আমাদের সুরক্ষা নিরীক্ষক একজন নির্বোধ। আমি তাকে যে তথ্য চাই তা কীভাবে দেব?


2306

আমাদের সার্ভারগুলির জন্য সুরক্ষা নিরীক্ষক দু'সপ্তাহের মধ্যে নিম্নলিখিতটির দাবি করেছেন:

  • সমস্ত সার্ভারে সমস্ত ব্যবহারকারীর অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা
  • গত ছয় মাস ধরে সমস্ত পাসওয়ার্ড পরিবর্তনের একটি তালিকা, আবার সরল-পাঠ্যে
  • গত ছয় মাসে "দূরবর্তী ডিভাইসগুলি থেকে সার্ভারে যুক্ত প্রতিটি ফাইলের একটি তালিকা"
  • যে কোনও এসএসএইচ কীগুলির সরকারী এবং ব্যক্তিগত কী
  • প্রতিবারই একজন ইমেল তাকে প্রেরণ করা হয়েছে যখন ব্যবহারকারী তাদের পাসওয়ার্ড পরিবর্তন করে, এতে সরল পাঠ্যের পাসওয়ার্ড থাকে

আমরা রেড হ্যাট লিনাক্স 5/6 এবং সেন্টস 5 বাক্সে এলডিএপি অনুমোদনের সাহায্যে চালাচ্ছি।

যতদূর আমি অবগত রয়েছি, সেই তালিকার সমস্ত কিছুই পাওয়া অসম্ভব বা অবিশ্বাস্যরকম কঠিন, তবে আমি যদি এই তথ্যটি না সরবরাহ করি তবে আমরা আমাদের অর্থ প্রদানের প্ল্যাটফর্মের অ্যাক্সেস হারাতে এবং একটি রূপান্তরের সময়কালে আয় হারাতে শুরু করি যখন আমরা কোনও স্থানে চলে যাই নতুন পরিষেবা আমি কীভাবে এই তথ্যটি সমাধান বা নকল করতে পারি তার জন্য কোনও পরামর্শ?

সমস্ত সহজ টেক্সট পাসওয়ার্ড পাওয়ার জন্য আমি যেভাবে ভাবতে পারি তা হ'ল প্রত্যেককে তাদের পাসওয়ার্ডটি পুনরায় সেট করতে এবং তারা কী সেট করে সেটি একটি নোট তৈরি করে। এটি পাসওয়ার্ড পরিবর্তনের গত ছয় মাসের সমস্যার সমাধান করে না, কারণ আমি পূর্ববর্তীভাবে এই ধরণের স্টাফ লগ করতে পারি না, সমস্ত দূরবর্তী ফাইল লগ করার ক্ষেত্রেও একই কাজ ঘটে।

সমস্ত সরকারী এবং বেসরকারী এসএসএইচ কীগুলি পাওয়া সম্ভব (বিরক্তিকর হলেও), যেহেতু আমাদের হাতে মাত্র কয়েকটি ব্যবহারকারী এবং কম্পিউটার রয়েছে। যদি না আমি এটি করার সহজ উপায়টি মিস করেছি?

আমি তাকে অনেকবার বুঝিয়েছি যে তিনি যে জিনিসগুলির জন্য জিজ্ঞাসা করছেন তা অসম্ভব। আমার উদ্বেগের জবাবে, তিনি নিম্নলিখিত ইমেলের সাথে প্রতিক্রিয়া জানিয়েছিলেন:

সুরক্ষা নিরীক্ষণের জন্য আমার 10 বছরেরও বেশি অভিজ্ঞতা আছে এবং রেডহাট সুরক্ষা পদ্ধতিগুলি সম্পর্কে সম্পূর্ণ বোঝা রয়েছে, তাই আমি আপনাকে পরামর্শ দিচ্ছি যে কী এবং কী সম্ভব নয় সে সম্পর্কে আপনার সত্যতা যাচাই করে নিন। আপনি বলছেন কোনও সংস্থার কাছে এই তথ্য সম্ভবত থাকতে পারে না তবে আমি শত শত অডিট করেছি যেখানে এই তথ্যটি সহজেই পাওয়া যায়। সমস্ত [জেনেরিক ক্রেডিট কার্ড প্রসেসিং সরবরাহকারী] ক্লায়েন্টদের আমাদের নতুন সুরক্ষা নীতিমালা মেনে চলার প্রয়োজন এবং এই নিরীক্ষণটি সেই নীতিগুলি সঠিকভাবে প্রয়োগ হয়েছে * তা নিশ্চিত করার উদ্দেশ্যে।

* "নতুন সুরক্ষা নীতিগুলি" আমাদের নিরীক্ষণের দুই সপ্তাহ আগে চালু হয়েছিল এবং নীতি পরিবর্তনের আগে ছয় মাসের historicalতিহাসিক লগিংয়ের প্রয়োজন ছিল না।

সংক্ষেপে, আমার প্রয়োজন;

  • ছয় মাসের মূল্যবান পাসওয়ার্ডকে "জাল" করার উপায় এবং এটিকে বৈধ দেখাচ্ছে
  • ছদ্ম মাসের ইনবাউন্ড ফাইল স্থানান্তর "নকল" করার একটি উপায়
  • সমস্ত এসএসএইচ পাবলিক এবং প্রাইভেট কী ব্যবহার করা হচ্ছে তা সংগ্রহ করার একটি সহজ উপায়

যদি আমরা সুরক্ষা নিরীক্ষণ ব্যর্থ করি তবে আমরা আমাদের কার্ড প্রসেসিং প্ল্যাটফর্মের (আমাদের সিস্টেমের একটি গুরুত্বপূর্ণ অংশ) অ্যাক্সেস হারিয়ে ফেলি এবং অন্য কোথাও যেতে আরও দু'সপ্তাহ সময় লাগবে। আমি কতটা খারাপ?

আপডেট 1 (শনিবার 23 তম)

আপনার সমস্ত প্রতিক্রিয়ার জন্য ধন্যবাদ, এটি স্ট্যান্ডার্ড অনুশীলন নয় তা জানতে পেরে আমাকে প্রচুর স্বস্তি হয়।

আমি বর্তমানে পরিস্থিতি ব্যাখ্যা করে তাকে আমার ইমেল প্রতিক্রিয়াটির পরিকল্পনা করছি। আপনারা অনেকে উল্লেখ করেছেন যে, আমাদের পিসিআই মেনে চলতে হবে যা স্পষ্টভাবে জানিয়েছে যে আমাদের কাছে সরল-পাঠ্য পাসওয়ার্ড অ্যাক্সেস করার কোনও উপায় নেই। আমি ইমেলটি লেখা শেষ করার পরে পোস্ট করব। দুর্ভাগ্যক্রমে আমি মনে করি না তিনি কেবল আমাদের পরীক্ষা করছেন; এই জিনিসগুলি এখন কোম্পানির সরকারী সুরক্ষা নীতিতে রয়েছে। আমি অবশ্য চাকাগুলি সেগুলি থেকে সরে যেতে এবং আপাতত পেপালের দিকে রেখেছি।

আপডেট 2 (শনিবার 23 তম)

এটি ইমেলটি আমি খসড়া করেছি, স্টাফ যুক্ত করার / সরানোর / পরিবর্তন করার জন্য কোনও পরামর্শ?

হাই [নাম],

দুর্ভাগ্যক্রমে আমাদের জন্য অনুরোধ করা কিছু তথ্য, প্রধানত সরল-পাঠ্য পাসওয়ার্ড, পাসওয়ার্ডের ইতিহাস, এসএসএইচ কী এবং রিমোট ফাইল লগ সরবরাহের কোনও উপায় নেই। এই বিষয়গুলি কেবল প্রযুক্তিগতভাবেই অসম্ভব নয়, তবে এই তথ্য সরবরাহ করতে সক্ষম হওয়া পিসিআই স্ট্যান্ডার্ডের বিরুদ্ধে এবং ডেটা সুরক্ষা আইন লঙ্ঘন উভয়ই হতে পারে।
পিসিআই প্রয়োজনীয়তা উদ্ধৃত করতে,

8.4 শক্তিশালী ক্রিপ্টোগ্রাফি ব্যবহার করে সমস্ত সিস্টেমে সংক্রমণ এবং স্টোরেজ চলাকালীন সমস্ত পাসওয়ার্ড অপঠনযোগ্য রেন্ডার করুন।

আমি আপনাকে আমাদের সিস্টেমে ব্যবহারকারীর নাম এবং হ্যাশ পাসওয়ার্ডের একটি তালিকা, এসএসএইচ পাবলিক কী এবং অনুমোদিত হোস্ট ফাইলের অনুলিপি সরবরাহ করতে পারি (এটি আমাদের সার্ভারের সাথে সংযুক্ত করতে পারে এমন অনন্য ব্যবহারকারীর সংখ্যা নির্ধারণের জন্য আপনাকে যথেষ্ট তথ্য দেবে, এবং এনক্রিপশন পদ্ধতিগুলি ব্যবহার করা হয়েছে), আমাদের পাসওয়ার্ড সুরক্ষা প্রয়োজনীয়তা এবং আমাদের এলডিএপি সার্ভার সম্পর্কে তথ্য কিন্তু এই তথ্যটি সাইট থেকে সরিয়ে নেওয়া হবে না। আমি দৃ strongly়ভাবে আপনাকে পরামর্শ দিচ্ছি যে আপনি আপনার নিরীক্ষণের প্রয়োজনীয়তাগুলি পর্যালোচনা করুন কেননা পিসিআই এবং ডেটা সুরক্ষা আইনের অনুপস্থিতিতে এই অডিটটি পাস করার বর্তমানে আমাদের পক্ষে উপায় নেই।

শুভেচ্ছা,
[আমি]

আমি সংস্থার সিটিও এবং আমাদের অ্যাকাউন্ট ম্যানেজারে সিসি করব, এবং আমি আশা করছি যে সিটিও নিশ্চিত করতে পারে যে এই তথ্য উপলব্ধ নেই। তিনি আমাদের কাছ থেকে কী চাচ্ছেন তা বোঝাতে আমি পিসিআই সুরক্ষা মানক কাউন্সিলের সাথেও যোগাযোগ করব।

আপডেট 3 (26 তম)

আমাদের বিনিময় হওয়া কয়েকটি ইমেল এখানে রয়েছে;

আরই: আমার প্রথম ইমেল;

যেমনটি ব্যাখ্যা করা হয়েছে, কোনও উপযুক্ত প্রশাসকের কাছে এই তথ্যটি যে কোনও সুষ্ঠুভাবে পরিচালিত সিস্টেমে সহজেই পাওয়া উচিত। এই তথ্য সরবরাহ করতে আপনার ব্যর্থতা আমাকে বিশ্বাস করতে পরিচালিত করে যে আপনি আপনার সিস্টেমে সুরক্ষা ত্রুটি সম্পর্কে সচেতন এবং সেগুলি প্রকাশ করার জন্য প্রস্তুত নন। আমাদের অনুরোধগুলি পিসিআই নির্দেশিকাগুলির সাথে মিল রেখে উভয়ই পূরণ করা যায়। শক্তিশালী ক্রিপ্টোগ্রাফির অর্থ কেবলমাত্র ব্যবহারকারীরা ইনপুট দেওয়ার সময় পাসওয়ার্ডগুলি অবশ্যই এনক্রিপ্ট করতে হবে তবে পরে ব্যবহারের জন্য সেগুলি পুনরুদ্ধারযোগ্য বিন্যাসে স্থানান্তরিত করা উচিত।

আমি এই অনুরোধগুলির জন্য কোনও ডেটা সুরক্ষার সমস্যা দেখতে পাচ্ছি না, ডেটা সুরক্ষা কেবল গ্রাহকদের ক্ষেত্রে নয় ব্যবসায়গুলিতে প্রযোজ্য তাই এই তথ্যটিতে কোনও সমস্যা নেই।

শুধু, কি, আমিও পারি না, এমনকি ...

"স্ট্রং ক্রিপ্টোগ্রাফির অর্থ শুধুমাত্র ব্যবহারকারী পাসওয়ার্ড দেওয়ার সময় পাসওয়ার্ডগুলি এনক্রিপ্ট করতে হবে তবে পরে ব্যবহারের জন্য সেগুলি পুনরুদ্ধারযোগ্য বিন্যাসে স্থানান্তরিত করা উচিত" "

আমি এটি ফ্রেম করতে যাচ্ছি এবং আমার দেয়ালে লাগাতে চাই।

আমি কূটনৈতিক হয়ে পড়ে থাকতে বিরক্ত হয়েছি এবং আমার যে প্রতিক্রিয়া পেয়েছি তা দেখানোর জন্য তাকে এই থ্রেডের দিকে পরিচালিত করেছি:

এই তথ্য সরবরাহ করা সরাসরি পিসিআই নির্দেশিকাগুলির বেশ কয়েকটি প্রয়োজনীয়তার বিপরীতে। আমি যে বিভাগটি উদ্ধৃত করেছি তা এমনকি বলেছে storage (আমরা ডিস্কে ডেটা কোথায় সঞ্চয় করি তার বোঝা)। আমি সার্ভারফল্ট.কম (সিস-অ্যাডমিন পেশাদারদের জন্য একটি অন-লাইন সম্প্রদায়) এ একটি আলোচনা শুরু করেছিলাম যা একটি বিশাল প্রতিক্রিয়া তৈরি করেছে, সমস্ত এই তথ্য সরবরাহ করে না। নিজেকে পড়তে নির্দ্বিধায়

https://serverfault.com/questions/293217/

আমরা আমাদের সিস্টেমে একটি নতুন প্ল্যাটফর্মে চলে এসেছি এবং পরের একদিনের মধ্যে আপনার সাথে আমাদের অ্যাকাউন্ট বাতিল করে দেব তবে আমি চাই আপনি বুঝতে পারছেন যে এই অনুরোধগুলি কতটা হাস্যকর, এবং কোনও সংস্থা পিসিআই নির্দেশিকাগুলি সঠিকভাবে প্রয়োগ করবে না, এই তথ্য সরবরাহ করতে সক্ষম হতে। আমি দৃ strongly়ভাবে আপনাকে পরামর্শ দিচ্ছি যে আপনার সুরক্ষা প্রয়োজনীয়তাগুলি যাতে আপনার গ্রাহকদের মধ্যে কারওরই এটি অনুসারে সক্ষম না হয়।

(আমি আসলে ভুলে গিয়েছিলাম আমি তাকে শিরোনামে একটি বোকা বলেছি, তবে যেমনটি উল্লেখ করা হয়েছে যে আমরা ইতিমধ্যে তাদের প্ল্যাটফর্ম থেকে দূরে সরে যাব যাতে কোনও প্রকৃত ক্ষতি হয় না।)

এবং তার প্রতিক্রিয়ায়, তিনি বলেছেন যে আপনি সম্ভবত কারও কথা জানেন না আপনি কী সম্পর্কে কথা বলছেন:

আমি সেই প্রতিক্রিয়াগুলি এবং আপনার মূল পোস্টের মাধ্যমে বিশদটি পড়েছি, প্রতিক্রিয়াকারীদের সকলকে তাদের সত্য সঠিক হওয়া দরকার। আমি এই শিল্পটিতে সেই সাইটের যে কারও চেয়ে বেশি সময় ধরে ছিলাম, ব্যবহারকারীর অ্যাকাউন্টের পাসওয়ার্ডগুলির একটি তালিকা পাওয়া অবিশ্বাস্যভাবে মৌলিক, আপনার সিস্টেমকে কীভাবে সুরক্ষিত করতে হয় তা শেখার সময় আপনার প্রথম কাজ হওয়া উচিত এবং কোনও সুরক্ষিত অপারেশনের জন্য অপরিহার্য সার্ভার। আপনি যদি সত্যই এই সাধারণ কিছু করার দক্ষতার অভাব বোধ করেন তবে আমি ধরে নিচ্ছি যে আপনার সার্ভারগুলিতে পিসিআই ইনস্টল নেই এটি এই তথ্যটি পুনরুদ্ধার করতে সক্ষম হওয়ায় এটি সফ্টওয়্যারটির একটি প্রাথমিক প্রয়োজনীয়তা। সুরক্ষার মতো কোনও কিছুর সাথে কাজ করার সময় আপনার যদি এই কীভাবে কাজ করে তার কোনও প্রাথমিক জ্ঞান না থাকে তবে আপনাকে এই প্রশ্নগুলি সর্বজনীন ফোরামে জিজ্ঞাসা করা উচিত নয়।

আমি এও বলতে চাই যে আমাকে প্রকাশ করার যে কোনও প্রচেষ্টা, বা [কোম্পানির নাম] দোষী বলে বিবেচিত হবে এবং উপযুক্ত আইনী ব্যবস্থা গ্রহণ করা হবে

আপনি যদি এগুলিকে মিস করেন তবে মূল ইডিয়টিক পয়েন্টগুলি:

  • তিনি এখানে অন্য কারও চেয়ে বেশি সুরক্ষিত নিরীক্ষক ছিলেন (তিনি হয় অনুমান করছেন, বা আপনাকে ছুরিকাঘাত করছেন)
  • ইউনিক্স সিস্টেমে পাসওয়ার্ডের তালিকা পেতে সক্ষম হওয়া 'বেসিক'
  • পিসিআই এখন সফটওয়্যার
  • সুরক্ষা সম্পর্কে নিশ্চিত না হলে লোকেরা ফোরাম ব্যবহার করা উচিত নয়
  • অনলাইনে তথ্য সম্পর্কিত তথ্য (যার কাছে আমার ইমেল প্রুফ আছে) দায়বদ্ধ

চমৎকার।

পিসিআই এসএসসি তার প্রতিক্রিয়া জানিয়েছে এবং তাকে এবং সংস্থাকে তদন্ত করছে। আমাদের সফ্টওয়্যারটি এখন পেপালের দিকে চলে গেছে যাতে আমরা জানি যে এটি নিরাপদ। আমি প্রথমে আমার কাছে ফিরে আসার জন্য পিসিআইয়ের জন্য অপেক্ষা করতে যাচ্ছি তবে আমি কিছুটা উদ্বেগ পাচ্ছি যে তারা অভ্যন্তরীণভাবে এই সুরক্ষা অনুশীলনগুলি ব্যবহার করছিল। যদি তা হয়, তবে আমার মনে হয় যে এটি আমাদের জন্য একটি বড় উদ্বেগ কারণ আমাদের সমস্ত কার্ড প্রসেসিং তাদের মধ্যে দিয়েছিল। যদি তারা অভ্যন্তরীণভাবে এটি করে থাকে তবে আমি মনে করি কেবলমাত্র দায়িত্বশীল জিনিস হ'ল আমাদের গ্রাহকদের অবহিত করা।

আমি আশা করছি যখন পিসিআই বুঝতে পারে যে এটি কতটা খারাপ তা তারা পুরো সংস্থা এবং সিস্টেম তদন্ত করবে কিন্তু আমি নিশ্চিত নই।

সুতরাং এখন আমরা তাদের প্ল্যাটফর্ম থেকে সরে এসেছি, এবং ধরে নিচ্ছি যে পিসিআই আমার কাছে ফিরে আসার কমপক্ষে কয়েক দিন আগে হবে, কীভাবে তাকে কিছুটা ট্রল করবেন তার কোনও উদ্ভাবনী পরামর্শ? =)

একবার আমি আমার আইনী লোকের কাছ থেকে ছাড়পত্র পেয়েছি (আমি এ সম্পর্কে যে সন্দেহ করি তা আসলেই অবজ্ঞাপূর্ণ তবে আমি দ্বিগুণ চেক করতে চেয়েছিলাম) আমি কোম্পানির নাম, তার নাম এবং ইমেল প্রকাশ করব এবং আপনি যদি চান তবে আপনি তার সাথে যোগাযোগ করে ব্যাখ্যা করতে পারবেন আপনি কেন সমস্ত এলডিএপি ব্যবহারকারী পাসওয়ার্ডের একটি তালিকা পেতে পারেন তার মতো লিনাক্স সুরক্ষার মূল বিষয়গুলি কেন বুঝতে পারছেন না।

সামান্য আপডেট:

আমার "আইনী লোক" পরামর্শ দিয়েছে যে সংস্থাটি প্রকাশ করা সম্ভবত প্রয়োজনের চেয়ে আরও বেশি সমস্যা তৈরি করবে। যদিও আমি বলতে পারি, এটি কোনও প্রধান সরবরাহকারী নয়, তাদের এই পরিষেবাটি ব্যবহার করে 100 জন ক্লায়েন্ট রয়েছে have সাইটটি যখন ছোট ছিল এবং একটু ভিপিএসে চলছিল তখন আমরা প্রাথমিকভাবে এগুলি ব্যবহার শুরু করেছি এবং আমরা পিসিআই পাওয়ার সমস্ত প্রচেষ্টা চালিয়ে যেতে চাইনি (আমরা পেপাল স্ট্যান্ডার্ডের মতো তাদের সীমান্তে পুনর্নির্দেশ করতাম)। কিন্তু যখন আমরা সরাসরি প্রসেসিং কার্ডগুলিতে চলে যাই (পিসিআই প্রাপ্তি এবং সাধারণ জ্ঞান সহ), ডিভস একই সংস্থাকে কেবল একটি আলাদা এপিআই ব্যবহার চালিয়ে যাওয়ার সিদ্ধান্ত নিয়েছে। সংস্থাটি যুক্তরাজ্যের বার্মিংহামে অবস্থিত তাই আমি এখানে সন্দেহ করি যে এখানে যে কেউ আক্রান্ত হবে highly


459
আপনার কাছে তাকে তথ্য সরবরাহ করতে দুই সপ্তাহ সময় রয়েছে এবং ক্রেডিট কার্ডগুলি প্রক্রিয়াকরণ করতে পারে এমন অন্য কোথাও যেতে দুই সপ্তাহ সময় লাগে। বিরক্ত করবেন না - এখনই সরানোর সিদ্ধান্ত নিন এবং নিরীক্ষাটি ত্যাগ করুন।
স্ক্রিভিনার

159
দয়া করে, এটির সাথে আমাদের কী ঘটে তা আপডেট করুন। অডিটরটি কীভাবে চমত্কার হয় তা দেখার জন্য আমি এটি পছন্দসই পেয়েছি। =) যদি আমি আপনাকে জানি তবে আমার প্রোফাইলের ঠিকানায় আমাকে ইমেল করুন।
ওয়েসলি

143
আপনি অবশ্যই সেই বোকা কিনা তা দেখতে তিনি অবশ্যই আপনাকে পরীক্ষা করছেন। রাইট? আমিও তাই আশা করি ...
জো ফিলিপস

187
আমি নিরীক্ষিত অন্যান্য সংস্থাগুলির জন্য কিছু রেফারেন্স জানতে চাই। কাকে এড়াতে হবে তা ছাড়া অন্য কোনও কারণ না থাকলে । সরলতম পাসওয়ার্ড ... সত্যিই? আপনি কি নিশ্চিত যে এই লোকটি কোনও কালো টুপি এবং সামাজিক প্রকৌশল মূ ?় সংস্থাগুলি কয়েক মাস ধরে তাদের ব্যবহারকারীর পাসওয়ার্ড হস্তান্তর করার জন্য নয়? কারণ যদি কোনও সংস্থাগুলি যদি তাঁর সাথে এটি করে থাকে তবে কেবল চাবিগুলি হস্তান্তর করার এটি একটি দুর্দান্ত উপায় ...
বার্ট সিলভারস্ট্রিম

286
যেকোন পর্যাপ্ত উন্নত অক্ষমতা হতাশা থেকে পৃথক করা যায়
জেরেমি ফরাসি

উত্তর:


1207

প্রথমত, ক্যাপিটুলেট করবেন না। সে কেবল একজন বোকা নয়, বিপজ্জনকভাবে ভুল। প্রকৃতপক্ষে, এই তথ্য প্রকাশ করা পিসিআই স্ট্যান্ডার্ডকে লঙ্ঘন করবে (যা আমি যা নিরীক্ষণ ধরে নিচ্ছি এটি যেহেতু এটি একটি পেমেন্ট প্রসেসর) সেখানকার প্রতিটি অন্যান্য স্ট্যান্ডার্ড এবং কেবল সাধারণ সাধারণ জ্ঞানকেই লঙ্ঘন করবে। এটি আপনার কোম্পানিকে সমস্ত প্রকারের দায়বদ্ধতায় প্রকাশ করবে।

পরবর্তী কাজটি আমি আপনার মনিবকে একটি ইমেল প্রেরণ করা হয় যাতে বলা হয় যে এই পদক্ষেপ নিয়ে এগিয়ে যাওয়ার মাধ্যমে সংস্থাটি যে আইনি এক্সপোজারের মুখোমুখি হতে হবে তা নির্ধারণ করার জন্য তাকে কর্পোরেট পরামর্শ জড়িত করতে হবে।

এই শেষ বিটটি আপনার উপর নির্ভর করে তবে আমি এই তথ্যের সাথে ভিসার সাথে যোগাযোগ করব এবং তার পিসিআই অডিটরের স্থিতিটি টেনে আনব।


289
তুমি আমাকে এটা দ্বারা মেরেছ! এটি একটি অবৈধ অনুরোধ। প্রসেসরের অনুরোধটি নিরীক্ষণের জন্য একটি পিসিআই কিউএসএ পান। একটি ফোন কল তাকে পেতে। ওয়াগনগুলিকে বৃত্তাকার করুন। "বন্দুকের জন্য চার্জ!"
ওয়েসলি

91
"তার পিসিআই অডিটরের স্ট্যাটাসটি টেনে আনুন" আমি এর অর্থ কী তা জানি না ... তবে এই ক্লাউনটি (নিরীক্ষক) এর যা কিছু কর্তৃত্ব স্পষ্টতই একটি ভেজা ক্র্যাকার জ্যাক বাক্স থেকে এসেছিল এবং এটি প্রত্যাহার করা দরকার। +1 টি
WernerCD

135
এই সমস্ত অনুমান করা হয় যে এই সহকর্মীটি আসলে একটি বৈধ নিরীক্ষক ... তিনি আমার কাছে অত্যন্ত সন্দেহজনক বলে মনে করছেন।
রিড

31
আমি সম্মত হই - suspicious auditorবা আপনি বৈজ্ঞানিক নিরীক্ষক হচ্ছেন যে আপনি এইগুলির মধ্যে কোনও কাজ করার পক্ষে যথেষ্ট বোকা। কেন তাকে এই তথ্যের প্রয়োজন জিজ্ঞাসা করুন। কেবল পাসওয়ার্ডটি বিবেচনা করুন, যা কখনই সরল পাঠ্য হওয়া উচিত নয়, তবে কোনও একমুখী এনক্রিপশন (হ্যাশ) এর পিছনে থাকা উচিত। হতে পারে তার কোনও বৈধ কারণ রয়েছে তবে তার সমস্ত "অভিজ্ঞতা" দিয়ে তাঁর প্রয়োজনীয় তথ্য পেতে আপনাকে সহায়তা করতে সক্ষম হওয়া উচিত।
ভোলআরন

25
কেন এটি বিপজ্জনক? সমস্ত সরল পাঠ্য পাসওয়ার্ডের একটি তালিকা - এর কোনওটিই হওয়া উচিত নয়। তালিকাটি খালি না হলে তার একটি বৈধ পয়েন্ট রয়েছে। এমসোট জিনিসগুলির জন্য একই যায়। যদি সেগুলি না থাকে কারণ তারা সেখানে নেই বলে। রিমোট ফাইল যুক্ত হয়েছে - এটি অডিট করার অংশ। জানেন না - জানেন এমন একটি সিস্টেম স্থাপন শুরু করুন।
টমটম

836

শ্রেণিবদ্ধ সরকারী চুক্তির জন্য যে কেউ প্রাইস ওয়াটারহাউস কুপার্সের সাথে নিরীক্ষণ প্রক্রিয়াটি করে চলেছে , আমি আপনাকে নিশ্চিত করে বলতে পারি, এটি পুরোপুরি প্রশ্নের বাইরে এবং এই লোকটি উন্মাদ।

যখন পিডব্লিউসি আমাদের পাসওয়ার্ডের শক্তি পরীক্ষা করতে চেয়েছিল তারা:

  • আমাদের পাসওয়ার্ড শক্তি অ্যালগরিদম দেখতে জিজ্ঞাসা
  • আমাদের অ্যালগরিদমের বিরুদ্ধে পরীক্ষার ইউনিটগুলি পরীক্ষা করে যাতে তারা খারাপ পাসওয়ার্ড অস্বীকার করবে
  • আমাদের এনক্রিপশন অ্যালগরিদমগুলি দেখার জন্য অনুরোধ করে যাতে সেগুলি বিপরীত বা আন-এনক্রিপ্ট করা যায় না (এমনকি রংধনু টেবিল দ্বারাও), এমনকি এমন ব্যক্তির দ্বারাও যে সিস্টেমের প্রতিটি ক্ষেত্রে সম্পূর্ণ অ্যাক্সেস পেয়েছিল
  • পূর্ববর্তী পাসওয়ার্ডগুলি পুনরায় ব্যবহার করা যাবে না তা নিশ্চিত করার জন্য ক্যাশে হয়েছে তা পরীক্ষা করে দেখুন
  • অ-সামাজিক প্রকৌশল কৌশলগুলি (এক্সএসএস এবং অ -0 দিনের শোষণের মতো জিনিসগুলি) ব্যবহার করে নেটওয়ার্ক এবং সম্পর্কিত সিস্টেমে প্রবেশের চেষ্টা করার জন্য তাদের অনুমতি (যা আমরা মঞ্জুরি দিয়েছি) চেয়েছিলাম

যদি আমি এমনকি যদি ইঙ্গিতও দিয়েছিলাম যে আমি গত 6 মাসে ব্যবহারকারীদের পাসওয়ার্ডগুলি কী তা তাদের দেখাতে পারি তবে তারা আমাদের সঙ্গে সঙ্গে চুক্তিটি বন্ধ করে দিত।

যদি এই প্রয়োজনীয়তাগুলি সরবরাহ করা সম্ভব হয় তবে আপনি তাত্ক্ষণিকভাবে প্রতিটি মূল্য নিরীক্ষণ ব্যর্থ হয়ে যাবেন ।


আপডেট: আপনার প্রতিক্রিয়া ইমেল ভাল দেখাচ্ছে। আমি লিখতে হবে কিছুই চেয়ে অনেক বেশি পেশাদার।


109
+1 টি। বোধগম্য অনুমানের মতো দেখে মনে হচ্ছে যা উত্তর দেওয়া উচিত নয়। আপনি যদি তাদের উত্তর দিতে পারেন তবে আপনার হাতে বোকা সুরক্ষা সমস্যা রয়েছে।
টমটম

9
even by rainbow tablesএটি এনটিএলএমকে বাতিল করে না? মানে, এটি সল্টেড নয় ... এএফএআইসিআর এমআইটি কার্বেরোস সক্রিয় পাসওয়ার্ডগুলি এনক্রিপ্ট করেছে বা হ্যাশ করে নি, বর্তমান অবস্থা কী তা জানি না
হুবার্ট কারিও

6
@ হুবার্ট - আমরা এনটিএলএম বা কার্বেরোস ব্যবহার করছিলাম না কারণ পাস-থ্রো প্রমাণীকরণ পদ্ধতি নিষিদ্ধ ছিল এবং পরিষেবাটি যেভাবেই সক্রিয় ডিরেক্টরিতে সংহত করা হয়নি। অন্যথায় আমরা তাদের আমাদের অ্যালগোরিদমগুলিও প্রদর্শন করতে পারি না (সেগুলি ওএসের মধ্যে নির্মিত)। উল্লেখ করা উচিত ছিল - এটি অ্যাপ্লিকেশন-স্তরের সুরক্ষা ছিল, কোনও ওএস স্তরের নিরীক্ষা নয়।
মার্ক হেন্ডারসন

4
@ ফান্ডু - শ্রেণিবিন্যাসের স্তরের জন্য যা উল্লেখ রয়েছে তা। লোকেদের তাদের শেষ এন পাসওয়ার্ডগুলি পুনরায় ব্যবহার করা থেকে বিরত রাখা মোটামুটি সাধারণ বিষয় , কারণ এটি দুটি বা তিনটি ব্যবহৃত ব্যবহৃত পাসওয়ার্ডের মাধ্যমে সাইকেল চালানো থেকে বিরত রাখে, যা একই সাধারণ পাসওয়ার্ড ব্যবহার করার মতোই অনিরাপদ।
মার্ক হেন্ডারসন

10
@ স্লাটিবার্টফেষ্ট: তবে পাসওয়ার্ডের সরল পাঠ্যটি বোঝার অর্থ হানা দেয় যে আক্রমণকারী আপনার ডাটাবেসটিতে ঠিক একইভাবে ভেঙে যেতে পারে এবং সরল দৃষ্টিতে সবকিছু পুনরুদ্ধার করতে পারে। অনুরূপ পাসওয়ার্ড ব্যবহারের বিরুদ্ধে সুরক্ষা হিসাবে, এটি ক্লায়েন্ট পক্ষের জাভাস্ক্রিপ্টে করা যেতে পারে, যখন ব্যবহারকারী পাসওয়ার্ড পরিবর্তন করার চেষ্টা করছেন, তখন পুরানো পাসওয়ার্ডটি জিজ্ঞাসা করুন এবং সার্ভারে নতুন পাসওয়ার্ড পোস্ট করার আগে পুরানো পাসওয়ার্ডের সাথে মিলের তুলনা করুন। মঞ্জুর, এটি কেবলমাত্র সর্বশেষ 1 টি পাসওয়ার্ড থেকে পুনরায় ব্যবহার রোধ করতে পারে তবে আইএমও প্লেইন টেক্সটে পাসওয়ার্ড সংরক্ষণের ঝুঁকি অনেক বেশি।
মিথ্যা রায়ান

456

সত্যিই, এই লোকটি (নিরীক্ষক) আপনাকে সেট আপ করছে বলে মনে হচ্ছে। তিনি যদি তাকে জিজ্ঞাসা করেন এমন তথ্য দেয় তবে আপনি কেবলমাত্র তাকে প্রমাণ করেছেন যে সমালোচনামূলক অভ্যন্তরীণ তথ্য ছেড়ে দেওয়ার জন্য আপনি সামাজিকভাবে ইঞ্জিনিয়ার হতে পারেন। ব্যর্থ হয়েছে।


10
এছাড়াও, আপনি কি তৃতীয় পক্ষের পেমেন্ট প্রসেসরের কথা বিবেচনা করেছেন, অথোরাইজটনেটের মতো? আমি যে সংস্থার জন্য কাজ করি সেগুলি তাদের মাধ্যমে প্রচুর পরিমাণে ক্রেডিট কার্ড লেনদেন করে। আমাদের গ্রাহকের অর্থ প্রদানের কোনও তথ্য সঞ্চয় করতে হবে না - Authorize.net এটি পরিচালনা করে - তাই জিনিসগুলিকে জটিল করার জন্য আমাদের সিস্টেমগুলির কোনও নিরীক্ষা নেই।
অ্যানাস্ট্রোফ

172
আমি যা ভেবেছিলাম ঠিক এটাই ঘটেছে। সোশ্যাল ইঞ্জিনিয়ারিং সম্ভবত এই তথ্যটি পাওয়ার সহজতম উপায় এবং আমি মনে করি তিনি সেই ফাঁকটি পরীক্ষা করছেন। এই লোকটি হয় খুব বুদ্ধিমান বা খুব বোবা
জো ফিলিপস

4
এই অবস্থানটি কমপক্ষে সবচেয়ে যুক্তিসঙ্গত প্রথম পদক্ষেপ। তাকে বলুন যে আপনি আইন / বিধিগুলি / যে কোনও কিছু ভেঙে যাচ্ছেন, তবে আপনি তাঁর চক্রান্তের প্রশংসা করেন।
মাইকেল

41
বোবা প্রশ্ন: এই পরিস্থিতিতে "সেট আপ" গ্রহণযোগ্য? সাধারণ যুক্তি আমাকে বলে যে একটি নিরীক্ষণ প্রক্রিয়াটি "কৌশল" থেকে তৈরি করা উচিত নয়।
Agos

13
@ অ্যাগোস: কয়েক বছর আগে আমি এমন জায়গায় কাজ করেছি যা একটি সংস্থাকে নিরীক্ষা করার জন্য নিয়োগ করেছিল। নিরীক্ষণের অংশে "<CIO> সাথে সংস্থায় এলোমেলো লোকদের কল করা অন্তর্ভুক্ত ছিল যাতে আমি আপনাকে কিছু করতে" এবং আপনার লগইন শংসাপত্রগুলি পেতে বলেছিলাম। " আপনি কেবল শংসাপত্রগুলি ছেড়ে দেবেন না তা কেবল তারা খতিয়ে দেখছিল না, তবে একবার তাদের ঝুলিয়ে দিলে আপনাকে অবিলম্বে <CIO> বা <সিকিউরিটি অ্যাডমিন> কল করে ইন্টারচেঞ্জের প্রতিবেদন করার কথা ছিল।
টবি

345

আমি সবেমাত্র আপনি ইউকেতে স্পট করেছেন, যার অর্থ তিনি আপনাকে যা করতে বলছেন তা আইন লঙ্ঘন করা (আসলে ডেটা সুরক্ষা আইন)। আমি যুক্তরাজ্যেও রয়েছি, একটি বিশাল ভারী-নিরীক্ষিত সংস্থার জন্য কাজ করি এবং এই অঞ্চলটির আইন এবং সাধারণ পদ্ধতিগুলি জানি know আমি খুব কাজের একটি দুষ্টু টুকরো যিনি এই লোকটিকে আনন্দের সাথে কৃপাপূর্ণ স্ট্যাম্প দিবেন যদি আপনি এটির মজাদার জন্য পছন্দ করেন তবে আমাকে সহায়তা করুন ঠিক আছে কিনা তা আমাকে জানান।


28
এই সার্ভারগুলিতে কোনও ব্যক্তিগত তথ্য আছে বলে ধরে নিচ্ছি, আমি মনে করি যে এই স্তরের প্রদর্শিত অক্ষমতার সাথে কারও কাছে সরল পাঠ্য অ্যাক্সেসের জন্য / সমস্ত / শংসাপত্রগুলি হস্তান্তর করা নীতি 7 এর স্পষ্ট লঙ্ঘন হবে ... ("উপযুক্ত প্রযুক্তিগত এবং সাংগঠনিক ব্যবস্থা ব্যক্তিগত ডেটা অননুমোদিত বা অবৈধ প্রক্রিয়াজাতকরণ এবং দুর্ঘটনাজনিত ক্ষতি বা ব্যক্তিগত ডেটা ধ্বংস, বা ক্ষতি সম্পর্কিত বিরুদ্ধে ব্যবস্থা নেওয়া হবে। ")
স্টিফেন ভিস

4
আমি মনে করি এটি একটি ন্যায্য ধারণা - আপনি যদি অর্থ প্রদানের তথ্য সংরক্ষণ করেন তবে আপনি সম্ভবত আপনার ব্যবহারকারীদের জন্য যোগাযোগের তথ্যও সংরক্ষণ করছেন। আমি যদি অপির অবস্থানটিতে থাকি তবে আমি দেখতে পেতাম যে "আপনি আমাকে যা বলছেন তা কেবল পলিসি এবং চুক্তিগত বাধ্যবাধকতা [পিসিআই মেনে চলার জন্য] ভেঙে দেয় না," কেবল পলিসি এবং পিসিআই উল্লেখ করার চেয়েও শক্তিশালী যুক্তি হিসাবে ।
স্টিফেন ভিস

4
@ জিমি কেন একটি পাসওয়ার্ড ব্যক্তিগত ডেটা হবে না?
রবার্টক

10
@ রিচার্ড, আপনি কি জানেন যে এটি একটি রূপক ছিল?
চপার 3

9
@ চপার 3 হ্যাঁ, আমি এখনও এটি অনুপযুক্ত বলে মনে করি। প্লাস, আমি অ্যাভিআইডি কাউন্টার করছি।
রিচার্ড গ্যাডসডেন

285

আপনি সামাজিকভাবে ইঞ্জিনিয়ার হচ্ছে। হয় এটি 'আপনাকে পরীক্ষা করতে হবে' বা এটির একটি হ্যাকার অডিটর হিসাবে পোস্ট করে কিছু খুব দরকারী ডেটা পেতে।


8
কেন এটি শীর্ষ উত্তর নয়? এটি কি সম্প্রদায় সম্পর্কে কিছু বলে, সোশ্যাল ইঞ্জিনিয়ারিংয়ের স্বাচ্ছন্দ্য, বা আমি কি কিছু মৌলিক অনুপস্থিত?
পল

166
অজ্ঞতার জন্য দায়ী করা যেতে পারে এমন
কৃপণতার

13
অডিটর যখন পেশাদার হিসাবে দাবি করেন তবে এই কল্পনাটি কিছুটা প্রসারিত করে যখন এই সমস্ত অনুরোধকে অজ্ঞতার সাথে যুক্ত করা।
থমাস কে

12
এই তত্ত্ব সঙ্গে সমস্যা হল, এমনকি যদি তিনি "এটির জন্য খোলস" বা "পরীক্ষা ব্যর্থ," সে করতে পারেনি , কারণ এটি তাকে তথ্য দিতে অসম্ভব .....
ইডিএস

4
আমার সর্বোত্তম অনুমানটি 'সিরিয়াস সোশ্যাল ইঞ্জিনিয়ারিং'ও (নতুন কেভিন মিটনিক বইটি শীঘ্রই প্রকাশিত হওয়া কি কাকতালীয় ঘটনা?), এই ক্ষেত্রে আপনার পেমেন্ট ফার্মটি অবাক হয়ে যাবে (আপনি কি এই' নিরীক্ষা 'সম্পর্কে তাদের সাথে পরীক্ষা করেছেন?) । অন্য বিকল্পটি খুব লম্পট অডিটর যার কোনও লিনাক্স জ্ঞান নেই যা ব্লফিংয়ের চেষ্টা করেছিল এবং এখন তাকে নিজেকে আরও গভীর, গভীরতর এবং গভীরতর জায়গায় খনন করছে।
Koos ভ্যান ডেন হাউট

278

আমি নীতিগত আচরণের দক্ষতার অভাব এবং সার্ভার ত্রুটি জনগোষ্ঠীর নৈতিক আচরণের এই নির্মম লঙ্ঘন উপেক্ষা করে গুরুতরভাবে উদ্বিগ্ন ।

সংক্ষেপে, আমার প্রয়োজন;

  • ছয় মাসের মূল্যবান পাসওয়ার্ডকে 'জাল' করার উপায় এবং এটিকে বৈধ দেখাচ্ছে
  • ছদ্ম মাসের ইনবাউন্ড ফাইল স্থানান্তরের 'জাল' করার উপায়

আমাকে দুটি বিষয় পরিষ্কার করা যাক:

  1. সাধারণ ব্যবসায়ের সময় ডেটা মিথ্যা বলা কখনই উপযুক্ত নয়।
  2. আপনার এই ধরণের তথ্য কারও কাছে প্রকাশ করা উচিত নয়। কখনো।

রেকর্ড মিথ্যা করা আপনার কাজ নয়। যে কোনও প্রয়োজনীয় রেকর্ড উপলব্ধ, সঠিক এবং সুরক্ষিত তা নিশ্চিত করা আপনার কাজ is

এখানে সার্ভার ফল্টের সম্প্রদায়কে অবশ্যই এই ধরণের প্রশ্নের সাথে স্ট্যাকওভারফ্লো সাইট "হোমওয়ার্ক" প্রশ্নগুলির আচরণ করে treat আপনি কেবল প্রযুক্তিগত প্রতিক্রিয়া সহ এই সমস্যাগুলি সমাধান করতে পারবেন না বা নৈতিক দায়বদ্ধতার লঙ্ঘন উপেক্ষা করতে পারবেন না।

এখানে অনেক উচ্চ-প্রতিনিধি ব্যবহারকারী এই থ্রেডে জবাব দেখে এবং প্রশ্নের নৈতিক প্রভাবের কোনও উল্লেখ আমাকে দুঃখিত করে।

আমি প্রত্যেককে SAGE সিস্টেম প্রশাসকের নীতি-নীতিটি পড়তে উত্সাহিত করব ।

বিটিডাব্লু, আপনার সুরক্ষা নিরীক্ষক একজন নির্বোধ, তবে এর অর্থ এই নয় যে আপনার কাজের ক্ষেত্রে অনৈতিক হওয়ার জন্য আপনার চাপ অনুভব করা দরকার।

সম্পাদনা করুন: আপনার আপডেটগুলি অমূল্য। আপনার মাথাটি নীচে রাখুন, আপনার গুঁড়া শুকনো করুন এবং কোনও কাঠের নিকেল নেবেন না (বা দিন)।


44
আমি একমত না "অডিটর" ওপিকে হতাশ করে তথ্য প্রকাশের উদ্দেশ্যে হুমকি দিচ্ছিল যা সংস্থার পুরো আইটি সুরক্ষাকে ক্ষতিগ্রস্থ করবে। কোনও পরিস্থিতিতে ওপি OP রেকর্ডগুলি তৈরি করতে এবং তা কাউকে সরবরাহ করা উচিত নয়। ওপি জাল রেকর্ড করা উচিত নয়; এগুলি সহজেই জাল হতে দেখা যায়। ওপিকে উচ্চতর আপকে ব্যাখ্যা করতে হবে যে নিরাপত্তা নিরীক্ষকরা দাবী করছেন তা হ'ল হ'ল হ'ল দূষিত উদ্দেশ্য বা সম্পূর্ণ অক্ষমতার মাধ্যমে (সরলরেখায় ইমেল পাসওয়ার্ড)। ওপিকে তাত্ক্ষণিকভাবে সুরক্ষা নিরীক্ষককে সমাপ্ত করা এবং প্রাক্তন নিরীক্ষকের অন্যান্য কার্যক্রমের সম্পূর্ণ তদন্তের সুপারিশ করা উচিত recommend
ডাঃ জিম্বোব

18
ডাঃ জিম্বোব, আমি মনে করি আপনি এই বিষয়টিটি মিস করছেন: "ওপিকে জাল রেকর্ড করা উচিত নয়; এগুলি সহজেই নকল হতে দেখা যায়।" এখনও একটি অনৈতিক অবস্থান হিসাবে আপনি পরামর্শ দিচ্ছেন যে যখন তার সত্য তথ্য থেকে আলাদা করা যায় না তখন তার কেবলমাত্র ডেটা মিথ্যা করা উচিত। মিথ্যা ডেটা পাঠানো অনৈতিক। আপনার ব্যবহারকারীর পাসওয়ার্ড তৃতীয় পক্ষের কাছে পাঠানো অবহেলা। সুতরাং আমরা একমত যে এই পরিস্থিতি সম্পর্কে কিছু করা দরকার। আমি এই সমস্যা সমাধানে সমালোচনামূলক নৈতিক চিন্তাভাবনার অভাব সম্পর্কে মন্তব্য করছি।
জোসেফ কার্ন

13
"এই রেকর্ডগুলি উপলব্ধ, নির্ভুল এবং সুরক্ষিত রয়েছে তা নিশ্চিত করা আপনার কাজ।" এর সাথে আমি দ্বিমত পোষণ করেছি। আপনার সিস্টেমকে সুরক্ষিত রাখতে আপনার একটি বাধ্যবাধকতা রয়েছে; অযৌক্তিক অনুরোধগুলি (যেমন প্লেটেক্সট পাসওয়ার্ডগুলি সঞ্চয় ও ভাগ করুন) যদি তারা সিস্টেমে আপস করেন তবে তা করা উচিত নয়। প্লেটেক্সট পাসওয়ার্ড সংরক্ষণ, রেকর্ডিং এবং ভাগ করা আপনার ব্যবহারকারীদের সাথে আস্থার একটি প্রধান লঙ্ঘন। এটি একটি বড় লাল পতাকা সুরক্ষা হুমকি। সুরক্ষা নিরীক্ষণ প্লেইন টেক্সট পাসওয়ার্ড / এসএস বেসরকারী কীগুলি প্রকাশ না করেই করা ও করা উচিত; এবং আপনার উচিত উচ্চতর আপদের এই বিষয়টি জানা এবং সমাধান করা উচিত।
ডাঃ জিম্বোব

11
ডাঃ জিম্বোব, আমি অনুভব করি যে আমরা দু'টি জাহাজ রাত্রিতে যাচ্ছি। আপনি যা বলছেন তার সাথে আমি একমত; আমি অবশ্যই এই বিষয়গুলি পরিষ্কারভাবে যথেষ্ট স্পষ্ট করে বলিনি। আমি আমার প্রাথমিক প্রতিক্রিয়া উপরের দিকে সংশোধন করব। আমি থ্রেডের প্রসঙ্গে খুব বেশি নির্ভর করেছিলাম।
জোসেফ কার্ন

4
@ জোসেফ কার্ন, আমি ওপিটি নিজের মতো করে পড়িনি। আমি এটিকে আরও পড়ি কারণ আমি কীভাবে রাখি না এমন ছয় মাসের ডেটা কীভাবে উত্পাদন করতে পারি। অবশ্যই, আমি একমত, যে এই প্রয়োজনটি মেটাতে চেষ্টা করার বেশিরভাগ উপায় প্রতারণামূলক হবে। যাইহোক, আমি কি আমার পাসওয়ার্ড ডাটাবেসটি গ্রহণ করেছি এবং গত 6 মাস ধরে টাইমস্ট্যাম্পগুলি বের করেছিলাম কী কী পরিবর্তনগুলি এখনও সংরক্ষিত ছিল তার একটি রেকর্ড তৈরি করতে পারি। আমি বিবেচনা করি যে 'ফেইকিং' ডেটা হিসাবে কিছু ডেটা হারিয়ে গেছে।
ব্যবহারকারী 179700

242

আপনি যা চান তা আপনি তাকে দিতে পারবেন না এবং "নকল" করার চেষ্টা এটি আপনাকে পাছায় কামড়ানোর জন্য ফিরে আসতে পারে (সম্ভবত আইনী উপায়ে)। আপনাকে হয় কমান্ড অফ কমান্ড আপিল করতে হবে (এটি সম্ভব এই নিরীক্ষকের দুর্নীতিবাজ, যদিও সুরক্ষা নিরীক্ষা কুখ্যাতভাবে বোকা - আমাকে অডিটর সম্পর্কে জিজ্ঞাসা করুন যে এসএমবির মাধ্যমে কোনও এএস / 400 অ্যাক্সেস করতে সক্ষম হতে চেয়েছিল), বা নরক পেতে এই প্রচুর প্রয়োজনীয়তা নীচে থেকে আউট।

এমনকি তারা ভাল নিরাপত্তা নয় - সব প্লেইন পাসওয়ার্ড একটি তালিকা একটি হল অবিশ্বাস্যভাবে বিপজ্জনক জিনিস কি কখনো উত্পাদন তাদের রক্ষা করার জন্য ব্যবহৃত পদ্ধতি নির্বিশেষে, এবং আমি বাজি ধরে বলতে পারি এই আদমি তাদের প্লেইন ই কর্মপরিহিত চান করব । (আমি নিশ্চিত যে আপনি এটি ইতিমধ্যে জানেন, আমাকে কেবল একটু বের করতে হবে)।

শিট এবং গিগলসের জন্য, তার প্রয়োজনীয়তাগুলি কীভাবে সম্পাদন করতে হয় তার সরাসরি জিজ্ঞাসা করুন - স্বীকার করুন কীভাবে আপনি জানেন না, এবং তার অভিজ্ঞতা অর্জন করতে চান। একবার আপনি বাইরে বের হয়ে গেলে, তার "আমার সুরক্ষা নিরীক্ষণের ক্ষেত্রে 10 বছরেরও বেশি অভিজ্ঞতা আছে" এর প্রতিক্রিয়াটি "না, আপনার কয়েক মিনিটের অভিজ্ঞতা কয়েকশবার পুনরাবৃত্তি হবে" be


8
... একটি অডিটর যা এসএমবি এর মাধ্যমে কোনও এএস / 400 এ অ্যাক্সেস চেয়েছিলেন? ... কেন?
বার্ট সিলভারস্ট্রিম

11
পিসিআই কমপ্লায়েন্স সংস্থাগুলির সাথে আমার যে বারবার সমস্যা হয়েছে তা কম্বল আইসিএমপি ফিল্টারিংয়ের বিরুদ্ধে তর্ক করছে এবং কেবল প্রতিধ্বনিকে আটকাচ্ছে। আইসিএমপি খুব ভাল কারণেই এখানে রয়েছে তবে অজস্র 'স্ক্রিপ্ট থেকে কাজ করা' অডিটরদের কাছে এটি ব্যাখ্যা করা অসম্ভবের পরে।
23:38

48
@ বার্টসিলভারস্ট্রিম সম্ভবত চেক-লিস্ট অডিটিংয়ের একটি মামলা। অডিটর হিসাবে একবার আমাকে বলেছিলেন - অডিটর কেন রাস্তা পেরিয়ে গেলেন? কারণ এটাই তারা গত বছর করেছিল।
স্কট প্যাক

10
আমি জানি এটি করণীয়, আসল "ডাব্লুটিএফ?" আসলে নিরীক্ষক বিবেচিত যে মেশিন সাহায্যে SMB মাধ্যমে আক্রমণের সম্ভাবনা ছিল না হওয়া পর্যন্ত তিনি সাহায্যে SMB মাধ্যমে সংযোগ পারে ... ছিল
womble

14
"আপনার কাছে পাঁচ মিনিটের অভিজ্ঞতা কয়েকশবার পুনরাবৃত্তি হয়েছে" --- ওহো, এটি সরাসরি আমার উদ্ধৃতি সংগ্রহে চলেছে! : ডি
তাসোস পাপাস্টাইলিয়ানু

183

কোনও অডিটর আপনাকে ব্যর্থ করা উচিত নয় যদি তারা aতিহাসিক সমস্যাটি খুঁজে পান যা আপনি এখন ঠিক করেছেন। আসলে, এটি ভাল আচরণের প্রমাণ। এই বিষয়টি মাথায় রেখে আমি দুটি বিষয় প্রস্তাব করি:

ক) মিথ্যা কথা বলবেন না বা জিনিস আপ করবেন না। খ) আপনার নীতিগুলি পড়ুন।

আমার কাছে মূল বক্তব্যটি হ'ল:

সমস্ত [জেনেরিক ক্রেডিট কার্ড প্রসেসিং সরবরাহকারী] ক্লায়েন্টদের আমাদের নতুন সুরক্ষা নীতিমালা মেনে চলার প্রয়োজন

আমি বাজি ধরছি যে এই নীতিগুলিতে একটি বিবৃতি আছে যা বলছে যে পাসওয়ার্ডগুলি লেখা যায় না এবং ব্যবহার ব্যতীত অন্য কারও কাছে দেওয়া যায় না। যদি থাকে তবে তার অনুরোধগুলিতে সেই নীতিগুলি প্রয়োগ করুন। আমি এটিকে এভাবে পরিচালনা করার পরামর্শ দিচ্ছি:

  • সমস্ত সার্ভারে সমস্ত ব্যবহারকারীর অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা

তাকে ব্যবহারকারীর নামের একটি তালিকা দেখান, তবে সেগুলি সরাতে দেয় না। ব্যাখ্যা করুন যে সরল পাঠ্য পাসওয়ার্ড দেওয়া ক) এটি একমুখী হিসাবে অসম্ভব, এবং খ) নীতির বিরুদ্ধে, যা তিনি আপনার বিরুদ্ধে নিরীক্ষা করছেন, সুতরাং আপনি তা মানবেন না।

  • গত ছয় মাস ধরে সমস্ত পাসওয়ার্ড পরিবর্তনের একটি তালিকা, আবার সরল-পাঠ্যে

ব্যাখ্যা করুন যে এটি historতিহাসিকভাবে উপলভ্য ছিল না। এটি এখন করা হচ্ছে তা দেখানোর জন্য তাকে সাম্প্রতিক পাসওয়ার্ড পরিবর্তনের সময়ের একটি তালিকা দিন। উপরোক্ত হিসাবে ব্যাখ্যা করুন, যে পাসওয়ার্ড সরবরাহ করা হবে না।

  • গত ছয় মাসে "দূরবর্তী ডিভাইসগুলি থেকে সার্ভারে যুক্ত প্রতিটি ফাইলের একটি তালিকা"

লগ করা হচ্ছে না এবং কী তা ব্যাখ্যা করুন। আপনি যা পারেন তা সরবরাহ করুন। গোপনীয় কিছু সরবরাহ করবেন না, এবং কেন নীতিমালা দ্বারা ব্যাখ্যা করুন। আপনার লগিং উন্নত করা প্রয়োজন কিনা জিজ্ঞাসা করুন।

  • যে কোনও এসএসএইচ কীগুলির সরকারী এবং ব্যক্তিগত কী

আপনার কী পরিচালনার নীতিটি দেখুন। এটিতে উল্লেখ করা উচিত যে প্রাইভেট কীগুলি তাদের ধারক থেকে বাইরে আনার অনুমতি নেই এবং অ্যাক্সেসের কঠোর শর্ত রয়েছে। সেই নীতি প্রয়োগ করুন এবং অ্যাক্সেসের অনুমতি দিন না। পাবলিক কীগুলি সুখে জনসাধারণ এবং ভাগ করা যায়।

  • প্রতিবারই একজন ইমেল তাকে প্রেরণ করা হয়েছে যখন ব্যবহারকারী তাদের পাসওয়ার্ড পরিবর্তন করে, এতে সরল পাঠ্যের পাসওয়ার্ড থাকে

শুধু না বলুন. আপনার যদি স্থানীয় সুরক্ষিত লগ সার্ভার থাকে তবে তাকে দেখতে দিন যে এটি সিগুয়েটে লগইন হচ্ছে।

মূলত, এবং এটি বলার জন্য আমি দুঃখিত, তবে আপনাকে এই লোকটির সাথে হার্ডবল খেলতে হবে। আপনার নীতিটি হুবহু অনুসরণ করুন, বিচ্যুত হবেন না। মিথ্যা বল না. এবং যদি তিনি নীতিমালা না করে এমন কোনও কারণে আপনাকে ব্যর্থ হন, তবে তাকে প্রেরণকারী সংস্থায় তাঁর সিনিয়রদের কাছে অভিযোগ করুন। আপনি যুক্তিসঙ্গত ছিলেন কিনা তা প্রমাণ করার জন্য এই সমস্তগুলির একটি কাগজের ট্রেইল সংগ্রহ করুন। আপনি যদি নিজের নীতি ভঙ্গ করেন তবে আপনি তাঁর করুণায় রয়েছেন। আপনি যদি তাদের চিঠির অনুসরণ করেন তবে তাকে বরখাস্ত করা হবে।


28
সম্মতি জানানো হয়েছে, এটি সেই ক্রেজিটি রিয়েলিটি শোগুলির মতো একটি, যেখানে কোনও গাড়ি পরিষেবা লোক আপনার গাড়িটিকে একটি ক্লিফ বা সমান অবিশ্বাস্য কিছু থেকে সরিয়ে দেয়। আমি ওপিকে বলব, পুনরায় শুরু করুন এবং ছেড়ে দিন, যদি উপরের ক্রিয়াগুলি আপনার পক্ষে কার্যকর না হয়। এটি স্পষ্টভাবে একটি হাস্যকর এবং ভয়ানক পরিস্থিতি।
জোনাথন ওয়াটমোগ

5
আশা করি আমি এই +1,000,000 টিতে ভোট দিতে পারব। যদিও বেশিরভাগ উত্তর এখানে একই জিনিস বলছে, এটি একটি আরও সম্পূর্ণরূপে। দুর্দান্ত কাজ, @ জিমি!
ইসজি

141

হ্যাঁ, নিরীক্ষক হয় একটি গাধা। যাইহোক, আপনি জানেন যে, কখনও কখনও ইডিয়টগুলি ক্ষমতার পদে স্থাপন করা হয়। এই সেই ক্ষেত্রে এক।

তিনি যে তথ্য অনুরোধ করেছেন তার সিস্টেমের বর্তমান সুরক্ষা শূন্য রয়েছে । নিরীক্ষককে ব্যাখ্যা করুন যে আপনি প্রমাণীকরণের জন্য এলডিএপি ব্যবহার করছেন এবং পাসওয়ার্ডগুলি একমুখী হ্যাশ ব্যবহার করে সংরক্ষণ করা হয়েছে। পাসওয়ার্ড হ্যাশগুলির বিরুদ্ধে একটি নিরপেক্ষ শক্তি স্ক্রিপ্ট না করা (যা কয়েক সপ্তাহ (বা বছর সময় নিতে পারে), আপনি পাসওয়ার্ড সরবরাহ করতে সক্ষম হবেন না।

একইভাবে রিমোট ফাইলগুলি - আমি শুনতে চাই, বুঝতে পারছি যে তিনি কীভাবে মনে করেন যে আপনি সরাসরি সার্ভারে তৈরি ফাইল এবং সার্ভারে এসসিপি করা একটি ফাইলের মধ্যে পার্থক্য করতে সক্ষম হওয়া উচিত।

যেমন @ ওম্বল বলেছে, কিছু জাল করবেন না। এটা কোন ভাল কাজ করবে না। হয় এই নিরীক্ষণটি খনন করুন এবং অন্য ব্রোকারকে জরিমানা করুন, বা এই "পেশাদার" কে বোঝানোর জন্য কোনও উপায় আবিষ্কার করুন যে তার পনির তার ক্র্যাকার থেকে সরে গেছে।


61
"1 এর জন্য ... যে তার পনিরটি তার ক্র্যাকার থেকে সরে গেছে।" এটা আমার কাছে নতুন!
কলিন অ্যালেন

2
"তিনি যে তথ্য অনুরোধ করেছেন তার সিস্টেমের বর্তমান সুরক্ষা শূন্য রয়েছে।" <- আমি প্রকৃতপক্ষে বলতে পারি এটির নিরাপত্তার উপর প্রচুর পরিমাণে প্রভাব রয়েছে। : পি
ইশপেক

2
(which could take weeks (or years)আমি কোথায় ভুলে গিয়েছি তবে আমি অনলাইনে এই অ্যাপ্লিকেশনটি পেয়েছি যা অনুমান করে যে এটি আপনার পাসওয়ার্ডটি জোর করে ফেলতে কত দিন সময় নেয়। আমি অনুমান করি নিষ্ঠুর শক্তি বা হ্যাশিংয়ের অ্যালগোরিদমগুলি কী ছিল, তবে এটি আমার বেশিরভাগ পাসওয়ার্ডের জন্য 17 ট্রিলিয়ন বছরের মতো অনুমান করেছিল ... :)
কারসন মায়ার্স

60
@ কারসন: আমি যে অনলাইন অ্যাপ্লিকেশনটি অনুমান করতে পারি যে পাসওয়ার্ড শক্তির একটি আলাদা (এবং সম্ভবত আরও নির্ভুল) পদ্ধতির ছিল: প্রতিটি পাসওয়ার্ডের জন্য, এটি ফিরে এসেছে "আপনার পাসওয়ার্ডটি সুরক্ষিত নয় - আপনি কেবল এটি একটি অবিশ্বস্ত ওয়েব পৃষ্ঠায় টাইপ করেছেন!"
জেসন ওয়ান

3
@ জেসন ওহ না, আপনি ঠিক বলেছেন!
কারসন মায়ার্স

90

আপনার "সিকিউরিটি অডিটর" এর যে কোনও নথির যে কোনও পাঠ্যকে তার প্রয়োজনীয়তা রয়েছে এবং যে কোনও অজুহাত উপস্থিত করার জন্য সংগ্রাম করতে গিয়ে অবশেষে নিজেকে আর কখনও শুনেনি বলে নিজেকে অজুহাত দেখিয়ে দেখুন।


11
একমত। কেন? একটি বৈধ প্রশ্ন এই মত একটি পরিস্থিতিতে। নিরীক্ষককে তার অনুরোধের জন্য ব্যবসায় / পরিচালনা সংক্রান্ত মামলার ডকুমেন্টেশন সরবরাহ করতে সক্ষম হওয়া উচিত। আপনি তাকে বলতে পারেন "নিজেকে আমার অবস্থানে রাখুন। এই ধরণের অনুরোধটি আমি প্রত্যাশা করব যে কেউ অনুপ্রবেশ স্থাপনের চেষ্টা করছে।"
জেএল।

75

ডব্লিউটিএফ! দুঃখিত তবে এটি আমার একমাত্র প্রতিক্রিয়া। আমি কখনও শুনেছি এমন কোনও নিরীক্ষণের প্রয়োজনীয়তা নেই যার জন্য একটি সরলখুলি পাসওয়ার্ডের প্রয়োজন হয়, পরিবর্তনের সাথে সাথে তাদের পাসওয়ার্ডগুলি খাওয়ানো যাক।

1 ম, আপনি যে সরবরাহ করেন তা আপনাকে দেখাতে বলুন।

২ য়, যদি এটি পিসিআইয়ের জন্য হয় (যা আমরা সকলেই অনুমান করি যেহেতু এটি একটি পেমেন্ট সিস্টেমের প্রশ্ন) তবে এখানে যান: https://www.pcisecuritystandards.org/approved_companies_provider/qsa_companies.php এবং একটি নতুন অডিটর পাবেন।

তৃতীয়ত, তারা উপরে যা বলেছে তা অনুসরণ করুন, আপনার পরিচালনার সাথে যোগাযোগ করুন এবং তিনি যে QSA সংস্থার সাথে কাজ করছেন তার সাথে যোগাযোগ করুন। তারপরে তাত্ক্ষণিকভাবে অন্য অডিটর পাবেন get

নিরীক্ষক নিরীক্ষণ সিস্টেমের রাজ্যগুলি, মানসমূহ, প্রক্রিয়াগুলি ইত্যাদি states তাদের কোনও সিস্টেমে অ্যাক্সেস সরবরাহ করে এমন কোনও তথ্য রাখার দরকার নেই।

আপনি যদি কোনও প্রস্তাবিত নিরীক্ষক বা বিকল্প কোলোর চান যা নিরীক্ষকদের সাথে ঘনিষ্ঠভাবে কাজ করে তবে আমার সাথে যোগাযোগ করুন এবং আমি রেফারেন্স সরবরাহ করতে পেরে খুশি হব।

শুভকামনা! আপনার অন্ত্রে বিশ্বাস করুন, যদি কিছু ভুল মনে হয় তবে সম্ভবত এটি।


67

পাসওয়ার্ডটি জানার এবং ব্যক্তিগত কীগুলিতে অ্যাক্সেস পাওয়ার কোনও বৈধ কারণ নেই। তিনি যা অনুরোধ করেছিলেন তা তাকে আপনার যেকোন ক্লায়েন্টের যেকোন সময় সময়ে ছদ্মবেশ ধারণ করার এবং তার যতটা টাকা পয়সা চাইবে তা সম্ভাব্য জালিয়াতি লেনদেন হিসাবে সনাক্ত করার কোনও উপায় ছাড়াই দেবে। তিনি হ'ল সুরক্ষিত হুমকিগুলির ধরণগুলির জন্য হ'ল তিনিই আপনার নিরীক্ষণ করবেন।


2
আসুন, অবশ্যই এটি নিরীক্ষার বিষয়, সামাজিক প্রকৌশল ??? এই জন্য 21 আপ ভোট?!?
ওজ

16
সুরক্ষা পদ্ধতি এবং সেগুলি প্রতিষ্ঠিত বিধি অনুসারে হয় কিনা তা নিয়ে একটি নিরীক্ষণ থাকে official এটি ফায়ার ইন্সপেক্টর যেমন আপনার যাবতীয় অগ্নি নির্বাপনকারী রয়েছে তা যাচাই করতে আসার মত হবে এবং আগুনের কোড অনুসারে দরজা এবং জানালা বা আপনার রেস্তোঁরা খোলা যেতে পারে। আপনি ফায়ার ইন্সপেক্টরকে রেস্তোঁরায় আগুন দেওয়ার চেষ্টা করবেন না, তাই না?
ফ্রেঞ্চি পেনভ

8
এটি আরও মনে হয় রেস্তোঁরাটির চারপাশে ইনসিডিয়ারি ডিভাইস স্থাপন করা এবং তাদের কাছে নিরীক্ষককে রিমোট ট্রিগার প্রদান এবং তা আপ টু ডেট রাখার প্রতিশ্রুতি দেওয়ার মতো।
এক্সটিএল

62

পরিচালনকে অবহিত করুন যে নিরীক্ষক আপনাকে আপনার সুরক্ষা নীতিমালা ভঙ্গ করার অনুরোধ করেছেন এবং অনুরোধটি অবৈধ। পরামর্শ দিন যে তারা বর্তমান অডিটিং ফার্মটি ফেলে দিতে এবং কোনও বৈধ একটি সন্ধান করতে পারে। পুলিশকে কল করুন এবং অবৈধ তথ্য (ইউকেতে) অনুরোধের জন্য নিরীক্ষককে সরিয়ে দিন। তারপরে পিসিআইকে কল করুন এবং তাদের অনুরোধের জন্য নিরীক্ষকের কাছে যান।

অনুরোধটি আপনাকে এলোমেলোভাবে কাউকে হত্যা করতে এবং দেহ হস্তান্তর করার অনুরোধের অনুরূপ is তুমি কি ওটা করতে? অথবা আপনি পুলিশকে কল করে এগুলি চালু করবেন?


8
কেন আপনি কেবল এই তথ্যটি সরবরাহ করতে পারবেন না তা বলে না কেন এটি আপনার সুরক্ষা নীতি লঙ্ঘন করে। বাক্সে আপনার টিকটি পাবেন এবং নিরীক্ষাটি পাস করবেন?
ব্যবহারকারী 619714

8
যদিও খুনের সাদৃশ্যটি খানিকটা দূরে হতে পারে তবে আপনি সঠিক যে এই "নিরীক্ষক" আইনটি ভঙ্গ করছেন এবং আপনার বস, পুলিশ এবং পিসিআই-কে জানানো উচিত
রোরি

60

একটি মামলা দিয়ে সাড়া । যদি কোনও নিরীক্ষক সরল-পাঠ্য পাসওয়ার্ডের জন্য জিজ্ঞাসা করে (এখনই আসুন, দুর্বল পাসওয়ার্ড হ্যাশগুলিকে আঘাত করা বা ফাটানো এতটা কঠিন নয়) তবে তারা সম্ভবত তাদের শংসাপত্রগুলি সম্পর্কে আপনাকে মিথ্যা বলে।


9
আমি এটিকে অপব্যবহার হিসাবেও দেখতে পাচ্ছি, লোকালের উপর নির্ভর করে সম্ভবত এর আশেপাশে আইন রয়েছে।
এভিডি

54

আপনি আপনার প্রতিক্রিয়াটি কীভাবে উচ্চারণ করেন সে সম্পর্কে একটি টিপ:

দুর্ভাগ্যক্রমে আমাদের জন্য অনুরোধ করা কিছু তথ্য, প্রধানত সরল-পাঠ্য পাসওয়ার্ড, পাসওয়ার্ডের ইতিহাস, এসএসএইচ কী এবং রিমোট ফাইল লগ সরবরাহের কোনও উপায় নেই। এই জিনিসগুলি কেবল প্রযুক্তিগতভাবেই অসম্ভব ...

প্রযুক্তিগত সম্ভাব্যতা সম্পর্কে আলোচনায় না এড়াতে আমি এটিকে পুনরায় লিখব। নিরীক্ষক কর্তৃক প্রেরিত ভয়াবহ প্রাথমিক ইমেলটি পড়া, দেখে মনে হচ্ছে এটি এমন কেউ যিনি মূল সমস্যার সাথে সম্পর্কিত নয় এমন বিশদটি বেছে নিতে পারেন এবং তিনি তর্ক করতে পারেন যে আপনি পাসওয়ার্ড, লগইন লগইন ইত্যাদি সংরক্ষণ করতে পারেন তাই হয় বলুন :

... আমাদের কঠোর সুরক্ষা নীতিগুলির কারণে আমরা কখনও সরল পাঠ্যে পাসওয়ার্ড লগ করি নি। সুতরাং, এই তথ্য সরবরাহ করা প্রযুক্তিগতভাবে অসম্ভব হবে।

অথবা

... কেবল আপনার অনুরোধ মেনে আমরা কেবল আমাদের অভ্যন্তরীণ সুরক্ষা স্তরকে উল্লেখযোগ্যভাবে হ্রাস করব না ...

শুভকামনা, এবং পোস্টার রাখুন কীভাবে এটি শেষ হয়!


37

এই প্রশ্নটিতে ঝাঁপিয়ে পড়া উচ্চ-প্রতিনিধি ব্যবহারকারীদের ভিড় চালিয়ে যাওয়ার ঝুঁকিতে, এখানে আমার চিন্তাভাবনা রয়েছে।

আমি কেন স্পষ্টতই দেখতে পাচ্ছি যে সে কেন প্লেইনস্টেক্সট পাসওয়ার্ড চায় এবং এটি ব্যবহারের পাসওয়ার্ডগুলির গুণমানটি বিচার করে। এটি সম্পর্কে একটি কৃপণ উপায়, আমি জানি বেশিরভাগ অডিটররা ক্রিপ্টযুক্ত হ্যাশগুলি গ্রহণ করবেন এবং তারা কী ধরণের নিম্ন-ঝুলন্ত ফল বের করতে পারে তা দেখতে একটি ক্র্যাকার চালাবেন। তাদের সকলেই পাসওয়ার্ড-জটিলতার নীতিটি অতিক্রম করবে এবং এটি কার্যকর করতে কোন সুরক্ষা ব্যবস্থা রয়েছে তা পর্যালোচনা করবে।

তবে আপনাকে কিছু পাসওয়ার্ড সরবরাহ করতে হবে। আমি প্রস্তাব দিই (যদিও আমি মনে করি আপনি ইতিমধ্যে এটি করতে পেরেছেন) তাকে জিজ্ঞাসা করে প্লেইনেক্সট পাসওয়ার্ড সরবরাহের লক্ষ্য কী। তিনি বলেছিলেন যে এটি আপনার সম্মতি বনাম সুরক্ষা নীতিটিকে বৈধতা দেবে, সুতরাং আপনাকে সেই নীতিটি দিতে তাকে পান। তাকে জিজ্ঞাসা করুন যদি তিনি কি স্বীকার করেন যে আপনার পাসওয়ার্ড জটিলতা ব্যবস্থা ব্যবহারকারীদের তাদের পাসওয়ার্ড সেট আপ করতে বাধা দিতে যথেষ্ট শক্তিশালী P@55w0rdএবং প্রশ্নটিতে months মাস ধরে স্থানে রয়েছে।

যদি সে এটি ঠেলে দেয় তবে আপনাকে স্বীকার করতে হতে পারে যে আপনি প্লেইন টেক্সট পাসওয়ার্ড সরবরাহ করতে পারবেন না যেহেতু আপনি সেগুলি রেকর্ড করার জন্য সেট আপ করেন নি (এটি কীভাবে একটি বড় সুরক্ষা ব্যর্থ হচ্ছে) তবে ভবিষ্যতে যদি তার প্রয়োজন হয় তবে চেষ্টা করতে পারেন আপনার পাসওয়ার্ড নীতিগুলি কাজ করছে তা প্রত্যক্ষ যাচাইকরণ। এবং যদি তিনি এটি প্রমাণ করতে চান তবে আপনি আনন্দের সাথে তার জন্য ক্রিপ্টযুক্ত পাসওয়ার্ড ডেটাবেস সরবরাহ করবেন (বা আপনি! ইচ্ছুক দেখান! এটি সাহায্য করে!) একটি ক্র্যাকিং পাস চালাতে।

"রিমোট ফাইলগুলি" সম্ভবত এসএফটিপি সেশনের জন্য এসএসএইচ লগগুলি থেকে বের করে নেওয়া যেতে পারে, যা আমি সন্দেহ করি যা সে কথা বলছিল। যদি আপনার কাছে 6 মাসের মূল্যবান সিসলগিং না থাকে তবে এটি উত্পাদন করা শক্ত। এসএসএইচ-এর মাধ্যমে লগ ইন করার সময় কোনও রিমোট সার্ভার থেকে কোনও ফাইল টানতে উইজেট কি 'রিমোট ফাইল ট্রান্সফার' হিসাবে বিবেচিত? এইচটিটিপি পুটস কি? রিমোট-ব্যবহারকারীর টার্মিনাল উইন্ডোতে ক্লিপবোর্ডের পাঠ্য থেকে তৈরি ফাইলগুলি? যদি কিছু হয় তবে আপনি এই অঞ্চলে তার উদ্বেগগুলির জন্য আরও ভাল অনুভূতি পেতে এই প্রান্ত-কেসগুলি দিয়ে তাকে আটকান করতে পারেন এবং সম্ভবত তিনি কী নির্দিষ্ট প্রযুক্তি নিয়ে ভাবছেন তা অনুভব করতে "আপনার চেয়ে আমি এই সম্পর্কে আরও জানি" ins তারপরে লগ এবং আর্কাইভযুক্ত লগগুলি ব্যাকআপগুলিতে আপনি যা পারেন তা বের করুন ract

আমি এসএসএইচ কী তে কিছুই পেলাম না। কেবলমাত্র আমি ভাবতে পারি যে সে কোনও কারণে পাসওয়ার্ডহীন কীগুলি পরীক্ষা করছে এবং সম্ভবত ক্রিপ্টো শক্তি। নাহলে আমি কিছুই পেলাম না।

এই কীগুলি পাওয়ার ক্ষেত্রে, কমপক্ষে পাবলিক কীগুলি সংগ্রহ করা যথেষ্ট সহজ; কেবল .ssh ফোল্ডারগুলি তাদের অনুসন্ধান করে ট্রোল করুন। "প্রাইভেট কীগুলি পাওয়া আপনার বিওএফএইচ টুপি দান করা এবং আপনার ব্যবহারকারীদের কাছে সুর দেওয়া জড়িত থাকবে," আমাকে আপনার সরকারী এবং বেসরকারী এসএসএইচ কী-জোড় পাঠান। আমি যা কিছু পাই না তা 13 দিনের মধ্যে সার্ভার থেকে মুছে ফেলা হবে, "এবং যদি কেউ বাধা দেয় (আমি) তাদের সুরক্ষা নিরীক্ষণের দিকে নির্দেশ করব। স্ক্রিপ্টিং এখানে আপনার বন্ধু। সর্বনিম্ন এটি পাসওয়ার্ড পাওয়ার জন্য একগুচ্ছ পাসওয়ার্ড-কম কীপাইস তৈরি করবে।

তিনি যদি এখনও "ইমেলের প্লেইন-পাঠ্য পাসওয়ার্ডগুলিতে" জোর দিয়ে থাকেন তবে কমপক্ষে সেই ইমেলগুলি নিজের কী দিয়ে GPG / PGP এনক্রিপশনে সাবধান করুন। তার নুনের মূল্যবান যে কোনও সিকিউরিটি অডিটর এর মতো কিছু পরিচালনা করতে সক্ষম হবে। এইভাবে যদি পাসওয়ার্ডগুলি ফাঁস হয় তবে এটি হ'ল কারণ সে আপনাকে বের করে দিয়েছে। যোগ্যতার জন্য আরও একটি লিটমাস পরীক্ষা।


আমি এই জাইফার এবং ওম্বল উভয়ের সাথেই একমত হতে পারি। বিপজ্জনক পরিণতি সহ বিপজ্জনক বোকা।


1
মূর্খতা প্রমাণ নেই। ওপি আনুষ্ঠানিকভাবে বলেছে না এর কোনও প্রমাণ আমি এই তথ্য সরবরাহ করতে পারি না। অবশ্যই যদি আপনি এই তথ্য সরবরাহ করতে পারেন তবে আপনি নিরীক্ষায় ব্যর্থ হবেন।
ব্যবহারকারী 619714

2
@ আইইন এই কারণেই সামাজিকভাবে সুরক্ষা নিরীক্ষককে প্রকৃতপক্ষে যা আছে তা বের করার জন্য এই মুহুর্তে এটি অত্যন্ত গুরুত্বপূর্ণ।
sysadmin1138

9
আমি এই পরিষ্কারভাবে অনিরাপদ ব্যক্তিকে কিছু দেওয়ার সাথে একমত নই।
Kzqai

@ চালচলক: 'অনিরাপদ' বা 'মূর্খ' এর কোনও প্রমাণ নেই।
ব্যবহারকারী 619714

1
কোনও উচ্চ প্রতিনিধি ব্যবহারকারী নয়, তবে আপনার উত্তরের জন্য আমার ব্যক্তিগত অনুভূতিটি হ'ল: আমার পাসওয়ার্ডটি কোনও তৃতীয় পক্ষকে দিন এবং আমি মামলা করতে পারি না তা দেখতে পাচ্ছি। আইটি ক্ষেত্রে কেউ হিসাবে, আমি আপনার উল্লেখ করা উচ্চ প্রতিনিধিদের সাথে একমত হয়েছি এবং বলব যে আপনার কোনও পাসওয়ার্ড সংরক্ষণ করার কথা নয়। ব্যবহারকারী আপনার সিস্টেমে বিশ্বাস রাখছেন, তৃতীয় পক্ষকে তাদের পাসওয়ার্ড দেওয়া কাউকে তাদের সমস্ত তথ্য দেওয়ার চেয়ে সেই বিশ্বাসের লঙ্ঘন। পেশাদার হিসাবে আমি তা কখনই করতাম না।
jmoreno

31

আপনি সম্ভবত কোনও ঝুঁকিপূর্ণ কিনা তা দেখার জন্য তিনি সম্ভবত আপনাকে পরীক্ষা করছেন। আপনি যদি তাকে এই বিবরণ সরবরাহ করেন তবে আপনি সম্ভবত তাত্ক্ষণিকভাবে বরখাস্ত হয়ে যাবেন। এটি আপনার তাত্ক্ষণিক বসের কাছে নিয়ে যান এবং বকটি পাস করুন। আপনার বসকে জানতে দিন যে যদি এই গাধাটি আপনার কাছে আরও কোথাও আসে তবে আপনি প্রাসঙ্গিক কর্তৃপক্ষকে জড়িত করবেন।

মনিবদের জন্য এটিই দেওয়া হয়।

আমার কাছে একটি ট্যাক্সি ক্যাবের পিছনে থাকা টুকরো কাগজের একটি দর্শন রয়েছে যা এতে পাসওয়ার্ডের একটি তালিকা, এসএসএইচ কী এবং ব্যবহারকারীর নাম রয়েছে! Hhhmmm! এখনই সংবাদপত্রের শিরোনামগুলি দেখতে পাচ্ছেন!

হালনাগাদ

নীচের 2 টি মন্তব্যের প্রতিক্রিয়া হিসাবে আমি অনুমান করি যে আপনার উভয়ের পক্ষে ভাল পয়েন্ট রয়েছে। সত্য সত্য খুঁজে পাওয়ার কোনও উপায় নেই এবং প্রশ্নটি পোস্ট করার বিষয়টি পোস্টারের অংশে কিছুটা নিখুঁতভাবে দেখায় পাশাপাশি সম্ভাব্য ক্যারিয়ারের পরিণতিগুলির সাথে একটি প্রতিকূল পরিস্থিতির মুখোমুখি হওয়ার সাহসও দেখায় যেখানে অন্যরা তাদের মাথাটি আটকে রাখে বালি এবং পালাতে।

এটির মূল্যের জন্য আমার উপসংহারটি হ'ল এটি একটি পুরোপুরি আকর্ষণীয় বিতর্ক যা সম্ভবত বেশিরভাগ পাঠকই ভাবছেন যে তারা এই পরিস্থিতিতে অডিটর বা নিরীক্ষকের নীতিমালা সক্ষম কিনা তা বিবেচনা না করে তারা কী করবে wond বেশিরভাগ লোকেরা তাদের কর্মজীবনের জীবনে কোনও আকার বা আকারে এই ধরণের দ্বিধাদ্বন্দ্বের মুখোমুখি হবেন এবং এটি সত্যিকারের দায়িত্ব নয় যা একক ব্যক্তির কাঁধে চাপানো উচিত। এটি কীভাবে মোকাবেলা করা যায় সে সম্পর্কে কোনও ব্যক্তির সিদ্ধান্তের চেয়ে ব্যবসায়ের সিদ্ধান্ত।


1
আমি আশ্চর্য হয়েছি যে এটি বেশি ভোট পায় না। আমি কেবল বিশ্বাস করি না যে অডিটর "বোকা"। অন্যরা যেমন মন্তব্যগুলিতে বলেছে, তবে উত্তর হিসাবে নয়, সামাজিক প্রকৌশলটির এই শিক্ষাটি। এবং যখন ওপি প্রথম জিনিসটি এখানে পোস্ট করে এবং পরামর্শ দেয় যে সে ডেটা জাল করতে পারে, এবং তারপরে এই লিঙ্কটি নিরীক্ষকের কাছে প্রেরণ করে, লোকটি অবশ্যই তার পাছাটি হাসছে, এবং এর ভিত্তিতে জিজ্ঞাসা করতে থাকবে। নিশ্চয়?!?!
ওজ

3
ফলস্বরূপ যে সে তার সংস্থার ওপিএস ব্যবসায় হারিয়েছে, এটি যদি এমন হয় তবে এটি খুব ভাল নিরীক্ষণের কৌশল বলে মনে হয় না। কমপক্ষে আমি তাকে প্রত্যাশা করেছিলাম যে তারা 'পরিষ্কার হয়ে উঠবে' যখন স্পষ্ট হয়ে উঠল তারা ব্যবসায় হারাচ্ছে, এবং ব্যাখ্যা করে দেবে যে এটি ব্যবহারের ক্ষেত্রে নিরীক্ষণের পদ্ধতির অংশ ছিল, বরং এটির উপর জোর না দিয়ে। আমি বুঝতে পারি যদি আপনি 'নৈতিক হ্যাকার' এনে থাকেন তবে আপনি সম্ভবত 'সামাজিক প্রকৌশল' পদ্ধতির যেমন গ্রহণ করা আশা করতে পারেন তবে নিরীক্ষণের জন্য নয় (যা লক্ষ্যযুক্ত যে সমস্ত উপযুক্ত চেক এবং পদ্ধতি রয়েছে কিনা)
ক্রিস সি

1
অডিটরের আরও ইমেলগুলি দেওয়া, আমি আর এটি সত্য বলে মনে করি না। the responders all need to get their facts right. I have been in this industry longer than anyone on that site- অমূল্য
এসএলএক্স

29

স্পষ্টতই এখানে অনেক ভাল তথ্য রয়েছে, তবে আমার 2c যুক্ত করার অনুমতি দিন, যিনি আমার নিয়োগকর্তা দ্বারা বিশ্বব্যাপী বিক্রি করা এমন সফ্টওয়্যার লেখেন যা মূলত অ্যাকাউন্ট পরিচালনা সুরক্ষা নীতিমালা মেনে চলতে এবং নিরীক্ষণগুলি পাস করতে লোকদের সহায়তা করতে; কি যে মূল্য জন্য।

প্রথমত, আপনি (এবং অন্যরা) লক্ষ করেছেন যে এটি অত্যন্ত সন্দেহজনক বলে মনে হচ্ছে। হয় নিরীক্ষক ঠিক এমন পদ্ধতি অনুসরণ করছেন যা তিনি বুঝতে পারছেন না (সম্ভব), অথবা আপনাকে দুর্বলতার জন্য পরীক্ষার জন্য সোশ্যাল ইঞ্জিনিয়ারিং (ফলোআপ এক্সচেঞ্জের পরে সম্ভাবনা নেই), অথবা কোনও জালিয়াতি সামাজিক প্রকৌশল (আপনিও সম্ভব), অথবা কেবল জেনেরিক বোকা (সম্ভবত) সম্ভবত) যতদূর পরামর্শ হিসাবে, আমি প্রস্তাব দিচ্ছি যে আপনি আপনার ব্যবস্থাপনার সাথে কথা বলতে পারেন, এবং / অথবা একটি নতুন অডিটিং সংস্থা সন্ধান করতে পারেন, এবং / অথবা এটিকে উপযুক্ত তদারকি সংস্থাকে রিপোর্ট করুন।

নোট হিসাবে, দুটি জিনিস:

  • আপনার অনুরোধ করা তথ্যটি সরবরাহ করা সম্ভব (নির্দিষ্ট শর্তাধীন), যদি আপনার সিস্টেমটি এটির জন্য সেট আপ করা থাকে। এটি কোনওভাবেই সুরক্ষার জন্য "সেরা অনুশীলন" নয়, এটি মোটেই সাধারণ হবে না।
  • সাধারণত, নিরীক্ষাগুলি প্রকৃত সুরক্ষিত তথ্য পরীক্ষা না করে বৈধতা অনুশীলনের সাথে সম্পর্কিত। আমি যথাযথভাবে সরল-পাঠ্য পাসওয়ার্ড বা শংসাপত্রের জন্য জিজ্ঞাসা করা সম্পর্কে অত্যন্ত সন্দেহজনক হয়ে উঠছি, তারা "ভাল" এবং সঠিকভাবে সুরক্ষিত তা নিশ্চিত করার জন্য ব্যবহৃত পদ্ধতিগুলির চেয়ে।

আশা করি এটি সাহায্য করবে, যদিও এটি বেশিরভাগ ক্ষেত্রে অন্য লোকেরা যা পরামর্শ দিয়েছে তা পুনর্বিবেচনা করে। আপনার মত, আমি আমার সংস্থার নাম রাখব না, আমার ক্ষেত্রে কারণ আমি তাদের পক্ষে কথা বলছি না (ব্যক্তিগত অ্যাকাউন্ট / মতামত এবং সমস্ত); যদি তা বিশ্বাসযোগ্যতা থেকে বিরত থাকে তবে ক্ষমা চাই it শুভকামনা।


24

এই পারা এবং পোস্ট করা উচিত আইটি নিরাপত্তা - স্ট্যাক এক্সচেঞ্জ

আমি সুরক্ষা নিরীক্ষণের ক্ষেত্রে বিশেষজ্ঞ নই, তবে সুরক্ষা নীতি সম্পর্কে আমি প্রথমটি শিখেছি "NEVER GIVE PASSWORDS AWAY"। এই লোকটি সম্ভবত 10 বছর ধরে এই ব্যবসায়ে রয়েছে, তবে ওম্বল বলেছিলেন"no, you have 5 minutes of experience repeated hundreds of times"

আমি কিছু সময়ের জন্য আইটি লোকের সাথে ব্যাঙ্কিংয়ের সাথে কাজ করছি এবং যখন আমি আপনাকে পোস্ট দেখলাম তখন আমি তাদের কাছে এটি দেখিয়েছিলাম ... তারা এত জোরে হাসছিল। তারা আমাকে বলেছিল যে লোকটি দেখতে একটি কেলেঙ্কারীর মতো দেখাচ্ছে। তারা ব্যাঙ্ক গ্রাহকের সুরক্ষার জন্য এই জাতীয় জিনিস নিয়ে কাজ করত।

স্পষ্ট পাসওয়ার্ডের জন্য জিজ্ঞাসা করা, এসএসএইচ কীগুলি, পাসওয়ার্ড লগগুলি স্পষ্টতই একটি গুরুতর পেশাদার অসদাচরণ। এই লোকটি বিপজ্জনক।

আমি আশা করি সবকিছু এখন ঠিক আছে, এবং তারা আপনার সাথে পূর্বের লেনদেনের লগ রাখতে পারে এ বিষয়ে আপনার কোনও সমস্যা নেই।


19

আপনি যদি 1,2,4 এবং 5 পয়েন্টে অনুরোধ করা তথ্য (সর্বজনীন কীগুলির সম্ভাব্য ব্যতিক্রম সহ) সরবরাহ করতে পারেন তবে আপনার নিরীক্ষণ ব্যর্থ হওয়ার আশা করা উচিত।

আনুষ্ঠানিকভাবে 1,2 এবং 5 পয়েন্টগুলিতে প্রতিক্রিয়া জানায় যে আপনি নিজের সুরক্ষা নীতিমালা হিসাবে মেনে চলতে পারবেন না আপনি সরল পাঠ্য পাসওয়ার্ডগুলি রাখবেন না এবং যে পাসওয়ার্ডগুলি কোনও বিপরীত অ্যালগরিদম ব্যবহার করে এনক্রিপ্ট করা হবে। আবার 4 নির্দেশ করতে, আপনি ব্যক্তিগত কীগুলি সরবরাহ করতে পারবেন না কারণ এটি আপনার সুরক্ষা নীতি লঙ্ঘন করে।

৩. পয়েন্ট হিসাবে আপনার কাছে যদি ডেটা থাকে তবে তা সরবরাহ করুন। আপনি যদি এটি সংগ্রহ না করেন বলে আপনি না করেন তবে তাই বলুন এবং প্রদর্শিত করুন যে আপনি এখন কীভাবে নতুন প্রয়োজনীয়তা পূরণ করছেন (দিকে কাজ করছেন)।


18

আমাদের সার্ভারগুলির জন্য সুরক্ষা নিরীক্ষক দু'সপ্তাহের মধ্যে নিম্নলিখিতটির দাবি করেছেন :

...

আমরা নিরাপত্তা নিরীক্ষা ব্যর্থ যদি আমরা আমাদের কার্ড প্রক্রিয়াকরণ প্ল্যাটফর্মে আলগা এক্সেস (আমাদের সিস্টেমের একটি সমালোচনামূলক অংশ) এবং এটি একটি ভাল দুটি সপ্তাহ সময় লাগতে অন্য কোথাও সরাতে হবে । আমি কতটা খারাপ?

মনে হচ্ছে আপনি নিজের প্রশ্নের উত্তর দিয়েছেন। (ইঙ্গিতগুলির জন্য গা bold় পাঠ্য দেখুন))

কেবলমাত্র একটি সমাধান মাথায় আসে: প্রত্যেককে তাদের শেষ এবং বর্তমান পাসওয়ার্ডটি লিখুন এবং তারপরে তা তাত্ক্ষণিকভাবে এটিকে একটি নতুনটিতে পরিবর্তন করুন। যদি তিনি পাসওয়ার্ডের মান পরীক্ষা করতে চান (এবং পাসওয়ার্ড থেকে পাসওয়ার্ডে রূপান্তরের গুণমান, উদাহরণস্বরূপ কেউ আরএফভিজন 125 এবং তারপরে পরবর্তী পাসওয়ার্ড হিসাবে rfvujn126 ব্যবহার না করে তা নিশ্চিত করে নিন ) সেই পুরানো পাসওয়ার্ডের তালিকাটি পর্যাপ্ত হওয়া উচিত।

যদি এটি গ্রহণযোগ্য বলে মনে করা হয় না, তবে আমি সন্দেহ করব যে লোকটি বেনামে / লুলজেকের সদস্য ... যার বিন্দুতে আপনি তাকে তার হ্যান্ডেলটি কী তা জিজ্ঞাসা করতে হবে এবং তাকে এমন স্ক্রাব হওয়া ছেড়ে দেওয়ার জন্য বলবেন!


21
লোককে কারও কাছে নিজের পাসওয়ার্ড সরবরাহ করতে বলা উচিত নয়।
ক্রিস কৃষক

ব্যবহারকারীদের বর্তমান পাসওয়ার্ড রেকর্ড না করে ভাল পাসওয়ার্ড পরিবর্তন ফাংশন বিকাশ করুন এবং পরিবর্তনের জন্য জোর করুন। উদাহরণস্বরূপ, পাসওয়ার্ড পরিবর্তন স্ক্রিনে ব্যবহারকারী টাইপ করে পুরানো_পাস এবং নতুন_পাস উভয়ই। স্বয়ংক্রিয় চেকগুলির একটি সিরিজ বিকাশ; উদাহরণস্বরূপ, ওল্ডপাসে দুটি অক্ষরের বেশি একই স্থানে নতুন_পাসে নেই; বা যে কোনও ক্রমে কোনও স্থানে 4 টির বেশি অক্ষর পুনরায় ব্যবহার করা হয় না। তদ্ব্যতীত, পরীক্ষা করুন যে নতুন_পাসটি পুরানো পিডব্লিউর মতো কাজ করবে না। হ্যাঁ, কেউ rfvujn125 / jgwoei125 / rfvujn126 এর মতো অনেকগুলি অনিরাপদ পাসওয়ার্ড পেয়ে যেতে পারে, তবে এটি গ্রহণযোগ্য হওয়া উচিত।
ডাঃ জিম্বোব

17

অলি যেমন বলেছিলেন: প্রশ্নে থাকা ব্যক্তি আপনাকে আইন (ডেটা সুরক্ষা / ইইউ গোপনীয়তার নির্দেশাবলী) / অভ্যন্তরীণ বিধিবিধান / পিসিআই মানগুলি ভঙ্গ করার জন্য চেষ্টা করছে। আপনাকে কেবল ম্যানেজমেন্টকে অবহিত করতে হবে না (যেমন আপনি ইতিমধ্যে আমার মনে হয়েছিল), তবে আপনি পরামর্শ অনুযায়ী পুলিশকে কল করতে পারেন।

যদি প্রশ্নে থাকা ব্যক্তিটির কাছে কোনও প্রকারের স্বীকৃতি / শংসাপত্র থাকে, যেমন সিআইএসএ (সার্টিফাইড ইনফরমেশন সিস্টেমস অডিটর), বা যুক্তরাজ্য সিপিএর সমতুল্য (জনসাধারণের হিসাবরক্ষক পদবি), আপনি স্বীকৃত সংস্থাগুলিকেও এটি তদন্তের জন্য অবহিত করতে পারেন। কেবলমাত্র সেই ব্যক্তিই আপনাকে আইন ভঙ্গ করার চেষ্টা করছে তা নয়, এটি অত্যন্ত অদক্ষ "অডিটিং" এবং সম্ভবত প্রতিটি নৈতিক নিরীক্ষার মান লঙ্ঘনের ক্ষেত্রেও যার দ্বারা অনুমোদিত অনুমোদিত নিরীক্ষকগণ অবশ্যই অনুমোদনের ক্ষতিতে ব্যথিত থাকতে হবে।

তদুপরি, যদি প্রশ্নে থাকা ব্যক্তিটি কোনও বৃহত্তর সংস্থার সদস্য হন, তবে পূর্বে বর্ণিত নিরীক্ষণ সংস্থাগুলি প্রায়শই এক ধরণের কিউএ বিভাগের প্রয়োজন হয় যা নিরীক্ষণ এবং নিরীক্ষণের ফাইলিংয়ের মান পর্যবেক্ষণ করে এবং অভিযোগগুলি তদন্ত করে। সুতরাং আপনার প্রশ্নবিদ্ধ অডিট সংস্থায় অভিযোগ করতেও যেতে পারেন।


16

আমি এখনও অধ্যয়ন করছি এবং সার্ভার সেট আপ করার সময় আমি প্রথম যে জিনিসটি শিখেছি তা হ'ল আপনি যদি সরল পঠন পাসওয়ার্ডগুলি লগ করা সম্ভব করেন তবে আপনি ইতিমধ্যে একটি বিশাল দৈত্য লঙ্ঘনের জন্য নিজেকে বিপন্ন করে তুলছেন। যে পাসওয়ার্ড এটি নিয়োগ করে তা ছাড়া কোনও পাসওয়ার্ড জানা উচিত নয়।

এই লোকটি যদি একজন গুরুতর অডিটর হয় তবে সে আপনাকে এই বিষয়গুলি জিজ্ঞাসা করবে না। আমার কাছে সে একধরণের দুর্বৃত্তের মতো শব্দ করে । আমি নিয়ন্ত্রক অঙ্গ দিয়ে পরীক্ষা করব কারণ এই লোকটি সম্পূর্ণ নির্বোধ বলে মনে হচ্ছে।

হালনাগাদ

ধরুন, তিনি বিশ্বাস করেন যে আপনার কেবল পাসওয়ার্ড প্রেরণ করার জন্য একটি প্রতিসামগ্রী এনক্রিপশন ব্যবহার করা উচিত, তবে তারপরে সেগুলি আপনার ডাটাবেসে সাদামাটা সংরক্ষণ করুন, বা সেগুলি ডিক্রিপ্ট করার উপায় সরবরাহ করুন। সুতরাং মূলত, ডেটাবেসগুলিতে সমস্ত বেনামে আক্রমণ করার পরে, যেখানে তারা সাধারণ পাঠ্য ব্যবহারকারীর পাসওয়ার্ড দেখিয়েছিল, তিনি এখনও বিশ্বাস করেন যে এটি পরিবেশকে "সুরক্ষিত" করার একটি ভাল উপায়।

তিনি 1960 সালে আটকে একটি ডাইনোসর ...


10
"তিনি 90 এর দশকে আটকে একটি ডাইনোসর" - আমি আসলে 70 এর দশকে অনুমান করতাম। 1870 সুনির্দিষ্ট হতে হবে। Augশ্বর আগস্ট কেরাকফসকে মঙ্গল করুন। :)
মার্টিন সোজকা

5
90s? আমি বিশ্বাস করি 1970 এর দশকে ইউনিক্স হ্যাশড এবং সল্টেড পাসওয়ার্ড ব্যবহার করেছে ...
ররি

7
লুকাস এখন এটিকে 1960 এর দশকে বদলে দিয়েছে সত্যটি আমি ভালবাসি :)
রিক্যডাক্ক

1
কোনও কম্পিউটার (হোম মাইক্রো জন্য বেসিক টিউটোরিয়াল বাদে) সিস্টেমের কি কখনও গুরুতর পাসওয়ার্ড রয়েছে এবং সেগুলি সরলরেখায় সংরক্ষণ করা হয়েছে?
এক্সটিএল

হতে পারে খুব অনেক দিন আগে ... আপনাকে কোনও টিউটোরিয়াল নির্দেশ করতে পারে না। তবে এই সাইটটি হোম সিস্টেমগুলির জন্য সত্যিই উপযুক্ত নয়, আমি সুপারিশ করি আপনার সুপারuser.com এ একবার দেখুন। কেন পৃথিবীতে আপনি ক্রেডিট কার্ডের বিশদ / পাসওয়ার্ডগুলি সরল পাঠ্য যেকোনভাবে সংরক্ষণ করবেন? কেবলমাত্র খারাপভাবে ডিজাইন করা সিস্টেমগুলি করে।
লুকাস কাউফম্যান

13
  • সমস্ত সার্ভারে সমস্ত ব্যবহারকারীর অ্যাকাউন্টের জন্য বর্তমান ব্যবহারকারীর নাম এবং প্লেইন-পাঠ্য পাসওয়ার্ডগুলির একটি তালিকা
    • বর্তমান ব্যবহারকারীর নামগুলি "আমরা এটি প্রকাশ করতে পারি" এর স্কোপের মধ্যে থাকতে পারে এবং "আমরা আপনাকে এটি দেখাতে পারি, তবে আপনি এটি অফ-সাইট নাও নিতে পারেন" scope
    • সরল-পাঠ্য পাসওয়ার্ডগুলির পক্ষে ওয়ান-ওয়ে হ্যাশ হওয়ার চেয়ে বেশি সময়ের জন্য অস্তিত্ব থাকা উচিত নয় এবং এগুলি অবশ্যই কখনও স্মৃতি ছেড়ে যায় না (এমনকি তারগুলিও অতিক্রম করতে পারে না), তাই স্থায়ী স্টোরেজে তাদের অস্তিত্ব কোনও সংখ্যা নয়।
  • গত ছয় মাস ধরে সমস্ত পাসওয়ার্ড পরিবর্তনের একটি তালিকা, আবার সরল-পাঠ্যে
    • "স্থায়ী সঞ্চয়স্থান হ'ল" দেখুন।
  • গত ছয় মাসে "দূরবর্তী ডিভাইসগুলি থেকে সার্ভারে যুক্ত প্রতিটি ফাইলের একটি তালিকা"
    • এটি নিশ্চিত করার জন্য আপনি পেমেন্ট-প্রসেসিং সার্ভারে গুলি / ফাইল থেকে ফাইল স্থানান্তর লগ করতে পারেন, যদি আপনার লগ থাকে তবে এটি পাস করা ঠিক হবে। আপনার যদি তেমন লগ না থাকে তবে সেই তথ্য লগ করার বিষয়ে প্রাসঙ্গিক সুরক্ষা নীতিগুলি কী বলে তা পরীক্ষা করে দেখুন।
  • যে কোনও এসএসএইচ কীগুলির সরকারী এবং ব্যক্তিগত কী
    • 'এসএসএইচ কীগুলির একটি পাস-বাক্যাংশ থাকতে হবে' তা যাচাই করার চেষ্টা নীতিতে রয়েছে এবং অনুসরণ করা হবে। আপনি সমস্ত ব্যক্তিগত কীতে পাস-বাক্যাংশ চান।
  • প্রতিবারই একজন ইমেল তাকে প্রেরণ করা হয়েছে যখন ব্যবহারকারী তাদের পাসওয়ার্ড পরিবর্তন করে, এতে সরল পাঠ্যের পাসওয়ার্ড থাকে
    • এটি অবশ্যই কোনও সংখ্যা নেই।

আমি আমার উত্তরগুলির পংক্তিতে কিছু প্রতিক্রিয়া জানাবো, পিসিআই-সম্মতি, এসওএক্স_কম্পিলেন্স এবং অভ্যন্তরীণ সুরক্ষা নীতিমালা নথির প্রয়োজন অনুসারে ব্যাক আপ করেছিলাম।


11

এই ছেলেরা উচ্চ স্বর্গের কাছে প্রার্থনা করার অনুরোধ জানায়, এবং আমি সম্মত হই যে এখান থেকে কোনও চিঠিপত্র সিটিওর মধ্য দিয়ে যাওয়া উচিত। হয় তিনি গোপনীয় তথ্য প্রকাশের জন্য, অনুরোধটির অনুরোধটি পূরণ করতে না পেরে, বা গুরুতরভাবে অক্ষম হওয়ার জন্য আপনাকে পড়ার লোকটি করার চেষ্টা করছেন। আশা করি আপনার সিটিও / ম্যানেজার এই লোকদের অনুরোধটি দ্বিগুণ গ্রহণ করবেন এবং ইতিবাচক পদক্ষেপ নেওয়া হবে, এবং যদি তারা এই লোকটির ক্রিয়াকলাপের পিছনে থাকে তবে .... ভাল সিস্টেমে প্রশাসকদের সর্বদা শ্রেণিবদ্ধদের কাছে চাহিদা থাকে টিআই শোনাচ্ছে যদি এমন কিছু ঘটে থাকে তবে কিছু জায়গা খুঁজে বের করার সময় শুরু হয়েছে।


11

আমি তাকে বলব যে পাসওয়ার্ডগুলির জন্য ক্র্যাকিংয়ের অবকাঠামো তৈরি করতে সময়, প্রচেষ্টা এবং অর্থ লাগে তবে আপনি SHA256 এর মতো শক্তিশালী হ্যাশিং ব্যবহার করেন বা যাই হোক না কেন, 2 সপ্তাহের মধ্যে পাসওয়ার্ড সরবরাহ করা সম্ভব নাও হতে পারে। তার শীর্ষে, আমি বলব যে আমি কারও সাথে এই তথ্য ভাগ করে নেওয়া আইনী কিনা তা নিশ্চিত করার জন্য আমি আইনী বিভাগের সাথে যোগাযোগ করেছি। পিসিআই ডিএসএসও আপনার মতো করে উল্লেখ করার জন্য একটি ভাল ধারণা। :)

আমার সহকর্মীরা এই পোস্টটি পড়ে হতবাক।


10

আমি তাকে হানিপট অ্যাকাউন্টগুলির জন্য ব্যবহারকারীর নাম / পাসওয়ার্ড / ব্যক্তিগত কীগুলির একটি তালিকা দেওয়ার জন্য প্ররোচিত হব যদি তিনি কখনও এই অ্যাকাউন্টগুলির জন্য লগইনগুলি পরীক্ষা করে থাকেন তবে তিনি কোনও কম্পিউটার সিস্টেমে অননুমোদিত অ্যাক্সেসের জন্য করেন। যদিও, দুর্ভাগ্যক্রমে এটি সম্ভবত আপনাকে প্রতারণামূলক উপস্থাপনের জন্য ন্যূনতম একধরণের নাগরিক নির্যাতনের কাছে উন্মোচিত করে।


9

কেবল পাসওয়ার্ডগুলিতে অ্যাক্সেস না থাকায় আপনি পাস করতে পারবেন না তা জানিয়ে কেবল তথ্য প্রকাশ করা অস্বীকার করুন। আমি নিজে নিরীক্ষক হয়ে থাকি, তাকে অবশ্যই কোনও কোনও প্রতিষ্ঠানের প্রতিনিধিত্ব করা উচিত। এ জাতীয় প্রতিষ্ঠানগুলি সাধারণত এই ধরনের নিরীক্ষণের জন্য নির্দেশিকা প্রকাশ করে। এই জাতীয় অনুরোধ সেই নির্দেশিকাগুলির সাথে সম্মতি জানায় কিনা দেখুন। এমনকি আপনি এই জাতীয় সমিতিগুলিতে অভিযোগ করতে পারেন। নিরীক্ষকের কাছে এটি পরিষ্কার করে দিন যে কোনও ভুলের ক্ষেত্রে দোষ তার (অডিটর) কাছে ফিরে আসতে পারে কারণ তার সমস্ত পাসওয়ার্ড রয়েছে।


8

আমি বলব যে আপনার কাছে অনুরোধ করা তথ্যের কোনও সরবরাহ করার কোনও উপায় নেই।

  • ব্যবহারকারীর নামগুলি তাকে আপনার অ্যাকাউন্টগুলিতে অন্তর্দৃষ্টি দিয়ে থাকে যা আপনার সিস্টেমে অ্যাক্সেস করে, একটি সুরক্ষা ঝুঁকি
  • পাসওয়ার্ডের ইতিহাস শৃঙ্খলে পরবর্তী পাসওয়ার্ড অনুমান করে তাকে পাসওয়ার্ডের নিদর্শনগুলির অন্তর্দৃষ্টি দেয়
  • সিস্টেমে স্থানান্তরিত ফাইলগুলিতে এমন গোপনীয় তথ্য থাকতে পারে যা আপনার সিস্টেমগুলির বিরুদ্ধে আক্রমণে ব্যবহৃত হতে পারে, পাশাপাশি তাদের আপনার ফাইল সিস্টেমের কাঠামোর উপর অন্তর্দৃষ্টি দিয়েছিল
  • সরকারী এবং ব্যক্তিগত কীগুলি, আপনি যদি তাদের উদ্দেশ্যপ্রণোদিত ব্যবহারকারীর ব্যতীত অন্য কাউকে দিয়ে দেন তবে তাদের কী হবে?
  • যখনই কোনও ব্যবহারকারী কোনও পাসওয়ার্ড পরিবর্তন করে তখনই একটি ইমেল প্রেরণ করা হয় তাকে প্রতিটি ব্যবহারকারীর অ্যাকাউন্টের জন্য সর্বশেষতম পাসওয়ার্ড দেয়।

এই লোকটি আপনার চালক সাথীকে টানছে! তার আপত্তিজনক দাবি নিশ্চিত করতে আপনাকে তার ম্যানেজার বা সংস্থার অন্য কোনও অডিটর এর সাথে যোগাযোগ করতে হবে। এবং ASAP সরানো।


0

এতক্ষণে সমস্যার সমাধান হয়েছে তবে ভবিষ্যতের পাঠকদের সুবিধার জন্য ...

এটি বিবেচনা করে:

  • আপনি এটিতে এক ঘন্টারও বেশি সময় ব্যয় করেছেন বলে মনে হচ্ছে।

  • আপনাকে কোম্পানির আইনী পরামর্শের পরামর্শ নিতে হবে।

  • তারা আপনার চুক্তিটি পরিবর্তনের পরে প্রচুর কাজ জিজ্ঞাসা করছে।

  • আপনি অর্থ এবং আরও সময় স্যুইচিং আউট হবে।

আপনার ব্যাখ্যা করা উচিত যে আপনার সামনে প্রচুর অর্থের প্রয়োজন হবে এবং সর্বনিম্ন চার ঘন্টা আছে।

গত কয়েকবার আমি কাউকে বলেছিলাম যে তারা হঠাৎ এতটা অভাবী নয়।

তারা এখনও আপনার চুক্তি পরিবর্তিত হওয়ার কারণে স্যুইচওভার চলাকালীন এবং নেওয়া সময়ের জন্য যে কোনও ক্ষতির জন্য বিল দিতে পারেন। আমি বলছি না যে তারা দুই সপ্তাহের মধ্যে অর্থ প্রদান করবে, যতটা তারা ভেবেছিল যে আপনি সেই সময়ের মধ্যে মেনে চলবেন - তারা একতরফা হয়ে যাবে, আমার কোনও সন্দেহ নেই।

আপনার উকিলের অফিস যদি সংগ্রহের নোটিশ পাঠায় তবে তা তাদের ছড়িয়ে দেবে। এটি নিরীক্ষকের সংস্থার মালিকের দৃষ্টি আকর্ষণ করবে।

আমি তাদের সাথে আরও যে কোনও লেনদেনের বিরুদ্ধে পরামর্শ দেব, কেবল বিষয়টি নিয়ে আরও আলোচনা করার জন্য প্রয়োজনীয় কাজের জন্য আমানত লাগবে। তারপরে সেগুলি বন্ধ করে দেওয়ার জন্য আপনাকে অর্থ প্রদান করা যেতে পারে।

এটি আপনার পক্ষে একটি চুক্তি কার্যকর এবং তারপরে অন্য প্রান্তের কেউ রেলপথ থেকে বেরিয়ে আসবে - এই বিষয়টি নিরাপদ নয় - যদি এটি সুরক্ষা বা বুদ্ধি পরীক্ষা না করে তবে এটি অবশ্যই আপনার ধৈর্য্যের পরীক্ষা।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.