফল্ট / লগইন রয়েছে, স্লাইপটাইম সন্ধান করুন] একই সহনশীলতা ব্যবহারের অর্থ হল আপনি প্রতি 3 ঘন্টা 20 মিনিটের পরে পাসওয়ার্ডটি ঘোরান।

এছাড়াও, পাসওয়ার্ডটি লকআউট একটি কার্যকর বিকল্প হতে পারে তার আগে চেষ্টা করে তবে আমার সন্দেহ হয় যে এটি আপনার পক্ষে নয় কারণ আপনার একাধিক ব্যবহারকারী একটি অ্যাকাউন্ট ভাগ করে নিয়েছেন এবং এটি সর্বদা লক আউট রাখতে চান না।

একটি 12-15 অক্ষরের পাসওয়ার্ড প্রয়োজন সাহায্য করে, কিন্তু আপনি যদি ক্রমাগত আক্রমণ করা হয় তবে অন্য একটি সমাধান সম্ভবত আরও ভাল। আপনার কোম্পানির এতে বাজেট সহনশীলতা কী তা আমি জানি না, তবে যে অ্যাকাউন্টে লগ ইন করতে হবে তাদের প্রত্যেকের জন্য আরএসএ কী কার্ডগুলিও এটি সমাধান করবে। দুটি ফ্যাক্টর প্রমাণীকরণ কোয়ান্টাম কম্পিউটিং সময়ের মধ্যে সম্ভাব্যতা ঠেলে দেয়।

আপনার পক্ষে এই বোর্ডে পোস্ট করার জন্য নিষ্ঠুর বলের পদ্ধতিটি যথেষ্ট দীর্ঘকাল অবধি অবাক করা। সাধারণভাবে বলতে গেলে এটি বেশ লোব্রো এবং সর্বোপরি সত্যিকারের আক্রমণ চলাকালীন একটি লগ ফিলার।

কর্তৃপক্ষের কাছে আপিল কেমন? আপনি ডোড সুরক্ষা প্রযুক্তিগত বাস্তবায়ন নির্দেশিকা (iase.disa.mil/stigs/stig) উল্লেখ করতে পারেন এবং বলতে পারেন "এটি যদি প্রতিরক্ষা বিভাগের পক্ষে যথেষ্ট ভাল হয় তবে এটি আমাদের পক্ষে যথেষ্ট ভাল"

বিবেচনা করার মতো কিছু: যদি আপনার কাছে এমন কোনও পাসওয়ার্ড থাকে যা পরিবর্তিত হয় না, এবং বর্বর বাহিনী আক্রমণগুলি আপনার অন্তর্ভুক্ত পাসওয়ার্ডগুলির একটি মহাবিশ্ব পরীক্ষা করে দেখছে, বর্বর বাহিনীর আক্রমণটি শেষ পর্যন্ত আঘাতের গ্যারান্টিযুক্ত এবং আপনি তার পরেও অরক্ষিত থাকবেন।

আপনার পরামর্শ অনুসারে একটি এলোমেলো বাছাই করা "সুযোগ" গণনা করা যেতে পারে, তবে এটি পুরো গল্পটি আপনাকে না বলবে।

উদাহরণস্বরূপ, যদি আপনি নিষ্ঠুর বলয়ের প্রচেষ্টাগুলির দিকে লক্ষ্য করেন এবং দেখুন যে তারা দীর্ঘতম পাসওয়ার্ডটি চেষ্টা করে 10 অক্ষর, 12-তে কোনও কিছুই বাছাই করা নিশ্চিত করে যে আপনি কখনই আঘাত হানবেন না।

কোনও নির্দিষ্ট ক্ষেত্রে পরিসংখ্যান প্রয়োগ করার চেষ্টা করার সময় খুব সতর্কতা অবলম্বন করুন; তারা কেবলমাত্র সংখ্যার নমুনা সহ সামগ্রিক আচরণের পূর্বাভাস দেয়।

এটিকে বাদ দিয়ে, যদি গণিত কাউকে বোঝাতে না পারে (বা না পারে) তবে ঘটনার একই সম্ভাবনা রয়েছে তবে এটি পরিচিত, যেমন লটারি বা গাড়ি দুর্ঘটনার কারণে বা বজ্রপাতে আঘাত হানার মতো কিছু আবিষ্কার করার চেষ্টা করুন। যদি আপনি বলতে পারেন যে " এই পাসওয়ার্ডটির কারও হিট হওয়ার সম্ভাবনা প্রায় ছয় সপ্তাহের লটারি জয়ের সমান" তবে এটি তাদের আরও ভাল অনুভূতি দিতে পারে।

ব্রোটফোর্সে বটনেট কোন ব্যবহারকারী নামটি ব্যবহার করছে তা হ'ল বিবেচনা করা হয়নি। সমস্ত দৃষ্টিতে আমি দেখেছি নিষ্ঠা বাহিনী অ্যাডমিন এবং মূলের বিভিন্নতার জন্য ছিল এবং এক বিরল ক্ষেত্রে কর্পোরেশন ওয়েবসাইট থেকে ব্যবহারকারীর নাম বাদ পড়েছে।

আমি ইন্টারেক্টিভ লগইন বিধিনিষেধগুলিও পরিবর্তন করব যাতে আপনার মূল অ্যাকাউন্টটি হয় অক্ষম (পছন্দসই) হয় বা আপনার স্থানীয় সাবনেট বা অনুরূপ ঠিকানা সীমাতে সীমাবদ্ধ থাকে।

প্রতি সেকেন্ডে দু'বারও খারাপ হয় না। আমরা ব্যর্থ2 ban বাস্তবায়নের আগে প্রতি মিনিটে কয়েক হাজার প্রচেষ্টা দেখতে পেতাম যা অনেক ব্যর্থ চেষ্টার পরে (সমস্ত কনফিগারযোগ্য) নির্দিষ্ট সময়ের জন্য নির্দিষ্ট আইপিটিকে নেটওয়ার্কের বাইরে রেখে দেয়।

এটি আমাদের পক্ষে দুর্দান্ত কাজ করেছে।

আসলে, আপনি iptables ব্যবহার করে ব্রুট ফোর্স ssh আক্রমণগুলির বিরুদ্ধে নির্বাচনী স্ক্যান করতে পারেন, যদি এটি আপনার পক্ষে কাজ করে।

এই দুটি স্ট্রিং:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -m recent --set --name sshscans 
iptables -A INPUT -m recent --rcheck --seconds 60 --hitcount 5 --name sshscans --rsource -j DROP 

60 সেকেন্ডের ব্যবধানে যে কেউ এসএসএইচ-এর সাথে 5 বারের বেশি সংযোগ স্থাপনের চেষ্টা করে তার অ্যাক্সেসকে অবরুদ্ধ করবে। আপনি যদি সেকেন্ডে 5 এর চেয়ে বড় সংখ্যাটি অনুমোদিত হতে চান তবে আপনি "--hitcount" নম্বরটি পরিবর্তন করতে পারেন।

আমি সম্মত হই যে প্রতি 10 মিনিটে পাসওয়ার্ড পরিবর্তন করা কিছুটা অতিরিক্ত অতিরিক্ত বলে মনে হচ্ছে। এই মুহুর্তে সমস্যাটি হয়ে ওঠে আপনি কীভাবে নিরাপদে নতুন পাসওয়ার্ড প্রেরণ করবেন এবং সিস্টেমগুলি একে অপরের সাথে সিঙ্কে রাখবেন।

এই নিবন্ধটিতে ক্র্যাকিংয়ের গতি সম্পর্কে কিছু আকর্ষণীয় পরিসংখ্যান রয়েছে:

http://www.lockdown.co.uk/?pg=combi

http://en.wikipedia.org/wiki/Password_cracking

এটি আশ্চর্যজনক যে কত লোক ঘনিষ্ঠভাবে বক্ররেখা বুঝতে পারে না, তবে সকলেই 10, 100 এবং 1000 এর মধ্যে পার্থক্য জানে তাই তুলনা করা শুরু করার জন্য এটি ভাল জায়গা হতে পারে।

আরেকটি কৌশলটি হ'ল 6 জন চরিত্রের পাসওয়ার্ডটিকে জবরদস্তি করতে কতক্ষণ সময় লাগে তা প্রকৃতপক্ষে লোকদের দেখানো । আপনার যদি কোনও প্রোগ্রামিং জ্ঞান থাকে, আপনি এটির সাথে একটি দ্রুত সরঞ্জাম একসাথে রাখতে পারেন।

আপনি তাদের দেখিয়ে দিতে পারেন যে রেইনবো টেবিলগুলি সহজেই উপলব্ধ:

http://project-rainbowcrack.com/table.htm

এটি কিছুটা অফটোপিক হতে পারে তবে আমি অস্বীকারকারী ব্যবহার করছি এবং এটি আমার লিনাক্স বাক্সগুলিতে ব্রুট ফোর্স প্রচেষ্টা প্রচুর পরিমাণে হ্রাস পেয়েছে।