3-ধর্মঘট সুরক্ষার দুর্বলতা

10

আমি সুরক্ষা সম্পর্কিত কিছু সাহিত্য পড়ছি, বিশেষত পাসওয়ার্ড সুরক্ষা / এনক্রিপশন, এবং আমি এমন একটি বিষয় যা ভাবছিলাম যা হ'ল: 3-ধর্মঘট নিয়ম কী পাসওয়ার্ড সুরক্ষার সঠিক সমাধান? এটি হ'ল, যদি পাসওয়ার্ডের প্রচেষ্টার সংখ্যাটি অল্প সংখ্যক সীমাবদ্ধ থাকে, যার পরে সমস্ত প্রমাণীকরণের অনুরোধ সম্মানিত হবে না, এটি কি ব্যবহারকারীদের অনুপ্রবেশ থেকে রক্ষা করবে না? আমি বুঝতে পারি যে কোনও কিছুর উপরে অ্যাক্সেস বা নিয়ন্ত্রণ অর্জনের অর্থ সর্বদা প্রমাণীকরণ সিস্টেমের মধ্য দিয়ে যাওয়া নয়, তবে এই বৈশিষ্ট্যটি কী অভিধান / জন্তু-বাহিনী আক্রমণগুলি অচল করে দেয় না? আমি কি অনুপস্থিত কিছু আছে?

security 
prelic
সূত্র
3
এই প্রশ্নের ভাল এ বলা হয়েছে পারে সিকিউরিটি ভবিষ্যতে উল্লেখের জন্য।
maple_shaft
1
যেমনটি আমি পেয়েছি, জিজ্ঞাসা করার জন্য আরও কোথাও কোথাও উপযুক্ত। ধন্যবাদ যদিও, আমি চেষ্টা করে মনে রাখব।
প্রিলিক 18
5
গুডগুইস_একটিভেট 21

উত্তর:

13

হ্যাঁ, এটি লগইন প্রক্রিয়াটির মাধ্যমে অভিধান আক্রমণগুলি অসম্ভব করে তুলবে । (যদিও তারা ডাটাবেসে অ্যাক্সেস পান তবে এর বেশি অর্থ হয় না there সেখানে সুরক্ষার জন্য আপনাকে সঠিকভাবে হ্যাশ করতে হবে এবং পাসওয়ার্ডগুলি নুন দিতে হবে))

এটি কোনও নির্দিষ্ট ব্যবহারকারীর বিরুদ্ধে ডস আক্রমণ করার সম্ভাবনাও মঞ্জুরি দেয়। ধরা যাক আমি আপনাকে লগ ইন করা থেকে বিরত রাখতে চেয়েছিলাম I'd আপনার অ্যাকাউন্টের বিপরীতে তিনটি বগাস লগইন প্রচেষ্টা চালিয়ে যাবার দরকার ছিল এবং লগইনটিকে পুনরায় সেট করার জন্য যা প্রয়োজন তা প্রতিবারই আবার করুন। এই সমস্যাটি মোকাবেলা করা কিছুটা জটিল।

ম্যাসন হুইলার
সূত্র
1
ধন্যবাদ! কৌতূহলের বাইরে, আপনি বর্ণিত উত্তরোত্তর সমস্যাগুলি মোকাবিলার জন্য কী কী উপায় হবে? বাস্তব-বিশ্বের উদাহরণ হিসাবে, বহুসংখ্যক অনলাইন ফোরামে লগইন আইডি হিসাবে ব্যবহারকারীর ব্যবহারকারীর নাম ব্যবহার করা হয় (অ্যাক্ট বা অন্য কোনও কিছুতে সংযুক্ত ইমেলের বিপরীতে), যার অর্থ আমি প্রতিটি একক ব্যবহারকারী লগইন করতে কী ব্যবহার করছে তা দেখতে পাচ্ছি। প্রতি একক ব্যবহারকারীকে তাদের অ্যাকাউন্ট থেকে লক করা থেকে আমাকে কী বাধা দেবে? একজন ভাল প্রশাসক? দেখে মনে হচ্ছে সাইট থেকে প্রতিটি একক ব্যবহারকারীকে লক করা তুচ্ছভাবে সহজ হবে।
প্রিলিক
@ পূর্বলিক: ঠিক আছে, সেই সমস্যাটি মোকাবেলা করার জন্য, "" যদি কোনও নির্দিষ্ট আইপি ঠিকানা অনেক বেশি অবৈধ লগইন প্রচেষ্টা করে থাকে তবে সেগুলিকে অবরুদ্ধ করুন like এটি আপনার উল্লেখ করা দৃশ্যটি থামিয়ে দেবে, তবে এটি বোটনেটের মতো মারাত্মক হ্যাক প্রচেষ্টা নিয়ে কাজ করবে না । তার জন্য আপনার ভারী সুরক্ষা দরকার।
ম্যাসন হুইলারের
4
সাধারণ সমাধান হ'ল একটি নির্দিষ্ট আইপি থেকে প্রদত্ত ব্যবহারকারীর জন্য প্রতি মিনিটে 5 বলার চেষ্টা করার হারকে সীমাবদ্ধ করা। এটি নিখুঁত নয় তবে সাধারণত আপনি অন্য ব্যবহারকারীদের জন্য সমস্যা তৈরি করেন না, যদি না আপনি একই প্রক্সিটির পিছনে থেকে যান
Andrea
একই পদ্ধতির জন্য দুটি ব্যর্থ লগইন প্রচেষ্টা পরে একটি ক্যাপচা উপস্থাপন করা অন্য পদ্ধতি হল - তবে তারপরে, একজন দৃ determined়প্রতিজ্ঞ আক্রমণকারী কেবল এই উদ্দেশ্যে একটি ক্যাপচা-ব্রেকিং যান্ত্রিক টার্ক ভাড়া নিতে পারে, আরও ভাল একটি ক্যাপচা পাওয়া সত্যিই মেশিনগুলিকে রাখে তা খুঁজে পাওয়া বেশ কঠিন plus বাইরে।
টিডামার্স
3

আমি এটিও সম্মত করি যে এটি যথাযথ কর্তৃপক্ষ ব্যতীত কোনও অ্যাকাউন্টে অ্যাক্সেস পাওয়ার উপায় হিসাবে অভিধান আক্রমণগুলি কম কার্যকর করে তোলে। যাহোক:

  • এই পদ্ধতির ফলে ডিকশনারি আক্রমণকে ডস আক্রমণে রূপান্তরিত করতে পারে যদি সিস্টেমটি খারাপভাবে প্রয়োগ না করা হয় তবে অ্যাক্সেস আটকাতে পারে against উদাহরণস্বরূপ, কোনও সার্ভার প্রমাণীকরণের চেষ্টায় প্লাবিত হতে পারে। এর চারপাশের একটি উপায় হ'ল একটি লক-আউট অ্যাকাউন্টে পরবর্তী প্রবেশাধিকারের প্রবাহকে প্রমাণীকরণযোগ্য পরিষেবাটি নিয়ন্ত্রণ করা। উদাহরণস্বরূপ, যদি কোনও অ্যাকাউন্ট লক আউট হয় তবে পরবর্তী প্রতিটি লগইন প্রচেষ্টার আগে একটি বিলম্ব উপস্থাপন করুন। একটি লগইন প্রচেষ্টা এবং একটি "অ্যাক্সেস অস্বীকৃত" এর মধ্যে একটি বিলম্ব রাখতে পারে, তবে এটি পরিষেবা আক্রমণের বিতরণ অস্বীকারের দরজা উন্মুক্ত রাখে যেখানে আক্রমণকারী অনেকগুলি যুগপত প্রমাণীকরণের প্রচেষ্টা চালায়।

  • অন্য উত্তরে যেমন উল্লেখ করা হয়েছিল, এটি অ্যাকাউন্টের বৈধ মালিকের উপর আক্রমণ করা হওয়ার বিরুদ্ধে অভিধানের আক্রমণটিকে একটি অশোধিত ডস হিসাবে রূপান্তর করতে পারে। বৈধ মালিকের উপর প্রভাব হ্রাস করার উপায়গুলির মধ্যে রয়েছে:

    • এটি ব্যবহারকারীর নাম বা পাসওয়ার্ডটি ভুল কিনা তা সম্পর্কে কোনও ক্লু সরবরাহ না করে ব্যবহারকারীর নাম ধীরে ধীরে নামিয়ে আনা। এটি আক্রমণাত্মক করে যেখানে অপরাধী ব্যবহারকারীর নামগুলি প্রশাসকদের কাছে আরও দৃশ্যমান এবং কম কার্যকর বলে অনুমান করছে।
    • একটি নির্দিষ্ট সংখ্যক ব্যর্থ চেষ্টার পরে কোনও অ্যাকাউন্ট লক করার পরিবর্তে কেবলমাত্র প্রমাণীকরণের মোডটি লক আউট করুন। অন্য কথায়, কোনও ব্যবহারকারীর প্রয়োজন যার অ্যাকাউন্টে কোনও পৃথক (সম্ভবত আরও জড়িত, তবে কম সহজে আক্রমণ করা যায়) পদ্ধতিটি ব্যবহার করে প্রমাণীকরণের জন্য আক্রমণ করা হচ্ছে। একটি দুর্দান্ত উদাহরণ হ'ল স্ক্রীন আনলক প্যাটার্ন বা পিন ব্যবহার করে প্রমাণীকরণে ব্যর্থ হওয়ার পরে কীভাবে কোনও অ্যান্ড্রয়েড ফোন ব্যবহারকারীর তাদের গুগল লগইন তথ্য ব্যবহারের প্রয়োজন হবে। তত্ত্বগতভাবে, এটি এমন একটি আক্রমণাত্মক ব্যবহারকারীকে তাদের অ্যাকাউন্টটি আনলক করার জন্য জিজ্ঞাসা করার মতো, তবে এটির জন্য কোনও সিস্টেম প্রশাসকের তাত্ক্ষণিক হস্তক্ষেপের প্রয়োজন নেই।
    • পরিবর্তে একটি অ্যাকাউন্ট নিচে লক এর (অথবা একটি অ্যাকাউন্ট নিচে লক, প্রমাণীকরণ এই বিশেষ মোডের জন্য ছাড়াও - উপরে দেখুন) থেকে এ প্রমাণীকৃত করতে প্রচেষ্টা নিচে লক অবস্থান যেখানে আক্রমণ উদ্ভব হয়। উদাহরণস্বরূপ, যদি প্রমাণীকরণটি নেটওয়ার্কের মাধ্যমে কোনও ব্যবহারকারীর নাম এবং পাসওয়ার্ডের মাধ্যমে করা হয় তবে তিনটি ব্যর্থ প্রমাণীকরণের চেষ্টার পরে আপনি একই আইপি বা সাবনেট থেকে ব্যবহারকারীদের একটি ব্যবহারকারীর নাম বা পাসওয়ার্ড দিয়ে লগ ইন করা থেকে আরও প্রচেষ্টা রোধ করতে পারেন। যেখানে একাধিক ব্যবহারকারী (আক্রমণকারী সহ) একই আইপি বা সাবনেট ব্যবহার করতে পারে এমন ভাল সুযোগ রয়েছে তবে আপনি নিখরচায় আরও জড়িত প্রমাণীকরণ পদ্ধতি উন্মুক্ত রেখে কিছু সময়ের জন্য আইপি বা সাবনেটের জন্য ব্যবহারকারীর নাম / পাসওয়ার্ড প্রমাণীকরণ অক্ষম করতে পারবেন Where ব্যবহারকারীরা আক্রমণকারীর সান্নিধ্যে রয়েছে

  • যদি আপনার ভয় অজান্তে কোনও ভুলে যাওয়া ব্যবহারকারীকে এমন আক্রমণকারী হিসাবে শাস্তি দেয় যে তারা একটি নির্দিষ্ট সংখ্যক ব্যর্থ চেষ্টার পরে ব্যর্থ লগইন প্রচেষ্টা প্রবাহকে নিয়ন্ত্রণ করার পরিবর্তে , আপনি কোনও অ্যাকাউন্ট আক্রমণ করা হচ্ছে বলে প্রমাণ হিসাবে লগইন প্রচেষ্টাগুলির ফ্রিকোয়েন্সিটি ব্যবহার করতে পারেন। উদাহরণস্বরূপ, আপনি যদি এক সেকেন্ডের মধ্যে 10 টি প্রমাণীকরণের প্রচেষ্টা দেখতে পান তবে আপনি অনুরূপ প্রমাণীকরণের প্রচেষ্টা রোধ করতে উপরের পদ্ধতিগুলির একটি ব্যবহার করতে পারেন। পর্যায়ক্রমে, আপনি প্রবাহ নিয়ন্ত্রণ করা শুরু করার জন্য লগইন প্রচেষ্টাগুলির এই দ্রুত বন্যাকে সংকেত হিসাবে ব্যবহার করতে পারেন। এই পদ্ধতিটি ফোরামে আরও বেশি জনপ্রিয় হয়ে উঠছে, অন্যদিকে, নির্দিষ্ট আইপি থেকে নির্দিষ্ট পরিমাণ ব্যর্থ লগইন প্রচেষ্টা করার পরে, সেই আইপি অল্প সময়ের জন্য প্রমাণীকরণ করা থেকে বিরত রয়েছে।

  • পরিশেষে, কোনও ডস আক্রমণ দ্বারা বারবার লক্ষ্যবস্তু হওয়া থেকে বাধা দেওয়ার একটি ভাল উপায় হ'ল তাকে তার পাসওয়ার্ড এবং ব্যবহারকারীর নাম উভয়ই পুনরায় সেট করার অনুমতি দেওয়া । অন্য কথায়, ব্যবহারকারীর নাম এবং পাসওয়ার্ড উভয়কেই সিক্রেট হিসাবে বিবেচনা করুন। যেখানে ব্যবহারকারীর নামটি অন্য কোথাও ব্যবহার করা হয় (যেমন কোনও ফোরামে, যদি ব্যবহারকারীর ব্যবহারকারীর প্রদর্শনের নাম হয়), কেবল এই প্রদর্শনীর নামটিকে আলাদা কিছু হিসাবে বিবেচনা করুন। এই পদ্ধতিটি সাধারণত সামাজিক নেটওয়ার্কগুলি দ্বারা ব্যবহৃত হয় যেখানে প্রমাণীকরণে ব্যবহৃত ব্যবহারকারীর নামটি হ'ল একটির ইমেল ঠিকানা - এমন কিছু যা পরিবর্তিত হতে পারে তবে খুব কমই ভাগ করা হয় - যখন সাইটে ব্যবহৃত ডিসপ্লে নামটি ব্যবহারকারী-সংজ্ঞায়িত এমন কিছু যা হতে পারে বা নাও পারে পরিবর্তন করা.

যাইহোক, আমি আশা করি এই পদ্ধতির একটি বা কিছু সংমিশ্রণ কার্যকর হবে।

ctt
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.