ব্যবহারকারীদের কীভাবে নিশ্চিত করা যায় যে ওয়েবসাইট এবং পাসওয়ার্ডগুলি সুরক্ষিত [বন্ধ]


15

নির্ভরযোগ্য ওয়েবসাইটগুলিতে আমি সর্বদা দাবীগুলি দেখতে পাই যেমন "সমস্ত ডেটা এনক্রিপ্ট করা হয়" বা "সমস্ত পাসওয়ার্ড 128 বিট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়" ইত্যাদি However তবে আমি "সমস্ত পাসওয়ার্ডগুলি হ্যাশ হয়ে গেছে" এর মতো দাবিটি কখনও পাইনি।

আমার ওয়েবসাইটে, আমি SHA-512 ব্যবহার করার পরে সমস্ত ব্যবহারকারীর পাসওয়ার্ড একটি ডেটাবেজে সংরক্ষণ করব (সম্ভবত) একটি এলোমেলো লবণ দিয়ে হ্যাশিং। আমি ব্যবহারকারীদের আশ্বাস দিয়ে একটি স্নিপেট যুক্ত করতে চাই যে তাদের পাসওয়ার্ডগুলি সুরক্ষিত তাই তারা আমার ওয়েবসাইট ব্যবহার করা থেকে বিরত থাকবে না কারণ এর জন্য একটি পাসওয়ার্ড প্রয়োজন। আমি ব্যবহারকারীদের সুরক্ষিত বোধ করতে চাই তবে আমি মনে করি না যে সবাই হ্যাশিং কী তা জানে।

আমার প্রশ্ন: "সমস্ত পাসওয়ার্ড এনক্রিপ্ট করা এবং সুরক্ষিত আছে" এমন কোনও বার্তা সরবরাহ করা কি ঠিক আছে যেহেতু আমি মনে করি না যে গড় ব্যবহারকারী এবং হ্যাশিং এবং এনক্রিপশনের মধ্যে পার্থক্য কী তা বুঝতে পারবেন এবং সম্ভবত তারা কেবল দেখছেন বলেই সুরক্ষিত বোধ করবেন আরাম শব্দ "এনক্রিপশন"? বা আমার কাছে কোন বিকল্প বার্তা সরবরাহ করা উচিত?

পার্শ্ব নোটে, আমি এনক্রিপশন এবং পাসওয়ার্ড হ্যাশিংয়ের ক্ষেত্রে নতুন এবং আমি ভাবছিলাম যে আমার সাইটটি লঞ্চ করায় এটি এখনকার পক্ষে যথেষ্ট নিরাপদ হবে কিনা? আমি ব্যবহারকারীদের বলতে চাই না যে এটি না থাকলে এটি নিরাপদ। যেকোনো তথ্য খুবই উপকারে আসবে. ধন্যবাদ।


7
ব্যক্তিগতভাবে আমি যোগাযোগ সম্পর্কে খুব বেশি চিন্তা করব না: আপনি যা করেন তার একটি প্রযুক্তিগত বিবরণ লিখুন, প্রায়শই জিজ্ঞাসিত প্রশ্নাগুলির গভীর যেখানে সমাধিবিজ্ঞানযুক্ত ব্যক্তি এটি খুঁজে পাবে সেখানে কবর দেওয়া। অন্য যে কোনও উপায়ে সত্যিই যত্ন করে না। আরও গুরুত্বপূর্ণ: নিশ্চিত হয়ে নিন যে আপনি সঠিক কাজটি করেছেন (আপনি যদি নতুন হন তবে তা শক্ত, তবে অন্তত আপনি চেষ্টা করছেন!)। আপনার নিজের হ্যাশিং তৈরি করবেন না, ব্রাইক্রিপ্টের মতো কিছু ব্যবহার করুন ।
জোচিম সৌর

4
ঠিক আছে, লগইনকে সংঘবদ্ধ করা এবং ব্যবহারকারীদের আর একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড দিয়ে বিরক্ত করা ঠিক নয় right
জান হুডেক

1
ওপেনআইডি ভাল, তবে ব্যবহারকারীর নাম / পাসওয়ার্কও ঠিক আছে। আমি মনে করি না যে আপনার সমস্যাটি ব্যবহারকারীদের বোঝাতে আপনার সাইটটি সুরক্ষিত। আপনি যেহেতু অনভিজ্ঞ, তাই এটি এমন কিছু প্রতিশ্রুতি দেওয়ার মতো যা আপনার কাছে নেই। কেবল সাধারণ মান প্রয়োগ করুন - আপনি পেশাদার হ্যাকাররা আসা বন্ধ করবেন না, তবে কেউ আপনাকে দোষ দিতে পারে না।
হোং লং

3
পছন্দ করেছেন পাসওয়ার্ড হ্যাশিংয়ের জন্য SHA-512 ব্যবহার করা ভাল নয়। এটা ঠিক না".
থমাস

3
আপনি আপ টু ডেট পরামর্শটি সর্বাধিক সেরা পান তা নিশ্চিত করার জন্য আমি সম্ভবত তথ্য সুরক্ষা সম্পর্কিত যে কোনও ফলোআপ প্রশ্ন জিজ্ঞাসা করব be (এর অর্থ এই নয় যে আপনি এখানে খারাপ পরামর্শ পাচ্ছেন, কেবলমাত্র আমরা সুরক্ষা পেশাদার নই)।
ক্রিসএফ

উত্তর:


22
  1. ব্যবহারকারীদের যত্ন নেই।

    তাদের যত্ন নেওয়ার সময়টি কেবল তখনই হয় যখন কেউ তাদের ব্যাংক অ্যাকাউন্ট থেকে অর্থ প্রত্যাহার করে এবং মনে হয় এটির একটি লিঙ্ক রয়েছে যা কয়েক দিন আগে, কেউ আপনার ডাটাবেসে সম্পূর্ণ অ্যাক্সেস পেয়েছিল।

  2. প্রায় প্রতিটি ক্ষেত্রেই আমি এই জাতীয় বার্তা দেখেছি, তারা বিভ্রান্তিকর ছিল। সর্বাধিক হাসিখুশি একটি ওয়েবসাইটটিতে প্রতিটি পৃষ্ঠায় "মিলিটারি-গ্রেড সুরক্ষিত"-স্টাইল লেবেল ছিল। একটি সতর্কতা ছিল যা এইচটিটিপি শংসাপত্রটি অবৈধ telling লগন ফর্মটিতে একটি এসকিউএল ইঞ্জেকশন ছিল। কয়েক সপ্তাহ পরে, ওয়েবসাইটটি হ্যাক হয়েছিল, তারপরে চিরতরে অদৃশ্য হয়ে গেল।

    আমি "আমার পাসওয়ার্ড পুনরুদ্ধার করুন" ফর্মটি থাকা অবস্থায়, যেগুলি ই-মেইলে প্রকৃত পাসওয়ার্ডটি প্রেরণ করে সেগুলি তথ্য সুরক্ষিত রাখার দাবি করে এমন ওয়েবসাইটগুলির সংখ্যা গণনা বন্ধ করি।

    এটি সেই "W3C বৈধ এক্সএইচটিএমএল" লেবেলের মতো এগুলিকে কেন এমন ওয়েবসাইটগুলিতে রাখা হয় যেখানে এমনকি কোনও হোম পৃষ্ঠায় কমপক্ষে কয়েক ডজন ত্রুটি এবং কোড থাকে <DIV COLOR='red'>?

আপনি যদি এখনও ব্যবহারকারীদের আশ্বস্ত করতে চান তবে আপনি এর মতো কিছু রাখতে পারেন:

আপনার পাসওয়ার্ডগুলি সুরক্ষিত রাখা হয়েছে। মনে রাখবেন যে আমরা আপনার পাসওয়ার্ড দেখতে পাচ্ছি না এবং আপনাকে কোনও ইমেল প্রেরণের জন্য আপনাকে জিজ্ঞাসা করব না।

তবে প্রকৃতপক্ষে, "আমি আমার পাসওয়ার্ডটি ভুলে গেছি; ই-মেইলে এটি আমাকে প্রেরণ করুন" এর পরিবর্তে "আমার পাসওয়ার্ডটি পুনরায় সেট করুন" ফর্মটি কোনও শব্দের চেয়ে অনেক বেশি আশ্বাস দেয়।

বিভিন্ন মন্তব্য থেকে ইঙ্গিত:

  • চাকাটি পুনরায় উদ্ভাবন করবেন না: ওপেনআইডি ব্যবহার করুন। এইভাবে, আপনি এমনকি হ্যাশগুলি সংরক্ষণ করেন না।

    সূত্র: জন হুডেকের মন্তব্য

  • আপনি যেহেতু একজন শিক্ষার্থী, আপনার প্রকল্পটি ওপেন সোর্স। যেহেতু আপনার উদ্বেগটি হ'ল: "আমি চাই না যে ব্যবহারকারীরা তাদের পাসওয়ার্ডগুলি নিরাপদ নয় বলে বিদ্যালয়ের কোনও বাচ্চা এটির নকশা তৈরি করেছিল" " , উত্স কোডটি পড়ে, যাচাই করতে সক্ষম হওয়ার চেয়ে আরও বেশি আশ্বাস দেওয়ার মতো কিছুই নেই যে এটি দক্ষতার বিকাশকারী লিখেছিলেন যিনি সুরক্ষার বিষয়ে যত্নশীল।

    সূত্র: জন ডগজেন দ্বারা মন্তব্য


আপনি বলছি ইনপুট জন্য ধন্যবাদ। সমস্যা হ'ল আমি আমার ইউনিটির জন্য একটি পরিষেবা ডিজাইনের শিক্ষার্থী। আমি চাই না যে ব্যবহারকারীরা তাদের পাসওয়ার্ডগুলি নিরাপদ নয় বলে বিদ্যালয়ের কোনও বাচ্চা এটি ডিজাইন করেছিল। আমি bcrypt সহ বিভিন্ন পদ্ধতির গুচ্ছের দিকে নজর রেখেছি এবং কোনটি ব্যবহার করব তা ঠিক করেছিলাম না। আমি অনুভব করেছি যে এটি এখন যথেষ্ট নিরাপদ হবে এবং প্রচুর লোক এটি ব্যবহার শুরু করলে আমি প্রয়োজনে এটি যুক্ত করতে পারি। আমি আপাতত এটি এখানে আউট নেওয়ার জন্য কাজ করছি। আবার ধন্যবাদ.
ব্যবহারকারী2698818

3
@ user2698818 আপনার যা করা উচিত তা হল সুরক্ষাটি ডিজাইন করা, তারপরে একটি প্রশ্ন পোস্ট করুন যাতে এটি বিশদে বিশদ বর্ণনা করে জিজ্ঞাসা করে 'এটি কি নিরাপদ (যথেষ্ট)'? ভাল সুরক্ষা সম্পূর্ণ জনসাধারণ হতে পারে।
জান ডগজেন

@ ব্যবহারকারী2698818: ঠিক আছে। আমার উত্তর সম্পাদনা।
আরসেনি মরজেনকো

6
@ জানডোগেন: ঠিক আছে, তাঁর বিদ্যমান করণীয়টি এমন একটি বিদ্যমান সুরক্ষা ব্যবস্থা ব্যবহার করা উচিত যা অন্য কেউ ডিজাইন করে জিজ্ঞাসা করেছিলেন "এটি কি যথেষ্ট নিরাপদ"? সম্ভবত এই প্রশ্নটি বেশ খানিকটা সময় দাঁড়িয়েছিল এবং ক্ষেত্রের বেশ কয়েকটি বিশেষজ্ঞের দৃষ্টি আকর্ষণ করেছে ;-)
জোচিম সৌর

12

পাসওয়ার্ড প্রথম স্থানে রাখবেন না! স্ট্যাক এক্সচেঞ্জের উদাহরণ অনুসরণ করুন এবং ব্যবহারকারীদের অন্য কোনও সাইটে তাদের পরিচয় দিয়ে লগ ইন করতে দিন যা ওপেনআইডিআইডি মাধ্যমে প্রমাণীকরণ সরবরাহ করে । বাস্তবায়নগুলি বেশিরভাগ সাধারণ ওয়েব ফ্রেমওয়ার্কের জন্য অবাধে উপলব্ধ।

অথবা সম্ভবত অন্য কোনও প্রোটোকল। যদি এটি কোনও সংস্থার অভ্যন্তরীণ প্রকল্প হয় (অন্য উত্তরের মতামত অনুসারে), ইতিমধ্যে অবশ্যই একটি এলডিএপি রয়েছে, কার্বেরোস (উইন্ডোজ অ্যাক্টিভ ডিরেক্টরিগুলি সেই দু'জনের উপর ভিত্তি করে রয়েছে; অ্যাপাচি তাদের বিরুদ্ধে এইচটিটিপি প্রমাণীকরণ সমর্থন করে) বা কিছু কম্পিউটার লগইন জন্য যেমন পরিষেবা। শুধু যে সংযোগ।

এই সংবেদনশীল তথ্য সংরক্ষণ থেকে উদ্ধার করেন (আপনি সম্ভবত এখনও দোকান অনুমতি করতে হবে, কিন্তু তারা নয় যে সমালোচনামূলক) যাতে সামগ্রিক জয় এবং এখনও অন্য ব্যবহারকারীর নাম ও পাসওয়ার্ড মনে রাখার থেকে ব্যবহারকারীদের।


1
আপনি কোন সাইট তৈরি করেছেন তা দয়া করে আমাকে বলুন যাতে আপনি অনুমতিগুলি সুরক্ষা-সমালোচনামূলক না বলে আচরণ করেন তবে আমি সেগুলি এড়াতে পারি।
orlp

1
প্রয়োজনে পাসওয়ার্ড সংরক্ষণ করা হলে কী হয়। এছাড়াও প্রশ্নটি তাদের সংরক্ষণ করার বিষয়ে বিশেষভাবে জিজ্ঞাসা করে।
পাইটর কুলা

3
@ পিপমকিন: এই ধরণের অনেক প্রশ্ন রয়েছে "আমি কীভাবে এক্স করতে চাই ওয়াই করতে" যেখানে সেরা উত্তরটি "আপনি জেড ব্যবহার করেন"। আপনি যদি রাজি না হন তবে সহজতর উত্তর দিন ;-)।
জানু হুডেক

3
@ পিপমকিন একটি উপমাটি ব্যবহার করতে: "আমি আমার মুঠি দিয়ে একটি শিলা ভাঙার চেষ্টা করছি, আমার কোন গ্লোভ ব্যবহার করা উচিত?" 19 তম জার্মান ক্যাভালারি গন্টলেট সরবরাহ করার আগে তারা ছিনুক সম্পর্কে সচেতন কিনা তা পরীক্ষা করুন।
ডিফোর্ড

1
আমি ওপেনআইডি পরামর্শ দেওয়ার জন্য খুব তাড়াতাড়ি হওয়া এড়াতে চাই। হ্যাঁ, এটি দুর্দান্ত, তবে আপনি যদি একাধিক ওপেনআইডিআইডি / ওআউথ সরবরাহকারীদের সমর্থন করেন তবে এটি সর্বোত্তমভাবে কাজ করে। প্রচুর টেক ফোরাম, ব্লগ, প্রশ্নোত্তর ইত্যাদি রয়েছে যেখানে আপনাকে ফেসবুকের ওআইডি সরবরাহকারীর মাধ্যমে লগ ইন করতে হবে এবং অন্য কোনওটি ব্যবহার করতে পারবেন না। আমি এমন একটি ওয়ার্কের নেটওয়ার্কে আছি যা ফেসবুক ডোমেনগুলিকে পাইকারিভাবে আটকায় এবং তাই আমি এই সাইটগুলির সাথে কাজ করতে পারি না। আপনি যদি ওআইডি সমর্থন করছেন, এবং এখনই একটি ব্যবহার করতে চলেছেন তবে আপনার লক্ষ্য দর্শকদের মধ্যে জনপ্রিয় এমন একটি সরবরাহকারী বেছে নিন এবং সিসাদমিন দ্বারা অবরুদ্ধ হওয়ার সম্ভাবনা নেই। গুগল এবং উইন্ডোজ লাইভ ভাল পছন্দ।
কিথস

2

এই মর্মে যে

"এটি নিরাপদ।"

নির্দিষ্ট প্রযুক্তিগত তথ্য বা প্রক্রিয়াগুলি সম্পর্কে আপনি যে ব্যক্তিগত রায় করেন এবং এই রায়টি আপনি নিজেরাই সেই সময়ে সুরক্ষা সম্পর্কে যা জানেন তা দ্বারা সীমাবদ্ধ। তবে আপনি কী সন্দেহজনকভাবে গ্যারান্টি দিতে পারবেন যে আপনার এনক্রিপশন, স্টোরেজ পদ্ধতি ইত্যাদি কোনও ধরণের আক্রমণ চালিয়ে যাবে, এমনকি আপনি যেগুলি জানেন না বা এখনও জানেন না?

অর্থ: এই বিবৃতিটি মেয়াদোত্তীর্ণ হওয়ার ঝুঁকিতে রয়েছে, সম্ভবত আপনি এটি অবহিত না করেও।

আমি @ জোচিমসৌয়ারের উপরোক্ত মন্তব্যের সাথে একমত হতে চাই: আপনি কী করবেন তা কেবল বিবরণ করুন, আপনি কীভাবে ব্যবহারকারীর তথ্য সংরক্ষণ করবেন এবং আপনার পরিষেবাটি কীভাবে সুরক্ষিত করার কথা এটি ব্যবহারকারীদের বলুন । তারপরে ব্যবহারকারীদের নিজেরাই বিচার করতে দিন।


না, হয় মত, "এটা সুন্দর" থেকে "এই নিরাপদ" একটি "ব্যক্তিগত" বা বিষয়ী বিবৃতি নয়, এটা না আমাকে । এটি আসলে একটি শব্দার্থগতভাবে শূন্য বিবৃতি, "কী সম্পর্কিত" বা "কোন আক্রমণ থেকে সুরক্ষিত" বা "কোন প্রসঙ্গে কোন পর্যায়ে" উল্লেখ করা ছাড়াই। যদি আপনার পুরো বিবৃতিতে "এটি সুরক্ষিত" থাকে তবে এটি টাইপ করা শেষ হওয়ার আগেই এটি পুরানো হয়ে যায় এবং আপনি এটি সম্পর্কে অবগত নন এমনই সম্ভাবনা রয়েছে। আমি শেষ অংশে যদিও একমত না, এটি সমস্ত বিবরণ সম্পর্কে।
এভিডি

@ অভিডি: সম্ভবত আপনি আমার নির্দিষ্ট শব্দগুলির পছন্দ সম্পর্কে খুব বেশি পড়েছেন। হ্যাঁ, আরও বিশদ না দিয়ে কিছু "সুরক্ষিত" বলা অর্থহীন। কিন্তু আমি বিশ্বাস বিশ্রাম হয় নি এছাড়াও একটি ব্যক্তিগত রায়, কারণ সবার ঠিক একই অনুভূতি এবং "নিরাপত্তা" জন্য দাবী আছে: কি একটি নিরাপদ যথেষ্ট যে কিছু "নিরাপদ" বলে যে বলার অপেক্ষা রাখে না বি সুতরাং করতে অনিরাপদ মনে হতে পারে খুঁজে বের করে যে ব্যক্তি বিবৃতি দেয় "এটি নিরাপদ বলে মনে করে"। এবং এটি কাউকে প্রাসঙ্গিক তথ্য প্রদান এবং তাদের নিজস্ব উপসংহারে টানা দেওয়া সমান ওজনের সাথে যুক্তি নয়।
stakx

ঠিক আছে, "কীসের প্রয়োজনে" আমি প্রয়োজনীয়তা, সুরক্ষা প্রোফাইল, ঝুঁকি ইত্যাদির জন্য কী বোঝাতে চাইছি তা এখনও ব্যক্তিগত রায় নয়, তবে আপনি সম্ভবত "ব্যক্তিগত" বলতে যা বোঝাতে চেয়েছিলেন তা হ'ল "প্রসঙ্গ" দ্বারা বোঝানো হচ্ছে। "সিকিউর" হ'ল একটি কঠিন বিজ্ঞান মেট্রিক, নরম ইচ্ছাপূর্ণ "অনুভূতি" নয়। তবে হ্যাঁ, আপনি যেমন বলছেন, আমাকে এটি "সুরক্ষিত" বলবেন না, এটি কী করার জন্য আপনি কী করেছেন আমাকে বলুন।
এভিডি

@ অ্যাভিডি: ঠিক আছে আমি কোনও যুক্তি খুব প্রহার করা এই বলে যে নিরাপত্তার জন্য ছাড়া হবে হয় একটি জলো অনুভূতি, খুব। এটি অবশ্যই এর চেয়ে বেশি, তবে যখন প্রশ্নটি "আশ্বাস" ব্যবহারকারীদের সম্পর্কে (প্রশ্নের শিরোনাম দেখুন), তখন শেষ পর্যন্ত গণনা করা ইচ্ছাকৃত ধোয়া অনুভূতি।
stakx

1

এটি সত্যই আপনার নির্দিষ্ট ওয়েবসাইটের প্রসঙ্গে নির্ভর করে।

উদাহরণস্বরূপ, যদি এটি কোনও ভোক্তা ওয়েবসাইট হয় তবে তার পক্ষে মতামত রয়েছে যে তাদের বেশিরভাগই কেবল তাদের পাসওয়ার্ড (সম্ভবত), আর্থিক / স্বাস্থ্য সম্পর্কিত তথ্য (নির্ভর করে) এবং তাদের ব্যক্তিগত তথ্য যেমন ছবি (হাহাহা, হ্যাঁ ঠিক আছে ...) ।

এটি যদি কোনও ব্যবসায়িক অ্যাপ্লিকেশন হয় তবে পুরো সাইটের সুরক্ষা স্তরটি কেবল পাসওয়ার্ড নয় relevant তেমনি, এটি আপনার টার্গেট ব্যবহারকারীরা - অত্যন্ত প্রযুক্তিগত / এত প্রযুক্তিগত নয় ইত্যাদি উপর নির্ভর করে etc.

এই সমস্ত প্রসঙ্গটি আপনাকে কীভাবে যোগাযোগ করা উচিত এবং কোন স্তরের আশ্বাসের প্রয়োজন তা ব্যাপকভাবে সংজ্ঞায়িত করে ।

উদাহরণস্বরূপ, অ-প্রযুক্তিগত গ্রাহকদের জন্য কিছু জেনেরিক, সাধারণ মন্তব্য রাখা যথেষ্ট, যেমন:

এই সাইটটি অত্যাধুনিক সুরক্ষা কৌশল ব্যবহার করে তৈরি করা হয়েছে। আপনার পাসওয়ার্ডটি সর্বদা এনক্রিপ্ট থাকে এবং আমরা কখনই আপনার ছবিগুলি এনএসএতে প্রেরণ করব না।

(এবং, যেমন অন্যদের বলেছি, আপনি ভাল বন্ধ এমনকি নয় থাকার পাসওয়ার্ড আদৌ, OpenID বা OAuth এর মত কিছু মান ব্যবহার করুন।)

অত্যন্ত প্রযুক্তিগত ব্যবসায়ের জন্য, আপনার কাছে প্রযুক্তিগত এবং পদ্ধতিগত বিশদগুলির একটি সম্পূর্ণ পৃষ্ঠা থাকতে হবে, যেমন:

আমরা আমাদের বিকাশ এবং মোতায়েন প্রক্রিয়া জুড়ে একটি সম্পূর্ণ এসডিএল (সুরক্ষিত উন্নয়ন জীবনচক্র) প্রয়োগ করেছি।
...
আমাদের সুরক্ষা আর্কিটেকচারটি ... এটির সুবিধাগুলি দেয় ...
আমরা সুরক্ষিত কোডিং নিশ্চিত করি ... যেমন ... দ্বারা ... আমরা এই এবং এই পরীক্ষাগুলি সম্পাদন করি।
আমাদের ক্রিপ্টোগ্রাফিতে এই অ্যালগরিদমগুলি অন্তর্ভুক্ত রয়েছে ... এবং ... আপনার প্রয়োজন প্রতিটি শিল্প নিয়ন্ত্রণের সাথে আমরা সম্মতিযুক্ত, এবং এর জন্য প্রত্যয়িত ...
আমাদের সুরক্ষা এই স্বাধীন তৃতীয় পক্ষের পরামর্শদাতাদের দ্বারা যাচাই করা হয়েছে।
...
আরও বিশদে, এবং আমাদের নীতিগুলি পর্যালোচনা করতে বা একটি স্বাধীন নিরীক্ষার ব্যবস্থা করার জন্য, দয়া করে বিপণন বিভাগের সাথে আলোচনা করুন।

অবশ্যই, আপনি খুব বেশি বিস্তারিত তথ্য দিতে চান না, প্রক্রিয়াটি সম্পর্কে তাদের নিজের পাসওয়ার্ডের চেয়ে বেশি হওয়া উচিত ... এবং অবশ্যই এটি বলা উচিত নয় যে সেখানে আপনি যা লেখেন বাস্তবে বাস্তবতা মেনে চলতে হবে , আপনি যে কোনও প্রসঙ্গে কাজ করছেন।

উত্তরগুলির মধ্যে একটি হিসাবে ইঙ্গিত করা হয়েছে, বেশিরভাগ ব্যবহারকারীরা তাদের যত্ন নেবে না, আপনি যা কিছু বলবেন তা বুঝতে পারবেন না এবং এখনও যেভাবে সাইন আপ করবেন তা আপনি যদি বলেন যে আপনি এনএসএতে ব্যবহারকারী ডেটা প্রেরণ করেন না।
এটি তাদের জন্য নয়।
তারা কোনও পাসওয়ার্ড না পেয়ে যেমন খুশি হবে, কেবল আমাকে তালিকা থেকে আমার ব্যবহারকারীর নাম চয়ন করতে এবং আমাকে স্বয়ংক্রিয়ভাবে লগ ইন করতে দিন।

স্পষ্টতই এটি সেই সামান্য শতাংশের যত্ন নেওয়ার জন্য - আপনি স্মার্ট ব্যবহারকারীদের যা সঠিক তা করতে, তাদের প্রয়োজনীয় তথ্য দেওয়ার জন্য এবং তাদের যে শিক্ষার জন্য জিজ্ঞাসা করতে পারে তাদের মঞ্জুরি দেওয়া উচিত।
আপনি যদি তা না করেন, যখন এটি ভুল হয়ে যায়, অন্যান্য 98% হঠাৎ ঘুম থেকে উঠে ক্রুদ্ধ হয়ে উঠবেন।
("অবশ্যই, আমি জানতাম যে আমার ছবিগুলি দেখার জন্য আমার কোনও পাসওয়ার্ডের দরকার নেই, তবে আমি ভাবিনি যে অন্য কেউ তাদেরও দেখতে পারে !!"))


0

আপনি যদি আপনার সিস্টেমটি সুরক্ষিত রাখতে চান তবে পাসওয়ার্ড অ্যালগোরিদমের শক্তি অর্থহীন - বেশিরভাগ হ্যাকার পরবর্তী সময়ে পাসওয়ার্ড ক্র্যাক করতে পারে, বিশেষত যদি নির্বাচিত পাসওয়ার্ডটি ছোট হয় বা জেনেরিক শব্দের সমন্বয়ে থাকে যা হ্যাকার ইতিমধ্যে "ক্র্যাক এবং সঞ্চিত রয়েছে" "ইউএনওএনজি রংধনু টেবিল এবং অনুরূপ। প্রচুর অন্তর্দৃষ্টির জন্য পাসওয়ার্ড ক্র্যাকিংয়ের উপর আর্টটেকনিকের নিবন্ধটি পড়ুন ।

আপনার যা করা দরকার তা হ'ল ব্যবহারকারীদের নিশ্চয়তা দিন যে খারাপ ছেলেরা প্রথমে তাদের হ্যাশগুলিতে যেতে পারে না। সুরক্ষার জন্য সচেতন একটি সংস্থা যার জন্য আমি কাজ করেছি সেখানে একটি তিন স্তরের ওয়েব সিস্টেম ছিল যেখানে ওয়েব সার্ভারগুলি শারীরিকভাবে ডেটাবেস সার্ভারের সাথে সংযুক্ত ছিল না। যখন আমার বস তার ওয়েবসাইটটি চালু রাখতে এবং ডিবিতে সরাসরি অ্যাক্সেস পেতে চেয়েছিলেন (খারাপভাবে নকশাকৃত কোড, 'নফ বলেছিলেন) তাকে বলা হয়েছিল যে এটি তার পক্ষে নেই, এবং যখন তিনি চাপ দিয়েছেন ... তখন জানানো হয়েছিল যে তাদের মধ্যে কোনও তারের নেই। । তাকে এটির আর্কিটেক্ট করতে হয়েছিল তাই এটি মধ্যম স্তর পরিষেবাগুলির মাধ্যমে সমস্ত ডেটা অনুরোধগুলি পাস করে। এবং এই পরিষেবাগুলি কেবল সুরক্ষিতই ছিল না, তবে আক্রমণ করার জন্য ন্যূনতম পৃষ্ঠকে উন্মুক্ত করেছিল এবং লক হয়ে গিয়েছিল। এবং ডিবি তার কোনও টেবিল পড়ার জন্য কখনই উন্মোচিত করেনি, কেবল সঞ্চিত প্রক্রিয়াগুলি কেবলমাত্র লক হয়ে যায় তাই কেবলমাত্র সম্পর্কিত পরিষেবাটিতে অ্যাক্সেস ছিল।

আপনার মনে হতে পারে এমন কোডের পক্ষে এটি মন্দ ছিল না, আপনি একবার স্থাপত্য এবং প্রতিটি স্তরের পৃথকীকরণটি জানলে, এটি কোড করা বেশ সহজ ছিল।


0

আপনি গ্রহের সর্বাধিক সুরক্ষিত সাইটটি বিকাশ করতে পারবেন এবং ব্যবহারকারীর অভিজ্ঞতা সত্যিই খারাপ। ব্যবহারকারীরা ধরে নেবেন যে আপনার সাইটটি নিরাপত্তাহীন।

আপনি গ্রহে সর্বনিম্ন সুরক্ষিত সাইট তৈরি করতে পারেন এবং আশ্চর্যজনক ব্যবহারকারীর অভিজ্ঞতা থাকতে পারেন। ব্যবহারকারীরা ধরে নেবেন যে আপনার সাইটটি সুরক্ষিত। কমপক্ষে এটি সন্ধ্যা সংবাদ প্রকাশিত হওয়া পর্যন্ত।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.