ব্যবহারকারীদের কীভাবে নিশ্চিত করা যায় যে ওয়েবসাইট এবং পাসওয়ার্ডগুলি সুরক্ষিত [বন্ধ]

নির্ভরযোগ্য ওয়েবসাইটগুলিতে আমি সর্বদা দাবীগুলি দেখতে পাই যেমন "সমস্ত ডেটা এনক্রিপ্ট করা হয়" বা "সমস্ত পাসওয়ার্ড 128 বিট এনক্রিপশন ব্যবহার করে এনক্রিপ্ট করা হয়" ইত্যাদি However তবে আমি "সমস্ত পাসওয়ার্ডগুলি হ্যাশ হয়ে গেছে" এর মতো দাবিটি কখনও পাইনি।

আমার ওয়েবসাইটে, আমি SHA-512 ব্যবহার করার পরে সমস্ত ব্যবহারকারীর পাসওয়ার্ড একটি ডেটাবেজে সংরক্ষণ করব (সম্ভবত) একটি এলোমেলো লবণ দিয়ে হ্যাশিং। আমি ব্যবহারকারীদের আশ্বাস দিয়ে একটি স্নিপেট যুক্ত করতে চাই যে তাদের পাসওয়ার্ডগুলি সুরক্ষিত তাই তারা আমার ওয়েবসাইট ব্যবহার করা থেকে বিরত থাকবে না কারণ এর জন্য একটি পাসওয়ার্ড প্রয়োজন। আমি ব্যবহারকারীদের সুরক্ষিত বোধ করতে চাই তবে আমি মনে করি না যে সবাই হ্যাশিং কী তা জানে।

আমার প্রশ্ন: "সমস্ত পাসওয়ার্ড এনক্রিপ্ট করা এবং সুরক্ষিত আছে" এমন কোনও বার্তা সরবরাহ করা কি ঠিক আছে যেহেতু আমি মনে করি না যে গড় ব্যবহারকারী এবং হ্যাশিং এবং এনক্রিপশনের মধ্যে পার্থক্য কী তা বুঝতে পারবেন এবং সম্ভবত তারা কেবল দেখছেন বলেই সুরক্ষিত বোধ করবেন আরাম শব্দ "এনক্রিপশন"? বা আমার কাছে কোন বিকল্প বার্তা সরবরাহ করা উচিত?

পার্শ্ব নোটে, আমি এনক্রিপশন এবং পাসওয়ার্ড হ্যাশিংয়ের ক্ষেত্রে নতুন এবং আমি ভাবছিলাম যে আমার সাইটটি লঞ্চ করায় এটি এখনকার পক্ষে যথেষ্ট নিরাপদ হবে কিনা? আমি ব্যবহারকারীদের বলতে চাই না যে এটি না থাকলে এটি নিরাপদ। যেকোনো তথ্য খুবই উপকারে আসবে. ধন্যবাদ।

1. ব্যবহারকারীদের যত্ন নেই।

   তাদের যত্ন নেওয়ার সময়টি কেবল তখনই হয় যখন কেউ তাদের ব্যাংক অ্যাকাউন্ট থেকে অর্থ প্রত্যাহার করে এবং মনে হয় এটির একটি লিঙ্ক রয়েছে যা কয়েক দিন আগে, কেউ আপনার ডাটাবেসে সম্পূর্ণ অ্যাক্সেস পেয়েছিল।

2. প্রায় প্রতিটি ক্ষেত্রেই আমি এই জাতীয় বার্তা দেখেছি, তারা বিভ্রান্তিকর ছিল। সর্বাধিক হাসিখুশি একটি ওয়েবসাইটটিতে প্রতিটি পৃষ্ঠায় "মিলিটারি-গ্রেড সুরক্ষিত"-স্টাইল লেবেল ছিল। একটি সতর্কতা ছিল যা এইচটিটিপি শংসাপত্রটি অবৈধ telling লগন ফর্মটিতে একটি এসকিউএল ইঞ্জেকশন ছিল। কয়েক সপ্তাহ পরে, ওয়েবসাইটটি হ্যাক হয়েছিল, তারপরে চিরতরে অদৃশ্য হয়ে গেল।

   আমি "আমার পাসওয়ার্ড পুনরুদ্ধার করুন" ফর্মটি থাকা অবস্থায়, যেগুলি ই-মেইলে প্রকৃত পাসওয়ার্ডটি প্রেরণ করে সেগুলি তথ্য সুরক্ষিত রাখার দাবি করে এমন ওয়েবসাইটগুলির সংখ্যা গণনা বন্ধ করি।

   এটি সেই "W3C বৈধ এক্সএইচটিএমএল" লেবেলের মতো এগুলিকে কেন এমন ওয়েবসাইটগুলিতে রাখা হয় যেখানে এমনকি কোনও হোম পৃষ্ঠায় কমপক্ষে কয়েক ডজন ত্রুটি এবং কোড থাকে <DIV COLOR='red'>?

আপনি যদি এখনও ব্যবহারকারীদের আশ্বস্ত করতে চান তবে আপনি এর মতো কিছু রাখতে পারেন:

আপনার পাসওয়ার্ডগুলি সুরক্ষিত রাখা হয়েছে। মনে রাখবেন যে আমরা আপনার পাসওয়ার্ড দেখতে পাচ্ছি না এবং আপনাকে কোনও ইমেল প্রেরণের জন্য আপনাকে জিজ্ঞাসা করব না।

তবে প্রকৃতপক্ষে, "আমি আমার পাসওয়ার্ডটি ভুলে গেছি; ই-মেইলে এটি আমাকে প্রেরণ করুন" এর পরিবর্তে "আমার পাসওয়ার্ডটি পুনরায় সেট করুন" ফর্মটি কোনও শব্দের চেয়ে অনেক বেশি আশ্বাস দেয়।

বিভিন্ন মন্তব্য থেকে ইঙ্গিত:

• চাকাটি পুনরায় উদ্ভাবন করবেন না: ওপেনআইডি ব্যবহার করুন। এইভাবে, আপনি এমনকি হ্যাশগুলি সংরক্ষণ করেন না।

  সূত্র: জন হুডেকের মন্তব্য ।

• আপনি যেহেতু একজন শিক্ষার্থী, আপনার প্রকল্পটি ওপেন সোর্স। যেহেতু আপনার উদ্বেগটি হ'ল: "আমি চাই না যে ব্যবহারকারীরা তাদের পাসওয়ার্ডগুলি নিরাপদ নয় বলে বিদ্যালয়ের কোনও বাচ্চা এটির নকশা তৈরি করেছিল" " , উত্স কোডটি পড়ে, যাচাই করতে সক্ষম হওয়ার চেয়ে আরও বেশি আশ্বাস দেওয়ার মতো কিছুই নেই যে এটি দক্ষতার বিকাশকারী লিখেছিলেন যিনি সুরক্ষার বিষয়ে যত্নশীল।

  সূত্র: জন ডগজেন দ্বারা মন্তব্য ।

পাসওয়ার্ড প্রথম স্থানে রাখবেন না! স্ট্যাক এক্সচেঞ্জের উদাহরণ অনুসরণ করুন এবং ব্যবহারকারীদের অন্য কোনও সাইটে তাদের পরিচয় দিয়ে লগ ইন করতে দিন যা ওপেনআইডিআইডি মাধ্যমে প্রমাণীকরণ সরবরাহ করে । বাস্তবায়নগুলি বেশিরভাগ সাধারণ ওয়েব ফ্রেমওয়ার্কের জন্য অবাধে উপলব্ধ।

অথবা সম্ভবত অন্য কোনও প্রোটোকল। যদি এটি কোনও সংস্থার অভ্যন্তরীণ প্রকল্প হয় (অন্য উত্তরের মতামত অনুসারে), ইতিমধ্যে অবশ্যই একটি এলডিএপি রয়েছে, কার্বেরোস (উইন্ডোজ অ্যাক্টিভ ডিরেক্টরিগুলি সেই দু'জনের উপর ভিত্তি করে রয়েছে; অ্যাপাচি তাদের বিরুদ্ধে এইচটিটিপি প্রমাণীকরণ সমর্থন করে) বা কিছু কম্পিউটার লগইন জন্য যেমন পরিষেবা। শুধু যে সংযোগ।

এই সংবেদনশীল তথ্য সংরক্ষণ থেকে উদ্ধার করেন (আপনি সম্ভবত এখনও দোকান অনুমতি করতে হবে, কিন্তু তারা নয় যে সমালোচনামূলক) যাতে সামগ্রিক জয় এবং এখনও অন্য ব্যবহারকারীর নাম ও পাসওয়ার্ড মনে রাখার থেকে ব্যবহারকারীদের।

এই মর্মে যে

"এটি নিরাপদ।"

নির্দিষ্ট প্রযুক্তিগত তথ্য বা প্রক্রিয়াগুলি সম্পর্কে আপনি যে ব্যক্তিগত রায় করেন এবং এই রায়টি আপনি নিজেরাই সেই সময়ে সুরক্ষা সম্পর্কে যা জানেন তা দ্বারা সীমাবদ্ধ। তবে আপনি কী সন্দেহজনকভাবে গ্যারান্টি দিতে পারবেন যে আপনার এনক্রিপশন, স্টোরেজ পদ্ধতি ইত্যাদি কোনও ধরণের আক্রমণ চালিয়ে যাবে, এমনকি আপনি যেগুলি জানেন না বা এখনও জানেন না?

অর্থ: এই বিবৃতিটি মেয়াদোত্তীর্ণ হওয়ার ঝুঁকিতে রয়েছে, সম্ভবত আপনি এটি অবহিত না করেও।

আমি @ জোচিমসৌয়ারের উপরোক্ত মন্তব্যের সাথে একমত হতে চাই: আপনি কী করবেন তা কেবল বিবরণ করুন, আপনি কীভাবে ব্যবহারকারীর তথ্য সংরক্ষণ করবেন এবং আপনার পরিষেবাটি কীভাবে সুরক্ষিত করার কথা এটি ব্যবহারকারীদের বলুন । তারপরে ব্যবহারকারীদের নিজেরাই বিচার করতে দিন।

এটি সত্যই আপনার নির্দিষ্ট ওয়েবসাইটের প্রসঙ্গে নির্ভর করে।

উদাহরণস্বরূপ, যদি এটি কোনও ভোক্তা ওয়েবসাইট হয় তবে তার পক্ষে মতামত রয়েছে যে তাদের বেশিরভাগই কেবল তাদের পাসওয়ার্ড (সম্ভবত), আর্থিক / স্বাস্থ্য সম্পর্কিত তথ্য (নির্ভর করে) এবং তাদের ব্যক্তিগত তথ্য যেমন ছবি (হাহাহা, হ্যাঁ ঠিক আছে ...) ।

এটি যদি কোনও ব্যবসায়িক অ্যাপ্লিকেশন হয় তবে পুরো সাইটের সুরক্ষা স্তরটি কেবল পাসওয়ার্ড নয় relevant তেমনি, এটি আপনার টার্গেট ব্যবহারকারীরা - অত্যন্ত প্রযুক্তিগত / এত প্রযুক্তিগত নয় ইত্যাদি উপর নির্ভর করে etc.

এই সমস্ত প্রসঙ্গটি আপনাকে কীভাবে যোগাযোগ করা উচিত এবং কোন স্তরের আশ্বাসের প্রয়োজন তা ব্যাপকভাবে সংজ্ঞায়িত করে ।

উদাহরণস্বরূপ, অ-প্রযুক্তিগত গ্রাহকদের জন্য কিছু জেনেরিক, সাধারণ মন্তব্য রাখা যথেষ্ট, যেমন:

এই সাইটটি অত্যাধুনিক সুরক্ষা কৌশল ব্যবহার করে তৈরি করা হয়েছে। আপনার পাসওয়ার্ডটি সর্বদা এনক্রিপ্ট থাকে এবং আমরা কখনই আপনার ছবিগুলি এনএসএতে প্রেরণ করব না।

(এবং, যেমন অন্যদের বলেছি, আপনি ভাল বন্ধ এমনকি নয় থাকার পাসওয়ার্ড আদৌ, OpenID বা OAuth এর মত কিছু মান ব্যবহার করুন।)

অত্যন্ত প্রযুক্তিগত ব্যবসায়ের জন্য, আপনার কাছে প্রযুক্তিগত এবং পদ্ধতিগত বিশদগুলির একটি সম্পূর্ণ পৃষ্ঠা থাকতে হবে, যেমন:

আমরা আমাদের বিকাশ এবং মোতায়েন প্রক্রিয়া জুড়ে একটি সম্পূর্ণ এসডিএল (সুরক্ষিত উন্নয়ন জীবনচক্র) প্রয়োগ করেছি।
...
আমাদের সুরক্ষা আর্কিটেকচারটি ... এটির সুবিধাগুলি দেয় ...
আমরা সুরক্ষিত কোডিং নিশ্চিত করি ... যেমন ... দ্বারা ... আমরা এই এবং এই পরীক্ষাগুলি সম্পাদন করি।
আমাদের ক্রিপ্টোগ্রাফিতে এই অ্যালগরিদমগুলি অন্তর্ভুক্ত রয়েছে ... এবং ... আপনার প্রয়োজন প্রতিটি শিল্প নিয়ন্ত্রণের সাথে আমরা সম্মতিযুক্ত, এবং এর জন্য প্রত্যয়িত ...
আমাদের সুরক্ষা এই স্বাধীন তৃতীয় পক্ষের পরামর্শদাতাদের দ্বারা যাচাই করা হয়েছে।
...
আরও বিশদে, এবং আমাদের নীতিগুলি পর্যালোচনা করতে বা একটি স্বাধীন নিরীক্ষার ব্যবস্থা করার জন্য, দয়া করে বিপণন বিভাগের সাথে আলোচনা করুন।

অবশ্যই, আপনি খুব বেশি বিস্তারিত তথ্য দিতে চান না, প্রক্রিয়াটি সম্পর্কে তাদের নিজের পাসওয়ার্ডের চেয়ে বেশি হওয়া উচিত ... এবং অবশ্যই এটি বলা উচিত নয় যে সেখানে আপনি যা লেখেন বাস্তবে বাস্তবতা মেনে চলতে হবে , আপনি যে কোনও প্রসঙ্গে কাজ করছেন।

উত্তরগুলির মধ্যে একটি হিসাবে ইঙ্গিত করা হয়েছে, বেশিরভাগ ব্যবহারকারীরা তাদের যত্ন নেবে না, আপনি যা কিছু বলবেন তা বুঝতে পারবেন না এবং এখনও যেভাবে সাইন আপ করবেন তা আপনি যদি বলেন যে আপনি এনএসএতে ব্যবহারকারী ডেটা প্রেরণ করেন না।
এটি তাদের জন্য নয়।
তারা কোনও পাসওয়ার্ড না পেয়ে যেমন খুশি হবে, কেবল আমাকে তালিকা থেকে আমার ব্যবহারকারীর নাম চয়ন করতে এবং আমাকে স্বয়ংক্রিয়ভাবে লগ ইন করতে দিন।

স্পষ্টতই এটি সেই সামান্য শতাংশের যত্ন নেওয়ার জন্য - আপনি স্মার্ট ব্যবহারকারীদের যা সঠিক তা করতে, তাদের প্রয়োজনীয় তথ্য দেওয়ার জন্য এবং তাদের যে শিক্ষার জন্য জিজ্ঞাসা করতে পারে তাদের মঞ্জুরি দেওয়া উচিত।
আপনি যদি তা না করেন, যখন এটি ভুল হয়ে যায়, অন্যান্য 98% হঠাৎ ঘুম থেকে উঠে ক্রুদ্ধ হয়ে উঠবেন।
("অবশ্যই, আমি জানতাম যে আমার ছবিগুলি দেখার জন্য আমার কোনও পাসওয়ার্ডের দরকার নেই, তবে আমি ভাবিনি যে অন্য কেউ তাদেরও দেখতে পারে !!"))

আপনি যদি আপনার সিস্টেমটি সুরক্ষিত রাখতে চান তবে পাসওয়ার্ড অ্যালগোরিদমের শক্তি অর্থহীন - বেশিরভাগ হ্যাকার পরবর্তী সময়ে পাসওয়ার্ড ক্র্যাক করতে পারে, বিশেষত যদি নির্বাচিত পাসওয়ার্ডটি ছোট হয় বা জেনেরিক শব্দের সমন্বয়ে থাকে যা হ্যাকার ইতিমধ্যে "ক্র্যাক এবং সঞ্চিত রয়েছে" "ইউএনওএনজি রংধনু টেবিল এবং অনুরূপ। প্রচুর অন্তর্দৃষ্টির জন্য পাসওয়ার্ড ক্র্যাকিংয়ের উপর আর্টটেকনিকের নিবন্ধটি পড়ুন ।

আপনার যা করা দরকার তা হ'ল ব্যবহারকারীদের নিশ্চয়তা দিন যে খারাপ ছেলেরা প্রথমে তাদের হ্যাশগুলিতে যেতে পারে না। সুরক্ষার জন্য সচেতন একটি সংস্থা যার জন্য আমি কাজ করেছি সেখানে একটি তিন স্তরের ওয়েব সিস্টেম ছিল যেখানে ওয়েব সার্ভারগুলি শারীরিকভাবে ডেটাবেস সার্ভারের সাথে সংযুক্ত ছিল না। যখন আমার বস তার ওয়েবসাইটটি চালু রাখতে এবং ডিবিতে সরাসরি অ্যাক্সেস পেতে চেয়েছিলেন (খারাপভাবে নকশাকৃত কোড, 'নফ বলেছিলেন) তাকে বলা হয়েছিল যে এটি তার পক্ষে নেই, এবং যখন তিনি চাপ দিয়েছেন ... তখন জানানো হয়েছিল যে তাদের মধ্যে কোনও তারের নেই। । তাকে এটির আর্কিটেক্ট করতে হয়েছিল তাই এটি মধ্যম স্তর পরিষেবাগুলির মাধ্যমে সমস্ত ডেটা অনুরোধগুলি পাস করে। এবং এই পরিষেবাগুলি কেবল সুরক্ষিতই ছিল না, তবে আক্রমণ করার জন্য ন্যূনতম পৃষ্ঠকে উন্মুক্ত করেছিল এবং লক হয়ে গিয়েছিল। এবং ডিবি তার কোনও টেবিল পড়ার জন্য কখনই উন্মোচিত করেনি, কেবল সঞ্চিত প্রক্রিয়াগুলি কেবলমাত্র লক হয়ে যায় তাই কেবলমাত্র সম্পর্কিত পরিষেবাটিতে অ্যাক্সেস ছিল।

আপনার মনে হতে পারে এমন কোডের পক্ষে এটি মন্দ ছিল না, আপনি একবার স্থাপত্য এবং প্রতিটি স্তরের পৃথকীকরণটি জানলে, এটি কোড করা বেশ সহজ ছিল।

আপনি গ্রহের সর্বাধিক সুরক্ষিত সাইটটি বিকাশ করতে পারবেন এবং ব্যবহারকারীর অভিজ্ঞতা সত্যিই খারাপ। ব্যবহারকারীরা ধরে নেবেন যে আপনার সাইটটি নিরাপত্তাহীন।

আপনি গ্রহে সর্বনিম্ন সুরক্ষিত সাইট তৈরি করতে পারেন এবং আশ্চর্যজনক ব্যবহারকারীর অভিজ্ঞতা থাকতে পারেন। ব্যবহারকারীরা ধরে নেবেন যে আপনার সাইটটি সুরক্ষিত। কমপক্ষে এটি সন্ধ্যা সংবাদ প্রকাশিত হওয়া পর্যন্ত।