নিয়মিত পরিবর্তিত পাসওয়ার্ড নীতিমালার কোনও সুরক্ষা সুবিধা রয়েছে কি?

আমি বেশ কয়েকটি ক্ষেত্রে খুঁজে পেয়েছি, ব্যবহারকারীদের নিয়মিতভাবে তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা সুরক্ষার জন্য সহায়তার পরিবর্তে রক্ষণাবেক্ষণের ক্ষেত্রে আরও বেশি চাপ সৃষ্টি করে। এছাড়াও, আমি ব্যবহারকারীরা তাদের নতুন পাসওয়ার্ডগুলি লিখতে দেখেছি যেহেতু তারা তাদের পাসওয়ার্ডগুলি মনে রাখার জন্য পর্যাপ্ত সময় পায় না এবং অন্য একটি পুনরায় শেখার জন্য বিরক্ত হতে পারে না।

পাসওয়ার্ড পরিবর্তন করার জন্য কী সুরক্ষা সুবিধা রয়েছে?

এখানে সানস ডায়েরি থেকে আলাদা নেওয়া:
পাসওয়ার্ডের বিধি: প্রতি 25 বছর পর এগুলি পরিবর্তন করুন

একটি ব্যবহারিক সুবিধা আছে। কারও কাছে যদি আপনার পাসওয়ার্ড থাকে এবং তারা যা চায় তা হ'ল আপনার ইমেলটি পড়া এবং সনাক্ত করা না থাকলে তারা চিরকালের জন্য এটি করতে পারে, যদি না আপনি অবশেষে আপনার সাইন ইন গোপনীয়তা পরিবর্তন করেন। সুতরাং, নিয়মিতভাবে পাসওয়ার্ড পরিবর্তন করা আপনার কারোর জন্য এটি ভাঙ্গা এবং তা বন্ধ করার পক্ষে খুব বেশি সহায়তা করে না, তবে এটি আপনাকে আপনার অ্যাকাউন্টে অ্যাক্সেস করতে পারে এমন কোনও স্টকার বা স্নোপারকে ঝেড়ে ফেলার সুযোগ দেয়। হ্যাঁ, এটি ভাল। তবে একা এই সুবিধাটি ঝামেলার উপযুক্ত এবং প্রতি 90 দিন অন্তর ব্যবহারকারীদের তাদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করার অসুবিধাগুলির উল্লেখ করা হোক না কেন, আমার সন্দেহ আছে।

যখন আপনি এটি অনুমান করেন তখন একটি পাসওয়ার্ড পরিবর্তন করার জন্য বাধ্য করুন (সমস্ত সময় আপনার ব্যবহারকারীর উপর একটি পাসওয়ার্ড অনুমানকরণ প্রোগ্রাম চালিয়ে)।

"কেন আপনার পাসওয়ার্ড পরিবর্তন করতে হবে" এর সাথে যখন তর্ক করা কঠিন তখন "কেন?" "কারণ আমরা এটি অন্ধ অনুমান করতে পেরেছিলাম"। এটি স্বয়ংক্রিয়ভাবে যারা পাসওয়ার্ড অনুমান করা কঠিন চয়ন করে তাদের পুরস্কৃত করে এবং আপনার ব্যবহারকারীদের শেখায় যে কোন পাসওয়ার্ডগুলি দুর্বল। যদি তারা "পাসওয়ার্ড 1" চয়ন করে তবে একবার লগ ইন করার আগে এটির মেয়াদ শেষ হয়ে যাবে। যদি কোনও ব্যবহারকারী কোনও 16 টি অক্ষর, এলোমেলো, মিশ্র-কেস, আলফানিউমেরিক পাসওয়ার্ড চয়ন করে থাকেন তবে আপনি কখনই এটি অনুমান করতে পারবেন না - এবং অন্য কেউও পাবেন না। তাদের এটিকে একটি দীর্ঘ সময় রাখুন এবং তারা এমনকি এটি মুখস্ত করতে সক্ষম হবে।

এটি একটি বাণিজ্য বন্ধ। ঘন ঘন পাসওয়ার্ড পরিবর্তনের প্রয়োজনের ফলে নিম্ন মানের পাসওয়ার্ড হয়। এমনকি এই প্রভাব নিয়ে গবেষণাও হয়েছে।

বলা হচ্ছে, ব্যবহারকারীদের পাসওয়ার্ড ভাগ করে নেওয়া থেকে রক্ষা করার একমাত্র নির্ভরযোগ্য উপায় হ'ল পর্যায়ক্রমে পাসওয়ার্ড পরিবর্তন করা দরকার। আমার অভিজ্ঞতা দেখায় যে 90 দিনের ব্যবহারযোগ্যতা এবং সুরক্ষার মধ্যে একটি শালীন আপস বলে মনে হচ্ছে। আপনি যদি আরও দীর্ঘ যান তবে লোকেরা ভাগ করা পাসওয়ার্ডগুলির উপর নির্ভর করতে শুরু করে - খুব শীঘ্রই এবং আপনি "নভেম্বর09", "ডিসেম্বর09" এর সাথে শেষ করেন।

পাসওয়ার্ড পরিবর্তন করার জন্য সবচেয়ে খারাপ জিনিস হ'ল আপনি প্রকৃতপক্ষে লোকদের পাসওয়ার্ড পরিবর্তন করতে বাধ্য করছেন। সাধারণত এটি খুব সামান্য বা কোনও সতর্কবার্তা নিয়ে আসে এবং এগুলি সঙ্গে সঙ্গেই মোকাবিলা করা উচিত এমন একটি সমস্যায় তাদের তাত্ক্ষণিকভাবে আঘাত করা হয়, সুতরাং কাউকে একটি ভাল পাসওয়ার্ড ভাবার জন্য সময় দেওয়ার পরিবর্তে এটি সম্ভবত কম সুরক্ষিত হওয়ার সম্ভাবনা রয়েছে তবে মনে রাখা সহজ, বা আরও সুরক্ষিত তবে এটি স্রেফ লিখিত হয়ে যায়, এইভাবে সুরক্ষা সুবিধাটিকে তুচ্ছ করে।

যদি পাসওয়ার্ডগুলি এমন জটিলতা থাকে যেগুলি সহজেই অনুমানযোগ্য না হয় এবং সেগুলি সিস্টেমগুলির মধ্যে ভাগ না করা হয় এবং এটির সাথে আপস করা অসম্ভাব্য হয় তবে পাসওয়ার্ড পরিবর্তন করা সম্ভবত এতটা গুরুত্বপূর্ণ নয়।

যাইহোক, এর মধ্যে যদি কোনও ঘটে থাকে এবং প্রথম দুটি সম্ভবত না হওয়ার চেয়ে বেশি সাধারণ হয়, লোকেদের পর্যায়ক্রমে পাসওয়ার্ড পরিবর্তন করতে বাধ্য করা মানে তারা কমপক্ষে পাসওয়ার্ড ভাগ করে নেওয়ার সম্ভাবনা কম।

এটি বলেছিল, আমি আপনার ব্যবহারকারীদের একটি ভাল পাসওয়ার্ড বলতে কী বোঝায় এবং কেন সেগুলি ভাগ করে নেওয়া খুব খারাপ about এগুলি লিখে আপনি আপনার যা-ই করুন না কেন তা সাধারণ।

আমি লোকেরা তাদের জানা একটি বই থেকে একটি পাসওয়ার্ড বেছে নেওয়ার পরামর্শ দিচ্ছি, এটি থেকে কিছু অচেনা উক্তি মনে রেখে বা একটি বাক্যাংশ তৈরি করে। প্রতিটি শব্দের প্রথম অক্ষর ব্যবহার করুন এবং সেখানে কোথাও ভিতরে দুটি সংখ্যা যুক্ত করুন। বেশিরভাগ লোকেরা এটি কয়েকবার টাইপ করার পরে মনে রাখতে পারে।

আমি অনুশীলনের কোনও লাভই দেখছি না।

শক্ত পাসওয়ার্ড অনেক বেশি গুরুত্বপূর্ণ। শক্তিশালী বলতে আমার অর্থ 9+ বর্ণমাত্ত্বিক + বিশেষ চিহ্ন বা একটি 15+ [অ্যাজ] -আপনি কেবল অ-অভিধানের পাসওয়ার্ড / বাক্যাংশ (এটি অ্যামাজনের EC2 ব্যবহার করে ব্রুডফোর্সিং পাসওয়ার্ডগুলির ব্যয়ের সাম্প্রতিক গবেষণার উপর ভিত্তি করে)।

রিমোটলি অ্যাক্সেস করা সিস্টেমে সমস্ত উন্মুক্ত পরিষেবাদিতে অবশ্যই ব্রুটোফোর্স সনাক্তকরণ এবং প্রতিরোধের সফ্টওয়্যার থাকতে হবে (যেমন ফেইলপ্যান 2)। আইএমও নিয়মিত পাসওয়ার্ড পরিবর্তন নীতিমালার চেয়ে এটি অনেক বেশি গুরুত্বপূর্ণ।

সুরক্ষা ব্যবস্থা হিসাবে, পাসওয়ার্ডগুলি হল দুর্গন্ধ The

আপনি যদি লোকদের প্রায়শই তাদের পরিবর্তন করতে বলেন তবে তারা সেগুলি লিখে রাখবেন। আপনি যদি তাদের কমপক্ষে 3 টি সংখ্যা, 4 টি বড় হাতের অক্ষর এবং একটি নিয়ন্ত্রণ চরিত্রের 30 টি অক্ষরের পাসওয়ার্ড ব্যবহার করতে বলেন, তবে তারা সেগুলি ভুলে যায় বা সেগুলি লিখতে বা অন্যান্য নির্বোধ কাজ করে। এগুলি যদি সহজ হয় তবে ব্যবহারকারীরা বুনি 7 বা বনি 7 এর মতো বোকা পাসওয়ার্ড ব্যবহার করবে। এবং তারা তাদের পর্ণ অ্যাকাউন্ট এবং তাদের হটমেল অ্যাকাউন্ট সহ সমস্ত কিছুর জন্য একই খারাপ পাসওয়ার্ড ব্যবহার করবে।

আমি মোবাইল ওটিপি-র মতো সরঞ্জাম পছন্দ করি যা ব্যবহারকারীরা তাদের সেল ফোনটিকে একটি দুটি ফ্যাক্টর প্রমাণীকরণ সরঞ্জাম হিসাবে ব্যবহার করতে দেয়।

দীর্ঘমেয়াদে সম্ভবত এটি ব্যবহারকারীর পরিচয় প্রক্রিয়া হিসাবে এনক্রিপ্ট করা শংসাপত্রের সাথে আমরা কোনও একরকম বিশ্বে অবতরণ করব। ওপেনআইডিআইএস এবং সিএএস এর মতো বিষয়গুলি ব্যবহারকারী প্রমাণীকরণকে সহজতর করে এবং সুবিধাজনক একক-সাইননকে অনুমতি দেয়।

দীর্ঘমেয়াদে, সেরা বাজি হ'ল ব্যবহারকারীদের শংসাপত্র দেওয়ার সময় কমাতে হবে - "এইচআর" পাসওয়ার্ড এবং "টাইম-শিট" পাসওয়ার্ড এবং "সিআরএম" পাসওয়ার্ড থেকে মুক্তি পান। এগুলিকে একটি সাধারণ প্রমাণীকরণের কাঠামোতে ইউনিফাইড করুন যাতে ব্যবহারকারীদের একবার তাদের শংসাপত্রগুলি প্রেরণ করা প্রয়োজন। তারপরে তাদের মোবাইলটপ বা আরএসএ সিকিউরিড জাতীয় কিছু ব্যবহার করুন যা দ্বি-গুণক প্রমাণীকরণ ব্যবহার করে।

স্বল্প মেয়াদে, পাসওয়ার্ড নীতিগুলি ধর্মীয় যুদ্ধের বিষয় হতে চলেছে। আপনার বস আপনাকে যা বলবে কেবল তা করুন এবং আপনি যদি বস হন তবে আপনার ব্যবহারকারীর ভিত্তি এবং প্রত্যাশিত সুরক্ষা প্রোফাইলের ভিত্তিতে আপনার রায় ব্যবহার করুন।

শুভকামনা!

এই অনুশীলন, যা পুরোপুরি অকেজো নয়, এটি অনেক আগে থেকেই গুরুত্বপূর্ণ ছিল। এই নীতিটি নিয়ে বিতর্ক করা আসলে প্রতিক্রিয়াশীল, কারণ এটি বর্তমানের হুমকীগুলি থেকে আরও বেশি গুরুতর যেগুলি থেকে মনোযোগ সরিয়ে নিয়েছে।

বিবেচনা:

• আপনি যদি উইন্ডোজ / এডি ব্যবহার করেন এবং কোনও অ্যাকাউন্টে "অ্যাকাউন্ট সংবেদনশীল এবং ডেলিগেশন দেওয়া যায় না" এর জন্য বাক্সটি চেক না করে থাকে, সেই অ্যাকাউন্টটি ছদ্মবেশে ব্যবহার করা যেতে পারে এবং কোনও পাসওয়ার্ডের প্রয়োজন হয় না। এটি করার কোডটি তুচ্ছ।

• যদি কোনও ব্যক্তির উইন্ডোজ ওয়ার্কস্টেশন কোনও সুরক্ষা দুর্বলতা থেকে আপস করা হয় তবে তাদের মেমরির উইন্ডোজ সুরক্ষা টোকেন অন্য কম্পিউটারগুলিতে অ্যাক্সেস করতে ব্যবহার করা যেতে পারে। আবার, কোনও পাসওয়ার্ডের প্রয়োজন নেই।

সেই দ্বিতীয়টি, যাইহোক, কেবলমাত্র আপনার এমন অ্যাকাউন্ট ব্যবহার করে সার্ভারগুলিতে অ্যাক্সেস করা উচিত যা আপনার প্রতিদিনের নিয়মিত ব্যবহারকারীর অ্যাকাউন্ট থেকে আলাদা। এছাড়াও লক্ষ করুন যে উভয় পরিস্থিতি এমনকি সবচেয়ে শক্তিশালী দ্বি-গুণক প্রমাণীকরণ প্রক্রিয়াটিকে সম্পূর্ণ পরাস্ত করে।

পাসওয়ার্ড সুরক্ষার সাথে সর্বাধিক যে বিষয়টি ঘটতে পারে তা হ'ল এটির বিতর্ক করা বন্ধ করে দেওয়া এবং আরও সমসাময়িক এবং গুরুতর হুমকির প্রতি মনোনিবেশ করা।

অধিক তথ্য:

লুক জেনিংস উপস্থাপনাটি দেখুন, "এই সকলের উপর কর্তৃত্বের লক্ষণ":

http://eusecwest.com/esw08/esw08-jennings.pdf

অনিদ্রা শেল - একটি এএসপি. নেট সার্ভারে টোকেনের সাথে আপস করার জন্য প্রয়োজনীয় কোডের উদাহরণ:

http://www.insomniasec.com/releases/tools

কীভাবে করবেন: এএসপি.নেট ২.০ এ প্রোটোকল স্থানান্তর এবং সীমাবদ্ধ প্রতিনিধি ব্যবহার করুন

http://msdn.microsoft.com/en-us/library/ms998355.aspx

"একটি পাসওয়ার্ড ছাড়াই" অনুসন্ধান করুন।

পাসওয়ার্ডটি যত বেশি অপরিবর্তিত হবে তত বেশি সমস্যার সাথে আপোস হওয়ার সম্ভাবনা রয়েছে, কেবল কারণ এমন পরিস্থিতিতে আরও বেশি সুযোগ আসবে যেখানে এটির জন্য আপোস করা যেতে পারে (অসীম কিছু সময় দেওয়া সম্ভব হলে)। এটি ভবিষ্যতে পরিবর্তন করা আরও শক্ত করে তোলে কারণ ব্যবহারকারী পুরানোটির সাথে অভ্যস্ত হয়ে উঠবে। আরও একটি ঝুঁকি হ'ল এটি যদি আপস করা হয় এবং ব্যবহারকারীর সত্যতা সম্পর্কে অজানা থাকে তবে ব্যবহারকারীর অ্যাকাউন্টে কিছু মারাত্মক চলমান অপব্যবহারের সম্ভাবনা রয়েছে। পর্যায়ক্রমিক পরিবর্তনগুলি কমপক্ষে হ্রাস করবে যে পরবর্তী প্রয়োগকৃত পাসওয়ার্ড পরিবর্তন হিসাবে আপোষযুক্ত পাসওয়ার্ডকে অকেজো হিসাবে উপস্থাপন করবে।

আমার অভিজ্ঞতা অনুসারে ব্যবহারকারীরা পাসওয়ার্ড লিখতে বাধ্য হওয়ার মতো পরিস্থিতিটি হ'ল আপনার সুরক্ষা অবকাঠামোতে যেমন একত্রিত চিন্তাভাবনার অভাব, যেমন একাধিক বিভিন্ন সিস্টেম রয়েছে যার জন্য তাদের নিজস্ব অনন্য ব্যবহারকারীর নাম এবং পাসওয়ার্ড কম্বো প্রয়োজন। একজন ব্যবহারকারীর মধ্যে 5 টি নিক্ষেপ করুন এবং আপনি প্রতিহিংসার সাথে হলুদ-স্টিকি-নোট-সিন্ড্রোম পাবেন।

একটি যুক্তিসঙ্গত পাসওয়ার্ড নীতি যা ব্যবহারকারীদের পাসওয়ার্ডগুলি সহজেই মনে রাখতে পারে তবে ক্র্যাক করা শক্ত, কিছু ভাল ব্যবহারকারীর শিক্ষা, কিছু দৃ integrated় সংহত প্রমাণীকরণ, এবং শালীন লকআউট এবং মেয়াদোত্তীনের নীতিগুলির সাথে মিলিত হয়, যা এইউপি সমর্থন করে যা পাসওয়ার্ড ভাগ করে নেওয়া নিষিদ্ধ করে, সর্বোত্তম পথ.

আপনি যদি শংসাপত্রগুলি ক্যাশে করছেন (যা বেশিরভাগ লোকেরা প্রাপ্যতার জন্য করেন) তবে এটি অবশ্যই আবশ্যক। যদি কোনও কম্পিউটার শারীরিকভাবে চুরি হয়ে যায় এবং শংসাপত্রের ক্যাশে সক্ষম করা থাকে তবে চোর অ্যাকাউন্ট লকআউট নীতিটি সক্রিয় হওয়ার ভয় ছাড়াই মেশিনটিকে নেটওয়ার্ক থেকে বন্ধ করতে বাধ্য করতে পারে। তারপরে আপনার নেটওয়ার্ক সংস্থানগুলিতে বৈধ শংসাপত্র রয়েছে। নিয়মিত বিরতিতে এই পাসওয়ার্ডগুলি পরিবর্তন করা এই ক্ষয়টি হ্রাস করতে সহায়তা করতে পারে।

এটি হ'ল সঠিক কারণ যা আপনি কখনই কোনও সুবিধাযুক্ত অ্যাকাউন্টে লগ ইন করেন না, আপনি সর্বদা সীমিত ব্যবহারকারী হিসাবে লগ ইন করেন এবং স্বতন্ত্র প্রম্পটগুলি উন্নত করেন, এটি চ্যালেঞ্জ / ব্রেক ইন হওয়ার ক্ষেত্রে বিশেষাধিকারপ্রাপ্ত শংসাপত্রগুলিকে নিষ্ঠুর হতে বাধ্য করে।

আমি কখনই পাসওয়ার্ড পরিবর্তন প্রয়োজন হয় না এর শিবিরে। বা যেমন নিবন্ধটি বলেছে - প্রতি 25 বছর পরে - হ্যাঁ আমি তখন মরে যাব। ভাল. এখানে কেন ... আমার চাকরিতে মনে রাখার জন্য আমার কাছে 12 টি পাসওয়ার্ড রয়েছে। তাদের বেশিরভাগ পরিবর্তন হয় এবং যেগুলি পরিবর্তন হয় তা সম্পূর্ণ আলাদা সময়সূচীতে থাকে। এগুলির সকলের পৃথক শক্তির প্রয়োজনীয়তা রয়েছে। একজন দুর্বল মানুষ কীভাবে এটিকে মোকাবেলা করতে পারে? বেশ কয়েকটি উপায়ে আমি দেখেছি: এগুলি একটি সাদা বোর্ডে লিখুন। এগুলি একটি কাগজে লিখুন এবং আনলক করা ড্রয়ারে রাখুন। বা আমার পছন্দের পদ্ধতি: এগুলি মোটামুটি সুরক্ষিত গুগল ডক স্প্রেডশিটে সংরক্ষণ করুন। আপনি আমাকে বোঝানোর কোনও উপায় নেই যে এই পদ্ধতিগুলির মধ্যে (যা খুব সাধারণ) কোনও পরিবর্তনই প্রয়োজনীয়তার দ্বারা প্রাপ্ত কোনও ক্ষুদ্র সুরক্ষা সুবিধা পুরোপুরি অফসেট করে না।

আমার এই পোস্টটি লেখার সময় আছে কারণ আমি আমার একাউন্ট আনলক করার জন্য আইটি সমর্থনে কারও জন্য অপেক্ষা করছি। স্পষ্টতই আমি আমার স্প্রেডশিটটি গতবার সঠিকভাবে আপডেট করেছিলাম না। এমন কোনও অধ্যয়ন আছে যা বিলাসকে গণনা করে this এই আজেবাজে হারিয়েছে?