আপনি যদি বুঝতে পারেন যে আপনার ইমেল হোস্টিং সরবরাহকারী আপনার পাসওয়ার্ডগুলি দেখতে পাচ্ছেন?

31

আমরা আমাদের হোস্টিং সরবরাহকারীর কাছ থেকে আমাদের একাউন্টের বিষয়ে গত বছর একটি ইমেল পেয়েছি- এটি আপস করা হয়েছিল এবং স্প্যামের পরিবর্তে উদার সহায়তা প্রদানের জন্য ব্যবহৃত হয়েছিল।

স্পষ্টতই, ব্যবহারকারী তার নামের পরিবর্তনে তার পাসওয়ার্ডটি পুনরায় সেট করেছিলেন (শেষ নামটি এমন কিছু যা আপনি সম্ভবত প্রথমবার অনুমান করতে পারেন।) তিনি তাত্ক্ষণিকভাবে এক সপ্তাহের মধ্যে হ্যাক হয়ে গেলেন her অবরুদ্ধ করেছে।

এখনও অবধি বিশেষ কিছু অস্বাভাবিক নয়। যেটা ঘটবে. আপনি আপনার পাসওয়ার্ডগুলিকে আরও সুরক্ষিত কিছুতে পরিবর্তন করুন, ব্যবহারকারীকে শিক্ষিত করুন এবং এগিয়ে যান।

যাইহোক, আমাদের অ্যাকাউন্টগুলির মধ্যে একটিতে আপস করা হয়েছিল তার চেয়েও বেশি কিছু আমাকে চিন্তিত করে ।

আমাদের হোস্টিং সরবরাহকারী, সহায়ক হওয়ার প্রয়াসে, নিম্নলিখিত ইমেলটিতে আসলে আমাদের কাছে পাসওয়ার্ডটি উদ্ধৃত করে :

এখানে চিত্র বর্ণনা লিখুন

আমি অবাক হই। আমরা শীঘ্রই আমাদের চুক্তি পুনর্নবীকরণের কারণে করছি - এবং এটি ডিলব্রেকারের মতো অনুভব করে।

কোনও হোস্টিং সরবরাহকারীর পক্ষে কোনও অ্যাকাউন্টে ব্যবহৃত প্রকৃত পাসওয়ার্ডটি সন্ধান করা কতটা সাধারণ?

বেশিরভাগ হোস্টিং সরবরাহকারীদের কোনও অ্যাকাউন্ট অপব্যবহারের বিভাগ রয়েছে যা সামনের-লাইনের রেপগুলির চেয়ে বেশি অ্যাক্সেস পেয়েছে (এবং প্রয়োজনে পাসওয়ার্ডগুলি সন্ধান করতে পারে), বা এই ছেলেরা কেবল তাদের কোনও স্টাফের ব্যবহারকারীর অ্যাক্সেসের পক্ষে সম্ভব করার পক্ষে সর্বোত্তম অনুশীলন অনুসরণ করছে না? পাসওয়ার্ড? আমি ভেবেছিলাম পাসওয়ার্ডগুলি হ্যাশ করার কথা ছিল এবং পুনরুদ্ধারযোগ্য নয়? এর অর্থ কি তারা প্রত্যেকের পাসওয়ার্ডগুলি সরল পাঠ্যে সংরক্ষণ করে?

এমনকি কোনও হোস্টিং সরবরাহকারীর পক্ষে এই ফ্যাশনে অ্যাকাউন্টের পাসওয়ার্ডগুলি আবিষ্কার করতে সক্ষম হওয়া কি আইনসম্মত ? এটা আমার কাছে খুব অবিশ্বাস্য মনে হয়।

সরবরাহকারী পরিবর্তনের দিকে নজর দেওয়ার আগে আমি কিছুটা আশ্বাস চাই যে এটি সাধারণ অনুশীলন নয় এবং আমাদের পরবর্তী হোস্টিং সরবরাহকারীও সম্ভবত জিনিসগুলি একইভাবে সেট আপ না করে থাকতে পারে।

এ সম্পর্কে আপনার মতামত শোনার প্রত্যাশায়

security  email  password  best-practices 
অস্টিন '' বিপদ '' শক্তিগুলি
সূত্র
4
স্পষ্টতই উদ্বেগের সাথে, আপনারা সকলেই জানেন যে এটি একটি টিকিটে নতুন পাসওয়ার্ড রেকর্ড করা কোনও ফোনের রেপ-এর এক-দু'টি ঘুষি (যা তাদের কখনই করা উচিত নয়) এবং টিকিটের নোটগুলিতে এটি দেখে অন্য একজন প্রতিনিধি। আপনি উত্তর দাবি করার অধিকারের মধ্যে রয়েছেন, তবে এটি কীভাবে পাসওয়ার্ড পুনরুদ্ধার করা হয়েছিল তা আপনি জানেন না ।
অ্যান্ড্রু বি
1
আমি একটি বাস্তবতার জন্য জানি যে ব্যবহারকারী ওয়েব ইন্টারফেসের মাধ্যমে পাসওয়ার্ড সেট করেছিলেন। তারা এটিকে সার্ভারের রেকর্ডগুলি থেকে টেনে এনেছে- অফিসে কেউই তাদের সাথে ফোনে এ বিষয়ে কথা বলেনি (এছাড়াও আমি বিশ্বাস করি যে এই সরবরাহকারীর যে কোনওভাবেই কেবল ইমেল সমর্থন রয়েছে)
অস্টিন '' ডেঞ্জার '' পাওয়ারগুলি
3
আমি কি করবো? অসহায়তা। অন্য কারও দ্বারা নিয়ন্ত্রিত সিস্টেমে আপনি যা কিছু করেন তা তাদের কাছে দৃশ্যমান। যদি আপনি না চান যে আপনার ইমেল সিস্টেমে অন্য কারও কাছে এই দৃশ্যমানতা রয়েছে, তবে চালনা করুন এবং সেগুলি নিজেই হোস্ট করুন। সংজ্ঞা অনুসারে তারা যে তথ্য দিয়ে থাকে তা দিয়ে আপনি তাদের অনুমোদন নাও করতে পারেন, তবে তাদের যদি এটি না করার জন্য কোনও চুক্তিবদ্ধ বাধ্যবাধকতা না থাকে তবে ভাল, আপনি চুক্তিতে স্বাক্ষর করেছেন।
ম্যাডহ্যাটার মনিকে
19
প্লেইন টেক্সট পাসওয়ার্ডের সংরক্ষণ খারাপ (খারাপের মতো Time to find a new provider!) - প্রচুর লোক তা করে কিন্তু তবুও: বিএডি। আপনাকে একটি এনক্রিপ্ট করা ইমেলটিতে পাসওয়ার্ডটি পাঠানো হচ্ছে ? আমার সমস্ত নোট । এটি সুরক্ষার জন্য একটি নৈমিত্তিক অবজ্ঞা দেখায়। কোনও সাধারণ জ্ঞান সহ কোনও নতুন সরবরাহকারীর কাছে
দৌড়াও, হাঁটবেন
2
আমি @ ম্যাডহ্যাটার যা বলেছিলাম তাতে আমি প্রসারিত করতে চাই: এখানে প্রচুর লোকেরা "প্লেইন টেক্সট পাসওয়ার্ডগুলি সংরক্ষণ" করার ধারণাটির দিকে মনোনিবেশ করছেন। সাধারণ সত্যটি হ'ল আমি যদি কোনও পপ / আইএমএপি সার্ভার, একটি এসএসএইচ সার্ভার, বা অন্য কোনও কিছু যা আপনি নিজের পাসওয়ার্ড টাইপ করতে চলেছেন তবে এটি পাসওয়ার্ডটি টাইপ করার সময় লগইন করার জন্য এটি কনফিগার করা যেতে পারে , আপনি নির্বিশেষে বা না রেখেই আমি জিনিসগুলি হ্যাশ বা স্পষ্টতই সংরক্ষণ করছি। গুগল আপনার পাসওয়ার্ড দেখতে পাবে এবং ড্রপবক্স আপনার পাসওয়ার্ড দেখতে পাবে এবং ফেসবুক আপনার পাসওয়ার্ড দেখতে পাবে এবং আরও কিছু আগে। আপনি হয় আপনার সরবরাহকারীকে বিশ্বাস করুন বা এটি নিজে হোস্ট করুন।
লারস্কস

উত্তর:

33

হ্যাঁ, আইএসপিগুলি এবং ইমেল পরিষেবা সরবরাহকারীদের পক্ষে সাধারণ পাসওয়ার্ডে আপনার পাসওয়ার্ড সংরক্ষণ করা বা এমন একটি ফর্ম্যাট যা সাধারণ প্লেটে সহজেই পুনরুদ্ধারযোগ্য।

এর কারণ পিপিপি (ডায়ালআপ এবং ডিএসএল), রেডিয়াস (ডায়ালআপ, 802.1x, ইত্যাদি) এবং অন্যদের মধ্যে পিওপি (ইমেল) এর সাথে ব্যবহৃত প্রমাণীকরণের প্রোটোকলগুলির সাথে সম্পর্কযুক্ত।

এখানে ট্রেডঅফটি হ'ল যদি পাসওয়ার্ডগুলি আইএসপির ডেটাবেসে একমুখী হ্যাশ হয় তবে কেবলমাত্র প্রমাণীকরণের প্রোটোকলগুলি ব্যবহার করা যেতে পারে সেগুলি হ'ল প্লেইন টেক্সটে তারের সাহায্যে পাসওয়ার্ড প্রেরণ করা হয়। তবে যদি আইএসপি প্রকৃত পাসওয়ার্ড সঞ্চয় করে, তবে আরও সুরক্ষিত প্রমাণীকরণ প্রোটোকল ব্যবহার করা যেতে পারে।

উদাহরণস্বরূপ পিপিপি বা রেডিয়াস প্রমাণীকরণে CHAP ব্যবহার করা যেতে পারে, যা ট্রানজিটে প্রমাণীকরণের ডেটা সুরক্ষিত করে, তবে আইএসপি দ্বারা সংরক্ষণ করার জন্য একটি সরল পাঠ্য পাসওয়ার্ড প্রয়োজন requires একইভাবে পিওপি 3 এপিওপি সম্প্রসারণের সাথে।

এছাড়াও, আইএসপি প্রস্তাবিত বিভিন্ন পরিষেবাগুলির সমস্তগুলি বিভিন্ন প্রোটোকল ব্যবহার করে এবং সেগুলি একই ডাটাবেসে প্রমাণীকরণের একমাত্র পরিষ্কার উপায় হ'ল পাসওয়ার্ডটি সরল পাঠ্যে রাখা।

এই সমস্যা করে না আইএসপি এর কর্মী ডাটাবেসের অ্যাক্সেস আছে মধ্যে কে , এবং কত ভাল এটা সুরক্ষিত রাখা হয় , যদিও। এগুলি সম্পর্কে আপনার এখনও কঠোর প্রশ্ন করা উচিত।

আপনি সম্ভবত এখনই শিখেছেন, যদিও, কোনও আইএসপির ডেটাবেসকে আপোস করা প্রায় শুনা যায় না, যদিও এটি পৃথক ব্যবহারকারীদের পক্ষে আপোস করার পক্ষে খুব সাধারণ বিষয়। আপনার কোনওভাবেই ঝুঁকি রয়েছে।

আরও দেখুন কী আমি বিশ্বাস করি যে পাসওয়ার্ডগুলি কখনই পুনরুদ্ধারযোগ্য হওয়া উচিত নয় (এক উপায় হ্যাশ)? আমাদের বোনের সাইটে আইটি সুরক্ষা

মাইকেল হ্যাম্পটন
সূত্র
2
এপিওপি হ'ল একটি ডেড প্রোটোকল, এবং এমএসসিএইচপিভি 2 এর পাসওয়ার্ডটি পরিষ্কার করার জন্য সার্ভারের দরকার নেই - আমি সত্যিই মনে করি না যে এই দিনগুলিতে কোনও পরিষেবা সরবরাহকারী পরিষ্কার পাসওয়ার্ড রাখার যথেষ্ট কারণ আছে।
শেন ম্যাডেন
1
পছন্দ করেছেন এটি এমএসএইচএপি-র চেয়ে চ্যাপ। এবং হ্যাঁ এই প্রোটোকলগুলি মৃতদের নিকটে জঘন্য, তবে পরিষেবা প্রদানকারীরা চিরকাল থেকে যাচ্ছেন তারা এখনও তাদের উত্তরাধিকারের পরিষেবার জন্য ব্যবহার করছেন be
মাইকেল হ্যাম্পটন
হ্যাঁ - যদিও আমি ভাবতে চাই যে লিগ্যাসি পরিষেবা সরবরাহকারীদের বেশিরভাগের কাছে ক্লিয়ারটেক্সট {crypt}পাসওয়ার্ডের চেয়ে ক্রেস্টলি পুরাতন এলডিএপি পূর্ণ রয়েছে (অতীতের দৃশ্যের পিছনে আমি যা দেখেছি সেগুলিই দেখেছি )। যদিও এটি কেবল ইচ্ছুক চিন্তাভাবনা হতে পারে।
শেন ম্যাডেন
1
বাধ্যতামূলক ক্রিপ্টোগ্রাফি নোট, "এখানে ট্রেড অফটি হ'ল যদি পাসওয়ার্ডগুলি আইএসপি-এর ডাটাবেসে একতরফা হ্যাশ করা হয় তবে কেবলমাত্র প্রমাণীকরণের প্রোটোকলগুলি ব্যবহার করা যেতে পারে সেগুলি হ'ল যারা সরল পাঠ্যে তারের সাহায্যে পাসওয়ার্ডটি প্রেরণ করে But তবে আইএসপি সঞ্চয় করলে আসল পাসওয়ার্ড, তারপরে আরও সুরক্ষিত প্রমাণীকরণের প্রোটোকল ব্যবহার করা যেতে পারে। " সাধারণত সত্য নয়। এটা শুধুমাত্র সত্য কারণ নেই বিদ্যমান প্রোটোকল যে কুচি-কুচি করিয়া কাটা বস্তু পাসওয়ার্ড সাথে একটি নিরাপদ প্রমাণীকরণ স্কীম অনুমতি দেয়।
orlp
1
@ নাইটক্র্যাকার আপনি যে পরিমাণ তথ্য স্থানান্তর করতে যাচ্ছেন তার সাথে তুলনা করুন (পাশাপাশি এনক্রিপ্ট করা হবে, আমি আশা করি) অল্প পরিমাণ প্রমাণীকরণের তথ্য আপনাকে সত্যিই এতটা উদ্বিগ্ন করা উচিত নয়
টোবিয়াস কেইনজলার
12

দুর্ভাগ্যক্রমে, এটি বাজেটের হোস্টগুলির পক্ষে মোটামুটি সাধারণ এবং বড় হোস্টের কাছেও শোনা যায় না। সিপ্যানেলের মতো জিনিসগুলিতে আপনার মতো বিভিন্ন পরিষেবাদিতে লগ ইন করতে সক্ষম হওয়ার জন্য আপনার প্লেইন পাঠ্যের পাসওয়ার্ডের প্রয়োজন হয় etc.

আপনি কেবলমাত্র যা করতে পারেন তা হল পাসওয়ার্ডগুলি হ্যাশ করা হয়েছে কিনা তা সম্পূর্ণরূপে জিজ্ঞাসা করা।

longneck
সূত্র
28
এটি খুব স্বল্প বাজেটের হোস্ট ... আমি জানতাম এটি সত্য হওয়াও খুব ভাল। এটি আমাকে পাগল করছে। যাইহোক, একটি উত্তর দিয়ে আপনার ঘাড় আটকে রাখা জন্য ধন্যবাদ। প্রথমে আমি ভেবেছিলাম এটি একটি লম্বা অর্ডার, তবে আপনি এই অনুষ্ঠানে উঠেছিলেন। এর মতো উত্তরগুলি এই সাইটটিকে নতুন উচ্চতায় পৌঁছাতে সহায়তা করে। আমি এটিকে সেরা উত্তর হিসাবে চিহ্নিত করার কথা ভাবছিলাম, তবে এটি ঘাড় এবং ঘাড়।
অস্টিন '' বিপদ '' শক্তি
7

তারা সম্ভবতঃ সরল পাঠ্যে পাসওয়ার্ডগুলি সংরক্ষণ করছে বা একরকম বিপরীত এনক্রিপশন ব্যবহার করছে।

আপনি যেমন অনুমান করেছেন, এটি খুব খারাপ।

হয় কর্মচারীর তাত্পর্য বা অবহেলার কারণে বা বাইরের পক্ষের দ্বারা তাদের সিস্টেমগুলির সাথে সমঝোতার কারণে, সরল পাঠ্য পাসওয়ার্ডগুলির অপব্যবহার করা গুরুতর ঝুঁকি তৈরি করে - কেবল তাদের সিস্টেমে নয়, অন্যান্য সিস্টেমেও লোকেরা একই পাসওয়ার্ড ব্যবহার করতে পারে।

পাসওয়ার্ড দায়ী স্টোরেজ একমুখী হ্যাশ উলটাকর এনক্রিপশন পরিবর্তে ফাংশন, একটি সঙ্গে ব্যবহার করার অর্থ হল লবণ ব্যবহার রোধ করার জন্য ব্যবহারকারীর ইনপুট জোড়া হয়েছে (র্যান্ডম তথ্য) রামধনু টেবিল

আমি যদি আপনার জুতাগুলিতে থাকতাম তবে আমি সরবরাহকারীকে কীভাবে, সঠিকভাবে, তারা পাসওয়ার্ড সংরক্ষণ করে এবং কীভাবে, তাদের সমর্থন প্রতিনিধি পাসওয়ার্ডটি পুনরুদ্ধার করতে সক্ষম হয়েছিল সে সম্পর্কে কিছু কঠোর প্রশ্ন জিজ্ঞাসা করব। এর অর্থ এই নয় যে তারা পাসওয়ার্ডগুলি সরল পাঠ্যে সংরক্ষণ করে, তবে পরিবর্তিত হয়ে গেলে তারা কোথাও লগইন করছে - এটিও একটি বিশাল ঝুঁকি।

শেন ম্যাডেন
সূত্র
1
আমি তাদের কিছু প্রশ্ন জিজ্ঞাসা করব এবং তারা আকর্ষণীয় কিছু বললে এখানে আবার পোস্ট করব। আমার সবচেয়ে বড় উদ্বেগটি হ'ল তারা সম্ভাব্য 1) আমাদের ইমেলগুলির 2 পড়তে পারে) 2) আমাদের ইমেলগুলি পড়তে, কোনও ব্যক্তিগত ইমেল অ্যাকাউন্টের একটি রেফারেন্স দেখুন 3) যদি কোনও ব্যবহারকারী কাজ এবং ব্যক্তিগত ইমেলের জন্য একই পাসওয়ার্ড ব্যবহার করে তবে তাদের ব্যক্তিগত ইমেলটি পারে আপোস করাও।
অস্টিন '' বিপদ '' শক্তিগুলি
@ অস্টিন'ড্যাঞ্জার'পাওয়ারস "সম্ভাব্য 1) আমাদের যেকোন ইমেল পড়তে পারে " কোনও হোস্ট এটি করতে পারে - কোনও ব্যতিক্রম নয় (ধরে নিই যে মেল সামগ্রী নিজেই প্রেরক দ্বারা এনক্রিপ্ট করা হয়নি - তবে এটি অন্যরকম গল্প)।
orlp
আমি ভেবেছিলাম এটি কেবলমাত্র শীর্ষ স্তরের সমর্থনের পক্ষে সম্ভব। যদি পাসওয়ার্ড দেখার কিছু কোন তাদের সমর্থন ভ্রাম্যমান এর কি করতে পারেন, আমাদের ইমেল বৃদ্ধির মাধ্যমে একটি অসৎ / উদাস কর্মচারী খোঁচা তত্কালীন ঝুঁকি।
অস্টিন '' বিপদ '' শক্তিগুলি
5

অন্যান্য সমস্ত উত্তর দুর্দান্ত এবং খুব ভাল historicalতিহাসিক পয়েন্ট রয়েছে।

তবে, আমরা সেই যুগে থাকি যেখানে সরল পাঠ্যে পাসওয়ার্ডগুলি সংরক্ষণ করা বিশাল আর্থিক সমস্যার কারণ হয়ে দাঁড়ায় এবং ব্যবসাগুলি একেবারে ধ্বংস করতে পারে। অনিরাপদ ইমেলের মাধ্যমে সরল পাঠ্যে পাসওয়ার্ড প্রেরণও এনএসএ-র যুগে সমস্ত পাসিং-মাধ্যমে ডেটা চুষতে হাস্যকর মনে হয়।

কিছু পুরানো প্রোটোকল সরল পাঠ্যে পাসওয়ার্ড প্রয়োজন তা আপনি গ্রহণ করতে হবে না। আমরা যদি সকলেই এই জাতীয় পরিষেবাদি গ্রহণ করা বন্ধ করে দিই, সম্ভবত পরিষেবা প্রদানকারীরা এ সম্পর্কে কিছু করবে এবং শেষ পর্যন্ত প্রাচীন প্রযুক্তিটিকে অবমূল্যায়ন করবে।

কিছু লোক মনে রাখতে পারেন যে একবার আপনি যখন অন্য কোনও দেশে বিমানের উদ্দেশ্যে বিমানটিতে চড়াতে চান তখন আপনি রাস্তায় পার্কিং থেকে আক্ষরিক অর্থেই বিমানের মধ্যে হাঁটবেন। এখনকার মতো কোনও সুরক্ষা নেই। আজকাল, লোকেরা বুঝতে পেরেছিল যে যথাযথ সুরক্ষা ব্যবস্থা নেওয়া দরকার এবং সমস্ত বিমানবন্দরগুলি সেগুলিতে পেয়ে গেছে।

আমি অন্য ইমেল সরবরাহকারীর কাছে যেতে চাই। "সুরক্ষিত ইমেল সরবরাহকারী" অনুসন্ধানে অনেক ফলাফল পাওয়া যায়।

মন্তব্যে কিছু ভাল পয়েন্ট ছিল। সম্ভবত "সুরক্ষিত ইমেল সরবরাহকারীর জন্য অনুসন্ধান" অনেক সার্থক হবে কারণ সমস্ত ইমেল সরবরাহকারীরা তাদের সুরক্ষিত বলে গর্বিত করবে। তবে, আমি কোনও নির্দিষ্ট সংস্থার সুপারিশ করতে পারি না এবং এটি করা সম্ভবত ভাল ধারণা নয়। আপনি যদি সুরক্ষা সম্পর্কে কঠোর প্রশ্ন জিজ্ঞাসা করে কোনও নির্দিষ্ট সংস্থাকে সনাক্ত করেন তবে তা করা ভাল।

oleksii
সূত্র
1
আমাদের সর্বশেষ ওয়েবমাস্টার এই সরবরাহকারীর সুপারিশ করার একটি কারণ হ'ল এটি আমাদের আগেরটির তুলনায় "আরও সুরক্ষিত" হওয়ার কথা ছিল। আমি শীঘ্রই আবিষ্কার করেছি যে তারা যে পাসওয়ার্ডগুলিতে আমরা ব্যবহার করতে সক্ষম হয়েছি সেগুলিতে কিছু বিশেষ অক্ষরকে অনুমতি দেবে না , তারপরে পরে তাদের কর্মীরা আমাদের পাসওয়ার্ডগুলিতে অ্যাক্সেস পেয়েছিল। তারা "আরও সুরক্ষিত" হওয়ার একমাত্র কারণ হ'ল তারা আমাদের নির্দিষ্ট ন্যূনতম পাসওয়ার্ডের দৈর্ঘ্য / জটিলতার প্রয়োজনীয়তা পূরণ করতে বাধ্য করে-বড় ব্যাপার।
অস্টিন '' বিপদ '' শক্তি
প্রত্যেকে তাদের পরিষেবাটিকে "সুরক্ষিত" বলে ডাকে , তবে দেখা যাচ্ছে যে আপনি যা ভাবেন তার অর্থ সর্বদা এটির অর্থ হতে পারে না। সিস্টেমটিকে এটি অসম্ভব করে তোলা উচিত। আমি বহু বছর আগে একটি আইএসপি-র জন্য কাজ করেছি এবং যদিও আমি কোনও গ্রাহকের ইমেল পাসওয়ার্ডটি পুনরায় সেট করতে পারি, বর্তমানেরটি কী তা দেখার আমার কোনও উপায় ছিল না। এই ছেলেরা তাত্ত্বিকভাবে আমাদের জ্ঞান ছাড়াই আমাদের ইমেলগুলি পড়তে পারে ... আমাকে বিশ্বাসের উপর নির্ভর করা উচিত নয় ।
অস্টিন '' বিপদ '' শক্তি
1
তারা কি সর্বোচ্চ দৈর্ঘ্যের প্রয়োজনীয়তা প্রয়োগ করে ? এটি প্রায় সর্বদা প্লেটেক্সট পাসওয়ার্ড স্টোরেজের জন্য একটি ক্যানারি।
মেল
1
"সুরক্ষিত ইমেল সরবরাহকারীর উপর অনুসন্ধান" অনেকগুলি ফলাফল দেয়। - হ্যাঁ এবং সেই সাইটগুলির মধ্যে যেগুলি সরল পাঠ্যে পাসওয়ার্ড সংরক্ষণ করে সেগুলির মধ্যে কতগুলি সেই ফলাফলগুলির আওতায় আসবে কারণ তারা নিজেরাই সুরক্ষিত বলে বিশ্বাস করে। আপনি যে কোনও পরিষেবা অনুসন্ধানের ফলাফলের ভিত্তিতে সুরক্ষিত থাকতে চান তার জন্য হোস্টিং বেছে নেবেন না
রব মোয়ার
1
@ রবএম: হুবহু তারা যদি তাদের নিজস্ব পরিষেবা নিরাপদ বলে বিশ্বাস করে তবে এটি সরবরাহকারীর কাছে কী ব্যবহারের কথা বলছে ? তাদের মধ্যে 100% "হ্যাঁ" বলবে। এর মতো জেনেরিক পদটির জন্য ওয়েব অনুসন্ধান করা মোট সময় অপচয়। পুরো বিষয়টি আসলে কাছে বরং একটি সরল পথ বলে মনে হয়: " আপনার সিস্টেম নিরাপদ ঠিক আছে, চমত্কার যে সে বিষয়ে পরিষ্কারভাবে বর্ণনা করার জন্য আপনাকে ধন্যবাদ যে ক্ষেত্রে আমরা দ্বিধা ছাড়াই আপনার পরিষেবার সাবস্ক্রাইব হবে?।।। "
অস্টিন '' বিপদ '' ক্ষমতা
3

আমার প্রস্তাবটি হ'ল, এবং পরবর্তী ছেলেদের জিজ্ঞাসা করুন যে তাদের নীতিগুলি প্রথমে কী!
আপনি যদি সুন্দর বোধ করেন তবে আপনি কেন চলে যাচ্ছেন তা আপনি পুরানো সরবরাহকারীদের বলতে পারেন।

আরও একটি উত্তরের বক্তব্য সম্বোধন করার জন্য, রংধনু টেবিলগুলির দিনগুলি কেটে গেছে। এগুলি উচ্চ-শক্তিযুক্ত জিপিইউ দ্বারা নিরস্ত করা হয়েছে এবং প্রচুর পরিমাণে সঞ্চয় স্থান গ্রহণ করেছে (বাইনারি হ্যাশগুলি স্পষ্টতই ভালভাবে সংকোচিত হয় না; এবং আপনি এএসসিআইআই তে সেগুলি সঞ্চয় করবেন না)। ডিসি থেকে পড়ার চেয়ে জিপিইউতে হ্যাশ গণনা করা (পুনরায়) দ্রুততর।

ব্যবহৃত হ্যাশ অ্যালগরিদম এবং জিপিইউর উপর নির্ভর করে একটি আধুনিক পাসওয়ার্ড ক্র্যাকিং কম্পিউটার প্রতি সেকেন্ডে প্রায় 100 মিলিয়ন থেকে এক বিলিয়ন হ্যাশের মধ্যে মন্থন করবে বলে আশা করা যায়। মতে এই , (যা একটি বিট এটা মনে করে কি একটা কম্পিউটার / সুপারকম্পিউটার কি করতে পারেন উপর তারিখের হয়), তার মানে কোনো 6-গৃহস্থালির কাজ পাসওয়ার্ড সেকেন্ডের মধ্যে কর্কশ করা যেতে পারে। সমস্ত বিভিন্ন অ্যালগরিদমে (MD5, SHA-1, SHA-256, SHA-512, Blowfish, ইত্যাদি) 7 এবং 8 চরের হ্যাশগুলির টেবিলগুলি অতিরিক্ত পরিমাণে ডিস্ক স্পেস গ্রহণ করবে (বুঝতে হবে যে আপনি তাদের এসএসডিতে সঞ্চয় করতে হবে) অ্যাক্সেস গতির জন্য কোনও চৌম্বকীয় থালা নয়) এবং আপনি দেখতে পাচ্ছেন যে জিপিইউ ব্যবহার করে অভিধান ভিত্তিক আক্রমণগুলি আরও দ্রুত পাসওয়ার্ড আনতে চলেছে।

এই দৃশ্যে আগতদের জন্য একটি দুর্দান্ত নিবন্ধটি হ'ল কীভাবে আমি আরস টেকনিকার পাসওয়ার্ড ক্র্যাকার হয়েছি

নিকোলাস শ্যাঙ্কস
সূত্র
যদি আপনার দ্বিতীয় অনুচ্ছেদ সত্যিই সত্য হল যে, অর্থ হবে salting বেহুদা পেয়েছিলাম। এটি কি আপনার ব্যক্তিগত মতামত বা সত্যের ভিত্তিতে?
টোবিয়াস কেইনজলার
@ তোবিয়াস কিইনজলার প্রকৃতপক্ষে, আউটপুটটিতে সঞ্চিত একটি মান ব্যবহার করে সল্ট দেওয়া একেবারে অকেজো হিসাবে চিহ্নিত করা হয়, তবে ব্যক্তিগত মূল্য ব্যবহার করে সল্টিং অভিধানের আক্রমণগুলির বিরুদ্ধে একটি কার্যকর প্রতিরক্ষা হিসাবে রয়ে যায়। এটি আমার ব্যক্তিগত মতামত নয়, এটি পাসওয়ার্ড ক্র্যাকারগুলির বর্তমান আচরণ সম্পর্কে একটি পর্যবেক্ষণ (অন্যদের দ্বারা তৈরি)। আমি উত্তরটিও কিছুটা আপডেট করেছি।
নিকোলাস শ্যাঙ্কস
2
ব্যক্তিগত মূল্য সঙ্গে আপনি মরিচ মানে ? যাইহোক, একটি ভাল হ্যাশিং ফাংশনের প্রয়োজনীয় বৈশিষ্ট্য হ'ল) ​​তারা কঠোরভাবে সময় সাপেক্ষ, বা আরও ভাল খ) প্রয়োজনীয় সময় বাড়ানোর জন্য এগুলি একটি নির্বিচারে বৃহত পরিমাণে চেইন প্রয়োগ করা যেতে পারে। সুতরাং আমি যখন একমত যে একটি পুরানো হ্যাশ / লবণ ক্র্যাক-সক্ষম, তবে যথেষ্ট পরিমাণে জটিলতা রয়েছে। সম্পর্কিত: পাসওয়ার্ড হ্যাশিংয়ে লবণ + মরিচ যোগ করুন বা লবণ যথেষ্ট?
টোবিয়াস কেইনজলার
@ তোবিয়াস কিইনজলার হ্যাঁ, আমি আপনার সাথে আমি কতটা সুনির্দিষ্ট থাকতে পারি তা নিশ্চিত ছিলাম না: স্পষ্টতই যদিও সাইটগুলি bcrypt()এই দিনগুলি ব্যবহার করা উচিত , তবে এটি হ্যাশগুলি ক্র্যাক করার বিষয়ে আরও বেশি।
নিকোলাস শ্যাঙ্কস
1
সেক্ষেত্রে আমি সম্মত, তবে কোনও খারাপ / অপ্রচলিত / দুর্বল হ্যাশ (উদাহরণস্বরূপ MD5) সুরক্ষার প্রাসঙ্গিক প্রেক্ষাপটে অনর্থক।
টোবিয়াস কেইনজলার
1

এটা আমার জন্য হয়েছে!

কয়েক বছর আগে যখন আমার হোস্টিং সরবরাহকারী (সেই সময়ে আমার ইমেল সরবরাহকারীও ছিলেন) সুরক্ষা লঙ্ঘনের শিকার হয়েছিল তখন আমার পরিচয় আপোষ হয়েছিল। আমি আমার ইমেল চেক করতে সক্ষম না হতে জেগেছি কারণ আমার পাসওয়ার্ডটি পুনরায় সেট করা হয়েছিল। আমার ইমেল নিয়ন্ত্রণের সাথে তারা আমাজন এবং পেপ্যাল ​​এ আমার পাসওয়ার্ড পুনরায় সেট করার চেষ্টা করেছিল। আপনি অনুমান করতে পারেন কি ঠিক পরে এসেছিল? জালিয়াতি ক্রেডিট কার্ডের চার্জ!

ভাগ্যক্রমে আমি অপেক্ষাকৃত দ্রুত কী ঘটছে তা অনুধাবন করতে সক্ষম হয়েছি, ফোনে আমার হোস্টিং সরবরাহকারীকে পেতে, এবং অ্যাকাউন্টের তথ্য এবং সুরক্ষার প্রশ্নগুলি পরিবর্তন করা সত্ত্বেও কঠোরতার সাথে আমার পরিচয় যাচাই করতে পেরেছি (সমস্ত কয়েক ঘন্টার ব্যবধানে)। এই কথোপকথনের সময় গ্রাহক পরিষেবার প্রতিনিধি আমাকে আমার পাসওয়ার্ডের ইতিহাস, কখন এটি পরিবর্তন করা হয়েছিল এবং কী সম্পর্কে বলতে সক্ষম হয়েছিল। প্রযোজক পরিবর্তন করার জন্য আমার একেবারে দরকার ছিল তা জানতে আমার কেবল এটিই প্রয়োজন ছিল।

আপনার সাথে আমাদের হওয়ার কোনও কারণ নেই, আমাদের সংস্থা!

সুরক্ষার বিষয়টি যখন আসে তখন আমি এই সংস্থার পুরোপুরি সম্পর্কে আমার সন্দেহ ছিলাম, যে জিনিসগুলি আমি এখানে এবং সেখানে লক্ষ্য করেছি তাদের সাথে আমার বছরের পর বছর ধরে কাজ করেছি। তবে আমি সর্বদা নিজেকে বোঝাতাম এটি কোনও বড় বিষয় নয় বা আমার ভুল হয়েছে। আমার ভুল হয় নি, এবং না আপনিও!

আমি যখন সন্দেহ করেছিলাম যে আমি যখন প্রথমে সন্দেহ করেছিলাম যে তারা সুরক্ষার বিষয়টি গুরুত্বের সাথে নিচ্ছে না যে পুরো মিনি-দুঃস্বপ্নটি কখনও ঘটেনি। কী ঘটতে পারে তা ভাবতে কোনও মূল্যবান কর্পোরেট অ্যাকাউন্ট আপোস করা হয়েছিল? যদি তারা কেবল স্প্যাম পাঠায় তবে আপনি সহজ হয়ে যাবেন। আমি সেই সময়ের জন্য যে সংস্থার জন্য কাজ করেছিলাম তারাও এই সরবরাহকারীটি ব্যবহার করছিল এবং আমরা যত তাড়াতাড়ি সম্ভব স্থানান্তর বন্ধকে আমাদের অগ্রাধিকার দিয়েছিলাম।

আপনার প্রবৃত্তি বিশ্বাস! অলসতা থেকে বেরিয়ে যাওয়ার জন্য বা আপনার বিদ্যমান সেটআপটি "ঠিকঠাক কাজ করে" এর জন্য টাকা পাস করবেন না। স্বল্প পাঠ্য পাসওয়ার্ড সংরক্ষণ করা, যথাযথভাবে সার্ভারগুলি কনফিগার করা ইত্যাদির মতো কম ঝুলন্ত সুরক্ষা তদারকির সর্বাধিক ক্ষতিকারক অংশটি হ'ল তারা তাদের প্রযুক্তিগত সংস্কৃতিতে একটি সাধারণ অক্ষমতা এবং / অথবা আলস্যতার সাথে কথা বলেন এবং এটি এমন সংস্কৃতি যে আমি আমার সংস্থার মিশনকে সমালোচনা করতে চাই না পরিষেবা কাছাকাছি কোথাও চুক্তি।

ম্যাট সুরবিয়ান
সূত্র
0

আমি একটি বিকল্প ব্যাখ্যা দেখতে পাচ্ছি, যেখানে আপনার পাসওয়ার্ডটি আসলে আপনার সরবরাহকারীর সার্ভারগুলিতে হ্যাশ হয়।

সরবরাহকারীর ঠিক একদিন পর আপনার সাথে যোগাযোগ করার পরে, সম্ভবত তিনি (এবং এটি একটি সুরাইস) সার্ভার লগ থেকে এটিকে টেনেছেন কারণ তার পাসওয়ার্ড পরিবর্তনকারী স্ক্রিপ্টটি জিইটি পদ্ধতির মাধ্যমে ডেটা জমা দিচ্ছে।

আপনার সরবরাহকারীর কখন, কে এবং কীভাবে তার পাসওয়ার্ড পরিবর্তিত হয়েছে তার রেকর্ডে পূর্ণ ডাটাবেস থাকা তার চেয়ে সহজ শোনায়। আপনি ওকামের রেজারটি জানেন ...;)

পেটা সিটেক
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.