লগিং ব্যর্থ লগইন প্রচেষ্টা পাসওয়ার্ড উন্মুক্ত

আমি আমার ওয়েবসাইটে ব্যর্থ লগইন প্রচেষ্টা লগইন শুরু মত একটি বার্তা দিয়ে

Failed login attempt by qntmfred

আমি লক্ষ্য করেছি যে এর মধ্যে কিছু লগ দেখতে দেখতে

Failed login attempt by qntmfredmypassword

আমি অনুমান করছি কিছু লোকের ব্যর্থ লগইন হয়েছে কারণ তারা ব্যবহারকারীর নাম ক্ষেত্রে তাদের ব্যবহারকারীর নাম এবং তাদের পাসওয়ার্ড টাইপ করেছেন। ডাটাবেসে পাসওয়ার্ডগুলি হ্যাশ করা হয়, তবে যদি কোনওভাবে ডিবি আপোস করে, এই লগ বার্তাগুলি আক্রমণকারীর পক্ষে পাসওয়ার্ডগুলি সনাক্ত করার একটি উপায় হতে পারে যা কিছু লোকের মধ্যে যেমন ব্যর্থ লগইন থাকে তার পাসওয়ার্ডগুলি বের করে।

এটি পরিচালনা করার জন্য আরও ভাল উপায় আছে? আমি কি এই সম্ভাবনা সম্পর্কে চিন্তা করা উচিত?

এটির মতো চেষ্টা করুন:

যদি ব্যবহারকারীর নামটি বিদ্যমান থাকে তবে লগ "দ্বারা লগইন প্রচেষ্টা ব্যর্থ হয়েছে username"। যদি তা না হয় তবে 123.45.67.89পরিবর্তে " আইপি দ্বারা লগইন প্রচেষ্টা ব্যর্থ হয়েছে" লগ । লগতে দুর্ঘটনাক্রমে পাসওয়ার্ডগুলি দেখা দেওয়ার সমস্যাটি দেখা উচিত।

এই জাতীয় ব্যবহারকারীর ডাটাবেসে উপস্থিত রয়েছে কিনা তা কেবল কেন খতিয়ে দেখা যায় না? এটি আপনাকে 2 সম্ভাব্য ফলাফলগুলি দিয়ে যাবে।

1. ব্যবহারকারী একটি সঠিক ব্যবহারকারীর নাম প্রবেশ করিয়েছে। তারপরে আপনি এখন যা লগইন করেছেন কেবল তা লগইন করতে পারবেন।

2. ব্যবহারকারীর নাম ব্যবহারকারীর ক্ষেত্রে তার পাসওয়ার্ড প্রবেশ করানো হয়েছে, সুতরাং ব্যবহারকারীর নাম অবৈধ। কেবল একটি লগ এন্ট্রি লিখুন অজ্ঞাতপরিচয় ব্যবহারকারীর লগ ইন প্রচেষ্টা ব্যর্থ হয়েছে?

এবং অবশ্যই আপনার আইপি, তারিখ লগ করার জন্য একটি অতিরিক্ত ক্ষেত্র থাকতে পারে এবং কী নয়?

বিবেচ্য বিষয়:

1. কেউ যখন তাদের ব্যবহারকারীর নামটি ভুল টাইপ করেছে তার বিপরীতে আপনি কি সনাক্ত করতে পারবেন? ভুল টাইপ করা ব্যবহারকারীর নাম লগইন সমর্থন উদ্দেশ্যে দরকারী হতে পারে, উদাহরণস্বরূপ "আপনি নিজের ব্যবহারকারীর নামটি ভুল টাইপ করেছেন, এটি ডট নয় ড্যাশ হওয়া উচিত", অথবা "আপনার একটি শীর্ষস্থানীয় কোলন থাকতে হবে" তারপরে হোয়াইটস্পেস - আপনি কি এটি কেটে পেস্ট করেছেন "। আপনার যদি উচ্চ-মূল্য প্রদানের ব্যবহারকারীদের সংখ্যক সংখ্যা থাকে (অর্থাত্ অন্য কোনও সামাজিক নেটওয়ার্ক সাইট নয়) তবে আপনাকে সম্ভবত এই ধরণের সমর্থন সরবরাহ করতে হবে।

2. কেউ এই কাজ করা উচিত উপযুক্ত ব্যবস্থা কি? ব্যবহারকারীর নামগুলি হ্যাকিংয়ের প্রচেষ্টার সূচক হতে পারে। আপনার তালিকায় ব্যবহারকারীর নামটি উপস্থিত না হওয়ার অর্থ এই নয় যে এটি কী ছিল তা আপনার জানা দরকার নেই। তবে আপনি যদি বিশ্বাস করেন যে এটি একটি গুরুতর উদ্বেগ, এবং আপনি এটি সনাক্ত করতে পারেন যে এটির পাসওয়ার্ডটি ছিল, এটি হওয়ার পরে ব্যবহারকারীর তাদের পাসওয়ার্ড পরিবর্তন করার প্রয়োজন হতে পারে।

3. শিল্প চর্চা কি? শিল্প অনুশীলনটি ব্যবহারকারীর নাম ক্ষেত্রটি লগ ইন করা তবে পাসওয়ার্ড ক্ষেত্রে নয়। এটি করার জন্য আপনাকে বরখাস্ত করার সম্ভাবনা নেই।

আপনি যদি সাধারণ বিবেচনার বাইরে না থাকেন তবে আমি নিম্নলিখিত শিল্প অনুশীলনের পরামর্শ দেব এবং নির্বিশেষে ব্যবহারকারীর নাম ক্ষেত্রটি লগ করব। জোর করে পাসওয়ার্ড পরিবর্তনগুলি পরামর্শ হিসাবে বিবেচনা করুন 2 আপনি যদি মনে করেন এটি অপর্যাপ্ত।

কেবল নিরাপদে থাকতে, আমার বর্তমান অ্যাপটিতে লগইন লগইন বা পাসওয়ার্ড-রিসেট পদ্ধতিতে পাস হওয়া প্যারামিটারগুলি সঞ্চয় করে না। লগ কলের একটি alচ্ছিক প্যারামিটার রয়েছে যা এটি নিয়ন্ত্রণ করে, যা সত্য হিসাবে সেট করা হলে সঞ্চিত প্যারামিটার অবজেক্টের সাথে প্রতিস্থাপন করে [Redacted]। অবশ্যই, তাই আমি একটি সামান্য তথ্য বাদ এনেছি, তবে আমি তাদের আইপি ঠিকানাগুলি পেয়েছি, এবং আমি বরং সরলরেখার ক্ষেত্রে সংবেদনশীল কিছু পাওয়ার ঝুঁকি নেব না।

আপনি যদি এই ধরণের জিনিসটি সত্যিই লগ করতে চান তবে আমি পরামর্শ দিই যে লগইন প্রয়াস লগ করার সময় আপনি ব্যবহারকারীর নাম ক্ষেত্রের সাথে মিল থাকা নামের সাথে ব্যবহারকারীদের জন্য ডাটাবেসটি পরীক্ষা করে দেখুন, এবং যদি আপনার কোনও মিল থাকে তবে এটি সংরক্ষণ করুন। অন্যথায়, আপনি কেবল এটি "অজানা ব্যবহারকারী" হিসাবে সঞ্চয় করেন। আপনি অভিনব হয়ে উঠতে পারেন, এই মানটিতে যেটি রয়েছে বা যা আছে তা পরীক্ষা করে দেখতে পারেন তবে সর্বদা আপনার [ব্যবহারকারীর] [পাসওয়ার্ড] এবং [ইউজারপাস] [তরোয়াল] এর মতো সংমিশ্রণ হওয়ার ঝুঁকি রয়েছে, এই ক্ষেত্রে আপনি আইপিটির বিরুদ্ধে যাচাই করতে পারেন এবং এটি নির্ধারণ করতে পারবেন আপনি অজান্তে কারও পাসওয়ার্ডের শুরুটি সাফ মধ্যে সংরক্ষণ করেছেন। আপনি এটি অপ্রত্যাশিত-তবে-সম্ভাব্য [ব্যবহারকারী] [পাসওয়ার্ড] এবং [ব্যবহারকারীর পাসওয়ার্ড] [??] পর্যন্ত প্রসারিত করতে পারেন, এমন ক্ষেত্রে আপনি "ব্যবহারকারীর দ্বারা সফল লগইন" এর পরে "ব্যবহারকারীর পাসওয়ার্ড দ্বারা ব্যর্থ লগইন" দেখতে এবং সবগুলি কেটে নিতে পারেনব্যবহারকারীর পাসওয়ার্ড সাধারণত, নিরাপদ থাকতে আমি লগইন সফল না হলে ব্যবহারকারীর নাম লগ না করার জন্য বলব।

যুক্ত করতে সম্পাদনা করুন:

ব্যর্থ লগইন চেষ্টার জন্য ব্যবহারকারী নাম ব্যবহার করার জন্য লোকেরা বেশিরভাগ যুক্তি পোস্ট করছে, আমার মতে, অন্যান্য পদ্ধতির মাধ্যমে ভালভাবে পরিচালনা করা হয়েছে।

উদাহরণস্বরূপ, এটি বলা হয়ে থাকে যে কোনও গ্রাহক "কেন আমি লগ ইন করতে পারি না?" জিজ্ঞাসা করলে লগইন করা ব্যবহারকারীর নাম আপনাকে টাইপগুলি নির্দেশ করতে দেয়। এটি সত্য, তবে পাসওয়ার্ড ধরাও ঝুঁকিপূর্ণ নয়; ব্যর্থতার পরে ব্যবহারকারীকে আবার লগইন ফর্মটিতে পুনর্নির্দেশের মাধ্যমে, ব্যবহারকারীর নাম ক্ষেত্রটি হাইলাইট করে এবং তারা যা টাইপ করে তা পুনরায় প্রেরণ করে আমি এটি করব যাতে তারা নিজেরাই দেখতে পারে can

অন্য যুক্তিটি হ'ল এটি আপনাকে হ্যাকিংয়ের প্রচেষ্টা সনাক্ত করতে দেয়; একটি ব্যবহারকারীর বিরুদ্ধে ব্যর্থতার একটি স্ট্রিং ভাল একটি পাসওয়ার্ড নষ্ট করার চেষ্টা হতে পারে। আমি ব্যবহারকারীদের টেবিলে একটি "ব্যাডলগিনস" কলামটি ব্যবহার করে এটি করব, যা প্রতিটি বার ব্যবহারকারীর সাথে মেলে এমন একটি ব্যবহারকারীর নাম দিয়ে লগইন ব্যর্থ হয় এবং ব্যবহারকারীকে বলার পরে একটি সফল লগইনে শূন্যে পুনরায় সেট হয়ে যায় " আপনার শেষ লগইন করার পরে x ব্যর্থ লগইন প্রচেষ্টা "এবং তাদের যদি তাদের মনে হয় না যে প্রচেষ্টাগুলি তাদের কাছ থেকে এসেছে তবে তাদের করণীয় সম্পর্কে পরামর্শ দেওয়া। আপনি যদি সত্যই পুরোপুরি হতে চান তবে আপনার অন্য একটি কলাম থাকতে পারে যা সফল লগইন হওয়ার পরেও ব্যাডলগিনস কলামের শেষ মান এবং এবং / অথবা এই কলামটির সর্বাধিক-সর্বদা মান এবং / অথবা একটি কলাম সংরক্ষণ করে এই অ্যাকাউন্টটিতে এখন পর্যন্ত মোট ব্যর্থ লগইনগুলির সঞ্চয় করে।