বিশ্বব্যাপী অনন্য পাসওয়ার্ড অদম্যতার জন্য উদ্ধৃতি

20

কোনও সিস্টেমের জন্য ব্যবহারকারী পরিচয় / প্রমাণীকরণ প্রক্রিয়া সম্পর্কে আমার কারও (ক্লায়েন্ট) সাথে মতবিরোধ রয়েছে। এর কেন্দ্রবিন্দুটি হ'ল তারা চায় যে প্রতিটি ব্যবহারকারীরই বিশ্বব্যাপী অনন্য পাসওয়ার্ড রয়েছে (অর্থাত্ কোনও ব্যবহারকারীই একই পাসওয়ার্ড রাখতে পারবেন না)। আমি এর বিরুদ্ধে সমস্ত সুস্পষ্ট যুক্তি ছড়িয়ে দিয়েছি (এটি একটি সুরক্ষার দুর্বলতা, এটি প্রমাণীকরণের সাথে সনাক্তকরণকে বিভ্রান্ত করে তোলে, এটি অর্থহীন, ইত্যাদি) তবে তারা জোর দিয়ে বলছেন যে এই পদ্ধতির কোনও ভুল নেই।

আমি বিভিন্ন গুগল অনুসন্ধানগুলি প্রামাণিক (বা অর্ধ-প্রামাণিক, বা এমনকি স্বতন্ত্র স্বাধীন) মতামতগুলি অনুসন্ধান করে করেছি, তবে কোনও আবিষ্কার করতে পারি না (মূলত এটি কেবল এ জাতীয় স্পষ্টতাত্ত্বিক কাজ যা এটির বিরুদ্ধে সতর্কবাণী বলে মনে হয় না, কারণ যতদূর আমি বলতে পারি)। দয়া করে কেউ কি আমাকে এমন কোনও স্বাধীন মতামতের দিকে নির্দেশ করতে পারে?

[সম্পাদনা]
আপনার সমস্ত জবাবের জন্য ধন্যবাদ, তবে আমি ইতিমধ্যে এই প্রস্তাবিত পদ্ধতির / প্রয়োজনীয়তার সাথে সমস্যাগুলি বুঝতে পেরেছি এবং এমনকি ক্লায়েন্টকে সেগুলি ব্যাখ্যা করতে পারি, কিন্তু ক্লায়েন্ট সেগুলি গ্রহণ করতে পারে না, অতএব স্বাধীন এবং / অথবা অনুমোদনের উত্সগুলির জন্য আমার অনুরোধ ।

আমিও দৈনিক ডব্লিউটিএফ নিবন্ধ পাওয়া গেছে চাই, কিন্তু এটা যে জন হপকিন্স সরু আউট হয়েছে ভুগছেন - যে এই ধরনের একটি স্বত: সিদ্ধ ডব্লিউটিএফ এটি ব্যাখ্যা মূল্য আলো দেখায় না কেন

এবং হ্যাঁ, পাসওয়ার্ডগুলি সল্ট এবং হ্যাশ হতে চলেছে। যে ক্ষেত্রে বিশ্বব্যাপী স্বতন্ত্রতা নিশ্চিত করা কঠিন হতে পারে, তবে এটি আমার সমস্যার সমাধান করে না - এর অর্থ কেবল আমার প্রয়োজন যে ক্লায়েন্টটি বকবে না, এটি কেবল অসুস্থ-পরামর্শই নয়, তবে এটি কঠিনও বাস্তবায়ন। এবং যদি আমি "আমি সল্টিং এবং হ্যাশিংয়ের জন্য কুঁকড়ে নেই" বলার মতো অবস্থানে থাকি তবে আমি "আমি বিশ্বব্যাপী অনন্য পাসওয়ার্ডগুলি বাস্তবায়ন করছি না" বলার মতো অবস্থানে থাকি।

কেন এটি একটি খারাপ ধারণা এখনও কৃতজ্ঞতার সাথে গৃহীত হয়েছে তার জন্য স্বাধীন এবং / অথবা কর্তৃত্ববাদী উত্সগুলিতে কোনও পয়েন্টার ...
[/ সম্পাদনা]

security  passwords 
gkrogers
সূত্র
2
এটি একটি অদ্ভুত যথেষ্ট ধারণা যা আমি মনে করি আপনি ভাগ্যবান হতে চলেছেন এটি সম্পর্কে মোটামুটি অনেক বেশি লেখা find আমার মতে এটি এত স্পষ্টতই ত্রুটিযুক্ত যে এটি সুরক্ষা বিশেষজ্ঞদের দ্বারা লেখার পক্ষে যথেষ্ট গুরুতর হিসাবে বিবেচিত হবে না।
জন হপকিন্স
3
আমি সত্যিই আশা করি আপনি প্লেইন টেক্সট পাসওয়ার্ড সংরক্ষণ করছেন না, বরং সল্ট এবং হ্যাশ করছেন। যদি তাদের নোনতা দেওয়া হয় এবং তা ধুয়ে ফেলা হয় তবে বৈশ্বিক স্বতন্ত্রতা নিশ্চিত করা কঠিন হয়ে উঠছে। যদি তা না হয় তবে আমি আপনার সুরক্ষা সম্পর্কে কোন চিন্তা করি না, কারণ আমি ইতিমধ্যে জানি এটি খারাপ।
ডেভিড থর্নলি
1
সুরক্ষা দুর্বলতা সত্ত্বেও, আপনি যদি পাসওয়ার্ডটি অনন্যভাবে হ্যাশ করতে ব্যর্থ হন তবে আপনি কি তা অস্বীকার করতে পারবেন না?
রবার্ট হার্ভে
সম্পাদনা পোস্ট করুন, আমি আমার উত্তরটি পুনরায় পুনরুক্তি করি - এটি কোনও "এটি" এটি "পারবেন না" নয় (পাসওয়ার্ডগুলি যেভাবে সংরক্ষণ করা দরকার তার কারণেই) - তবে এটি ব্যাখ্যা না করে কেন এটি খারাপ নয় এমন ব্যক্তির পক্ষে কেন খারাপ? আগ্রহী আপনার প্রক্রিয়াটি ব্যাক আপ করতে হবে এবং বুঝতে হবে কেন ক্লায়েন্ট মনে করে যে এটি প্রথম স্থানে প্রয়োজনীয়।
মার্ফ
2
আকর্ষণীয় যে তারা আপনাকে তাদের সিস্টেম ডিজাইন করার জন্য যথেষ্ট বিশ্বাস করে তবে তাদের সিস্টেমের ডিজাইনে তাদের পরামর্শ দেওয়ার জন্য যথেষ্ট নয়।
গ্যারি রোয়ে

উত্তর:

24

যখনই কোনও ক্লায়েন্ট ইতিমধ্যে বিদ্যমান এমন একটি পাসওয়ার্ড তৈরি করার চেষ্টা করে, তখন প্রতিক্রিয়াটি পাওয়া যায় যে কিছু ব্যবহারকারী ইতিমধ্যে সেই পাসওয়ার্ডটি ব্যবহার করেন, সাধারণত গোপনীয়তা চুক্তির লঙ্ঘন।

তার পরে, ব্যবহারকারীর নামগুলি অনুমান করা অনেক সহজ (এবং যদি কোনও ফোরাম থাকে তবে আপনি কেবল সেখানে প্রচুর ব্যবহারকারীর নাম খুঁজে পেতে পারেন) এবং আপনি ওয়েবসাইট হ্যাক করার জন্য ব্যবহারকারী উপায়গুলি ইঙ্গিত করছেন।

ইন্টারনেটে কোথাও এমন কোনও পৃষ্ঠা থাকা উচিত যা গোপনীয়তা চুক্তি লঙ্ঘনের অংশটি বর্ণনা করে, অন্যটি কেবল সাধারণ জ্ঞান ছাড়া: তারা মূলত কাউকে একটি কী এবং বাড়ির ঠিকানাগুলির তালিকা দিবে।

সম্পাদনা: লেখকের কাছাকাছি নয়, তবে ডাব্লুটিএফ এর অর্থ কী তা তাদের ব্যাখ্যা করার পরে সম্ভবত সহায়ক: http://thedailywtf.com/Articles/Really_Unique_Passwords.aspx

deltreme
সূত্র
+1 এছাড়াও, বেশিরভাগ প্রমাণীকরণের স্কিম আপনাকে আপনার পছন্দমতো ব্যবহারকারীর নাম ব্যবহার করতে দেয়, কেবলমাত্র একটি পাসওয়ার্ডে আপনাকে তিনবার চেষ্টা করে।
মাইকেল কে
1
সেই ডাব্লুটিএফ হ'ল পাসওয়ার্ডটি অন্য যে কোনও কিছুর চেয়ে প্রাথমিক / বিদেশী কী হিসাবে ব্যবহার করার জন্য । ভাল প্লেইন পাসওয়ার্ডের জন্য সম্ভবত।
মার্ফ
2
+1: অন্য কোনও ব্যবহারকারীর মতো একই পাসওয়ার্ড থাকা উচিত নয় let প্রচুর সুরক্ষার ত্রুটি সম্পর্কে কথা বলুন ... আপনি বার বার আপনার পাসওয়ার্ড পরিবর্তন করে নিষ্ঠুর ফোর্স পাসওয়ার্ড আক্রমণ চালাতে পারেন । এটি প্রচুর মনিটরিং সিস্টেমের রাডারের নিচে উড়ে যেতে চাই।
শয়তানিকপিপি
প্রকৃতপক্ষে, কিছু প্রসঙ্গে লগইন শংসাপত্রের জন্য একটি একক ক্ষেত্র যুক্তিসঙ্গত হবে, যদি পাসওয়ার্ডগুলি বেছে নেওয়ার প্রয়োজন হয় যাতে কিছু নির্দিষ্ট অংশ [যেমন প্রথম অক্ষর] অনন্য ছিল। উদাহরণস্বরূপ, যদি কারওর 26 বা কম ব্যবহারকারী থাকে, তবে একজন বলতে পারেন যে প্রতিটি ব্যবহারকারীর একটি আলাদা পাসওয়ার্ড বাছাই করতে হবে যা একটি ভিন্ন বর্ণ দিয়ে শুরু হয়। এই জাতীয় সিস্টেমটি 26 টি স্বতন্ত্র সিঙ্গল-ক্যারেক্টার ব্যবহারকারীর নাম থাকার সমতুল্য, তবে নাম এবং পাসওয়ার্ডের মধ্যে 'ট্যাব' বা 'প্রবেশ' চাপার প্রয়োজন এড়াবে।
সুপারক্যাট 14'14
10

প্রয়োজনীয়তা পূরণের পথে সেরা অনুশীলনটি পায়:

আপনি এটি করতে পারবেন না কারণ আপনি কীভাবে পাসওয়ার্ডগুলি জানেন তা জানেন না তাই আপনি সেগুলি তুলনা করতে পারবেন না কারণ আপনি যা কিছু সঞ্চয় করেন তা হ'ল পাসওয়ার্ড এবং লবণ (যা আপনি হ্যাশ পাসওয়ার্ডের পাশে সংরক্ষণ করতে পারেন)। এটি সর্বোত্তম অনুশীলন, সুতরাং আপনি যা করেন তা। সম্পন্ন.

আরেকটি সম্পাদনা: দোহ! অন্ধদৃষ্টি সহজ - আপনি এখনও স্বাতন্ত্র্য পরীক্ষা করতে পারেন কারণ (অবশ্যই) আপনার কাছে লবণ রয়েছে ... এখনই আমাকে গুলি করুন ... অবশ্যই ক্লায়েন্টের কাছে আপনাকে এই বিশদটি উল্লেখ করতে হবে না।

FWIW, তার পুরোপুরি মূক হিসাবে আপনি মনে হয় এটা হিসাবে - লক্ষ্য ব্যবহারকারীদের সম্মত এবং একই পাসওয়ার্ড জন ব্যক্তির সাথে ভাগ দলের প্রতিরোধ করা হয় কি করতে হবে বিশ্বাস যে এটা তাদের জীবন সহজ করতে হবে।

যদি নিয়মিতভাবে পাসওয়ার্ড পরিবর্তন করার প্রয়োজনীয়তা এবং এমন একটি সীমাবদ্ধতা প্রয়োগ করা হয় যা লোকেরা বর্তমান বা পূর্বে ব্যবহৃত পাসওয়ার্ড পুনরায় ব্যবহার করতে বাধা দেয় (সর্বদা, সর্বদা) এবং বুদ্ধিমান "শক্তি" প্রয়োজনীয়তা (বা কমপক্ষে "অবরুদ্ধ" এর একটি পূর্ব-বোঝার অভিধান) "পাসওয়ার্ডগুলি) আপনি একটি পর্যায়ে পৌঁছাতে যাচ্ছেন, মোটামুটি দ্রুত, যেখানে কোনও প্রতিক্রিয়া হ্যাকারের পক্ষে নেই।

ঠিক আছে, আমার উত্তরটি মূলত এর সাথে শুরু হয়েছিল:

কয়েকটি প্রদত্ত প্রদত্ত প্রোভিসোর সাথে ধারণা করা খুব সামান্যই আছে - যার বেশিরভাগটি হ'ল আমি ঘন হয়ে যাচ্ছি ...

স্পষ্টতই অনুপযুক্ত রসিকতা - বিষয়টি হ'ল বিশ্বব্যাপী অনন্য প্রতিবন্ধকতা না থাকলে আপনি বিভিন্ন সুযোগ তৈরি করছেন, সম্ভবত কম বিপজ্জনক - আমি জানি না।

Murph
সূত্র
4
কেউ কেন অনন্য পাসওয়ার্ড চাইতে পারে সে সম্পর্কে কিছুটা অন্তর্দৃষ্টি দেওয়ার জন্য +1
মাইকেল হরেন
3
তবে এটি একটি সুরক্ষিত দুর্বলতা - আপনি যদি ব্যবহারকারী হন তবে একটি নতুন পাসওয়ার্ড লিখুন এবং আপনাকে অবৈধভাবে বলা হয়েছে আপনি জানেন এখন কমপক্ষে একজন ব্যবহারকারীর কাছে সেই পাসওয়ার্ড রয়েছে। এটি অন্যান্য কারণের সাথে একত্রিত করুন (শব্দটি শব্দটির মধ্যে রয়েছে ভাষাটি বলুন বা এর সাথে কিছু প্রসঙ্গ / অর্থ এটি কারও কাছে থাকতে পারে) এবং আপনি খুব সীমিত সংখ্যক বিকল্প আবিষ্কার করেছেন যা সহজেই একটি নিষ্ঠুর বাহিনীর আক্রমণে পড়তে পারে - এমনকি সম্ভাব্য কোনও ম্যানুয়ালও এক.
জন হপকিন্স
এরম, আমি বলিনি যে এটি কোনও সম্ভাব্য সমস্যা নয়, আমি বলেছিলাম যে এটি সম্পূর্ণরূপে বোবা ছিল না যা প্রশ্নের মধ্যে বলা হয়েছিল কারণ এটি একাধিক ব্যবহারকারীকে একই পাসওয়ার্ড (যা ঘটে) রাখে বাধা দেয় এবং যা আরও খারাপ যদি এই পাসওয়ার্ডগুলি প্রথম স্থানে দুর্বল। ব্যবহারকারীদের কোনও সিস্টেমে অ্যাক্সেসের অনুমতি দেওয়া হ'ল সুরক্ষিত দুর্বলতা ... তবে আমাদের একটিকেই ধরে রাখতে হবে এবং তারপরে সমস্ত কিছুই একটি আপস।
মার্ফ
আপনি যদি পাসওয়ার্ডগুলি সঠিকভাবে পরিচালনা করছেন তবে আপনি এটি করতে পারবেন না তা উল্লেখ করার জন্য +1।
ডেভিড থর্নলি
আমরা কী দয়া করে নোট করতে পারি যে আমার উত্তরটি হ'ল আপনি স্বতন্ত্রতার জন্য পরীক্ষা করতে পারবেন না কারণ আপনার পাসওয়ার্ডটি যেভাবেই হ্যাশ করা উচিত? সুতরাং যদি আমি প্রস্তাব দেওয়ার জন্য একটি ডাউনভোট পেয়েছি যে আমি কেন জানতে চাই?
মার্ফ
10

অপরিবর্তনীয় পাসওয়ার্ড কার্যকর করার তথ্য ফাঁস হয়

কিভাবে? কারণ প্রত্যেকবার যখন কোনও ক্র্যাকার একটি সাধারণ পাসওয়ার্ড দিয়ে একটি নতুন ব্যবহারকারী তৈরি করার চেষ্টা করে আপনার সিস্টেম "না, এটির পাসওয়ার্ড থাকতে পারে না" বলে সাড়া দেয়, ক্র্যাকারটি বলে "গুডি, এটি তালিকার জন্য একটি"।

আপনার সুরক্ষা সম্পর্কে তথ্য ফাঁস করা সাধারণত একটি খারাপ জিনিস। ঠিক আছে, অ্যালগরিদম জেনে তৃতীয় পক্ষগুলি ঠিক আছে (এটি পিয়ার পর্যালোচনা প্রয়োজন) তবে একটি উত্সর্গীকৃত ক্র্যাকারটিকে কীগুলি অনুমান করার অনুমতি দেওয়া হয় - খারাপ, সত্যই, সত্যই খারাপ।

ভাল এবং খারাপ পাসওয়ার্ড পরিচালনার নীতিগুলি বর্ণনা করার সংস্থানগুলি

পাসওয়ার্ড শক্তির গভীরতার সাথে আলোচনার জন্য সুরক্ষা বিশেষজ্ঞ ব্রুস শ্নিয়ার এই নিবন্ধটি পড়ুন ।

" অনর্থ্য পাসওয়ার্ড নীতিগুলির সত্যিকারের ব্যয়" এর গভীরতর আলোচনার জন্য সুরক্ষা গবেষক ফিলিপ ইনজলসেন্ট এবং এম। অ্যাঞ্জেলা সাসির এই পিডিএফটি পড়ুন । উপসংহার থেকে উদ্ধৃতি:

বিশ্ব-দৃষ্টিভঙ্গির বিপরীতে যে "যদি কেবল [ব্যবহারকারীরা] বিপদগুলি বুঝতে পারে তবে তারা অন্যরকম আচরণ করবে" [12], আমরা যুক্তি দিয়েছি যে "যদি কেবল সুরক্ষাব্যবস্থাপকগণ ব্যবহারকারী এবং সংস্থার জন্য আসল ব্যয় বুঝতে পারতেন তবে তারা নীতিগুলি আলাদাভাবে নির্ধারণ করতেন"।

সুরক্ষার মিথ্যা বোধ

সুতরাং ক্লায়েন্টটি পাইপ দিয়ে বলল, "যদি কারও কাছে একই পাসওয়ার্ড না থাকে তবে যদি ক্র্যাক হয় তবে কেবলমাত্র একজন ব্যক্তি আক্রান্ত হয়।" না। প্রত্যেকে প্রভাবিত হয়েছে কারণ ক্র্যাকারটি প্রমাণ করেছে যে আপনার পাসওয়ার্ড সিস্টেমটি মূলত ত্রুটিযুক্ত: এটি একটি অন-লাইন সিস্টেমে অভিধান আক্রমণে ঝুঁকিপূর্ণ। প্রথম দিকে কোনও পাসওয়ার্ডের বিরুদ্ধে একাধিক অনুমানের চেষ্টা করা কোনও ক্র্যাকারের পক্ষে হওয়া উচিত ছিল না।

অন ​​লাইন অ্যাক্সেসের জন্য 6 টি অক্ষর যথেষ্ট

বিষয় ছাড়াই, তবে আমি ভেবেছিলাম আগ্রহী পাঠকদের জন্য এটি উল্লেখযোগ্য হবে। সুরক্ষার পরিপ্রেক্ষিতে একটি অন-লাইন সিস্টেম এমন একটি যা সক্রিয় সুরক্ষা পরিচালনা প্রক্রিয়া ডেটাতে অ্যাক্সেস নিয়ন্ত্রণ ও নিয়ন্ত্রণ করে monitoring একটি অফ-লাইন সিস্টেম হ'ল না (যেমন একটি হার্ড ডিস্কে এনক্রিপ্ট হওয়া ডেটা যা চুরি হয়ে গেছে)।

আপনার যদি অনলাইনে থাকা কোনও পাসওয়ার্ড সিস্টেম থাকে তবে আপনার উচ্চ সুরক্ষা পাসওয়ার্ডের প্রয়োজন হবে না। অনুগ্রহপূর্বক 20 টি প্রচেষ্টার মধ্যে অনুমানগুলি রোধ করতে পাসওয়ার্ডগুলি যথেষ্ট জটিল হতে হবে (সুতরাং একটি সহজ "স্ত্রী / শিশু / পোষা প্রাণীর নাম" ব্যর্থ হবে)। নিম্নলিখিত অ্যালগরিদম বিবেচনা করুন:

  1. ক্র্যাকার অনুমানগুলি হ্রাস করতে "রুট প্লাস প্রত্যয়" পদ্ধতির সাহায্যে পাসওয়ার্ড অনুমান করে
  2. শংসাপত্রগুলি বাতিল হয়েছে এবং আরও লগইন প্রচেষ্টা এন * 10 সেকেন্ডের জন্য প্রতিরোধ করেছে
  3. যদি এন> 20 লক অ্যাকাউন্ট এবং প্রশাসককে অবহিত করেন
  4. এন = এন +1
  5. ব্যবহারকারীকে অবহিত করুন যে পরবর্তী লগইন টি সময়ে ঘটতে পারে (উপরে গণনা করা)
  6. গোটো পদক্ষেপ 1

একটি সাধারণ 6 টি অক্ষরের পাসওয়ার্ডের জন্য উপরের অ্যালগরিদম অভিধান আক্রমণগুলি রোধ করবে, এমনকি মোবাইল কীপ্যাডের সর্বাধিক অদক্ষ ব্যবহারকারীর অবশেষে এটির অনুমতি দেয়। কিছুই তথাকথিত "রাবার পায়ের পাতার মোজাবিশেষ আক্রমণ" প্রতিরোধ করবে না যেখানে আপনি পাসওয়ার্ডের ধারককে রাবার পায়ের পাতার মোজাবিশেষ দিয়ে পরাজিত করেন যতক্ষণ না তারা আপনাকে বলে।

অফ-লাইন সিস্টেমের জন্য যখন এনক্রিপ্ট করা ডেটা একটি ফ্ল্যাশ ড্রাইভের আশেপাশে থাকে এবং ক্র্যাকার এর বিরুদ্ধে কিছু করার চেষ্টা করতে পারে তবে ভাল আপনি খুঁজে পেতে পারেন এমন সবচেয়ে নমনীয় কী চান। তবে সেই সমস্যাটি ইতিমধ্যে সমাধান হয়ে গেছে

গ্যারি রো
সূত্র
1
"অন লাইন" অ্যাক্সেস বলতে কী বোঝ? অন্য ধরনের আছে?
রবার্ট হার্ভে
সুরক্ষা শর্তাবলী মধ্যে পার্থক্য জন্য শেষ বাক্য দেখুন।
গ্যারি রোয়ে
4

যদি আপনি তাদের এই ক্রিয়াকলাপের বিরুদ্ধে পরামর্শ দিয়ে থাকেন এবং তাদের কারণ সরবরাহ করে থাকেন তবে আমি তাদের কথায় তাদের গ্রহণ করব এবং তাদের পরামর্শ অনুসারে কেবল সিস্টেমটি বাস্তবায়ন করব। এটি সন্তোষজনক নাও হতে পারে তবে আপনি নিজের কাজটি করেছেন এবং তারা বিলটি প্রস্তুত করছেন, তাই তাদের যা চান তা পাওয়া উচিত।

একটি ব্যতিক্রম আছে। যদি কোনও সিস্টেমের লঙ্ঘনের নেতিবাচক পরিণতি গুরুতর হয় (উদাহরণস্বরূপ যদি খুব ব্যক্তিগত তথ্য কোনও সুরক্ষা লঙ্ঘনের দ্বারা আপস করা হতে পারে) তবে বাস্তবে তারা চান তাদের যে সিস্টেমটি প্রয়োগ করা হবে না তার একটি পেশাদার দায়িত্ব থাকতে পারে। আপনি প্রত্যাখ্যান করলে এটি আপনাকে জনপ্রিয় করে তোলার আশা করবেন না, তবে এটিকে আপনার গাইড হতে দেবেন না।

PeterAllenWebb
সূত্র
4

আমি কেবল মারফের উত্তরটি আরও শক্তিশালী করতে চাই। হ্যাঁ, এটি একটি সুরক্ষা সমস্যা এবং এটি প্রয়োগে তথ্য প্রকাশের দুর্বলতা রয়েছে। তবে ক্লায়েন্টের দৃষ্টিকোণ থেকে, তিনি সে সম্পর্কে খুব বেশি চিন্তিত বলে মনে হয় না।

আপনার উল্লেখ করা উচিত এটি হ'ল এটি একটি "অনন্য পাসওয়ার্ড" চেক বাস্তবায়নের জন্য শারীরিকভাবে অক্ষম fe যদি আপনি পাসওয়ার্ড সল্টিং এবং হ্যাশিং করে এবং পরিষ্কার পাঠ্য হিসাবে সংরক্ষণ না করে থাকেন তবে প্রকৃতপক্ষে স্বতন্ত্রতা পরীক্ষাটি সম্পাদন করা ও (এন) (ব্যয়বহুল) ক্রিয়াকলাপ।

আপনি কী 10,000 টি ব্যবহারকারী রয়েছেন তা ভাবতে পারবেন এবং প্রতিবার কেউ নতুন চিহ্ন সাইন আপ করেন বা তাদের পাসওয়ার্ড পরিবর্তন করে প্রতিটি ব্যবহারকারীর পাসওয়ার্ডটি ব্যবহার করতে 30 সেকেন্ড সময় লাগে?

আমি মনে করি আপনার ক্লায়েন্টের কাছে এটি নেওয়া উচিত প্রতিক্রিয়া।

ডিন হার্ডিং
সূত্র
হ্যাঁ। এটি করা ভাল পয়েন্ট হবে।
পিটারআলেন ওয়েলব
1

প্রশ্ন জিজ্ঞাসা করার জন্য উপযুক্ত জায়গার দিক দিয়ে কেবল চিন্তা করেই, স্ট্যাক এক্সচেঞ্জের আইটি সুরক্ষা বিভাগটি আপনার জন্য দরকারী পয়েন্ট হতে হবে। Https://security.stackexchange.com/questions/tagged/passwords চেষ্টা করুন - আইটি সুরক্ষার উপর দৃষ্টি নিবদ্ধ করা একাধিক ব্যক্তির নির্দিষ্ট উত্তর সরবরাহ করতে সক্ষম হওয়া উচিত।

ররি আলসপ
সূত্র
0

তিনি সম্ভবত আরএসএ দুটি ফ্যাক্টর এনক্রিপশন পছন্দ করবেন। আপনি যদি অ্যাক্টিভ ডিরেক্টরি বা এএসপি.এনইটি সদস্যতা ব্যবহার করেন তবে এটি কোনও মস্তিষ্কের নয়।

বিকল্প পাঠ

হার্ডওয়্যার বা সফ্টওয়্যার টোকেন একটি সময় নির্ভর অনন্য পাসওয়ার্ড উত্পন্ন করে যা একটি পিন কোড অনুসরণ করে। এটি একসাথে প্রতিটি ব্যবহারকারীর জন্য একটি অনন্য পাসওয়ার্ড সরবরাহ করে।

goodguys_activate
সূত্র
মধ্য-মধ্যবর্তী আক্রমণগুলি রোধ করার জন্য দ্বি-গুণকটি অকেজো।
ব্রায়ানহ
সত্য, তবে সেই বিবৃতিটি হস্তক্ষেপের প্রশ্নের সাথে সম্পর্কিত বলে মনে হচ্ছে না।
গুডগুয়েস_অ্যাক্টিভেট
তবে এখন আমি আপনার ২ য় গুণকটি জানি! ওহ অপেক্ষা করুন ... দয়া করে আপনার ছবিটি আপডেট করুন
মাইকেল হরেন
2
হুম, আমি মনে করি এটি অ্যানিমেটেড জিআইএফ করা ভাল হবে
গুডগুইস_অ্যাক্টিভেট
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.