আমি যদি এমন কোনও অ্যাপের জন্য লগইন তৈরি করি যার মাঝারি থেকে কম সুরক্ষা ঝুঁকি রয়েছে (অন্য কথায়, এটি কোনও ব্যাংকিং অ্যাপ বা কোনও কিছু নয়) তবে কেবলমাত্র এমন কিছু বলে ব্যবহারকারীর দ্বারা প্রবেশ করা পাসওয়ার্ড যাচাই করা কি আমার পক্ষে গ্রহণযোগ্য?

if(enteredPassword == verifiedPassword)
     SendToRestrictedArea();
else
     DisplayPasswordUnknownMessage();

এটি কার্যকর হওয়া সহজ বলে মনে হচ্ছে, তবে যদি এটি প্রয়োজনীয় ছিল তবে আমি অবশ্যই কিছু মনে করব না। ব্যবহারকারীর নাম / পাসওয়ার্ড কম্বো এ কি একটি সাধারণ চেক যথেষ্ট?

আপডেট: নির্দিষ্ট প্রকল্পটি একটি ওয়েব পরিষেবা হিসাবে দেখা যায়, যাচাইকরণটি পুরোপুরি সার্ভারের পক্ষে থাকে এবং এটি উন্মুক্ত উত্স নয়। আপনি কীভাবে এর সাথে ডিল করবেন তা ডোমেন পরিবর্তন করে?

এসএসএল ছাড়া না

সরল পাঠ্যে পাসওয়ার্ড যদি নেটওয়ার্কের কাছে পাঠানো হয় তবে এটি নিরাপদ নয়। সরল পাঠ্যে পাসওয়ার্ডটি যদি নেটওয়ার্কে প্রেরণ করা হয় তবে সার্ভারের পাশ দিয়ে পাসওয়ার্ড হ্যাশ করাও নিরাপদ নয়।

যেহেতু এইচটিএমএল <input type="password"/>ট্যাগ এর বিষয়বস্তু সরল পাঠ্যে প্রেরণ করে, তাই আপনি সার্ভারে পাসওয়ার্ড কীভাবে সংরক্ষণ করবেন তা বিবেচনা করা আপনার সমস্যা নয়, যদি না আপনার ওয়েবসাইটটি পাসওয়ার্ড প্রেরণ করতে এসএসএল ব্যবহার করে না।

(এইচটিটিপি প্রমাণীকরণ, যা একটি পাসওয়ার্ড চেয়ে ব্রাউজারে একটি ডায়ালগ বাক্স পপ আপ করে, সার্ভার এবং ব্রাউজারে কোন প্রমাণীকরণ পদ্ধতিতে সাধারণ বিষয় রয়েছে তার উপর নির্ভর করে স্পষ্ট পাঠ্য বা নাও থাকতে পারে So সুতরাং এটি ব্যবহার না করে এড়াতে পারা উপায় a SSL এর।)

সাইট প্রশাসকরা সন্দেহ হলে নয়

এখন, ধরুন আপনি ওয়েব সাইটটি করার জন্য এইচটিটিপিএস ব্যবহার করছেন, আপনি যদি নিজের সাইট প্রশাসকদের (যিনি সরল পাঠ্য পাসওয়ার্ড পড়তে পারেন), এবং মেশিনে সঠিকভাবে আচরণ করার জন্য অ্যাক্সেস প্রাপ্ত লোকদের উপর নির্ভর করেন তবে এটি নিরাপদ হতে পারে। এখন, এটি স্পষ্ট হতে পারে যে তারা আপনার ওয়েবসাইটের সাথে তারা যা কিছু করতে পারে (যেহেতু তারা এটি পরিচালনা করে) তবে তারা যদি পাসওয়ার্ডটি পড়তে পারে তবে অন্য ব্যক্তির সাইটে চুরি হওয়া লগইন / পাসওয়ার্ড জোড়াও ব্যবহার করতে সক্ষম হতে পারে।

প্রশাসকের কাছ থেকে পাসওয়ার্ডগুলি সুরক্ষিত রাখার একটি উপায়

পাসওয়ার্ডগুলি সংরক্ষণ এবং চেক করার একটি নিরাপদ উপায় নিম্নরূপ:

def change_password user, new_password
  salt = random(65536).to_s(16) #will be 4 characters long
  password_hash = salt + hash(salt + new_password)
  store(user,password_hash)
end

def does_password_match? user, entered_password
  correct_password_hash = retrieve(user)
  salt = correct_password_hash[0...4]
  entered_password_hash = salt + hash(salt + entered_password)
  return correct_password_hash == entered_password_hash
end

হ্যাশ ফাংশনের জন্য, শক্তিশালী কিছু ব্যবহার করার চেষ্টা করুন এবং এমন কিছু যা বুনোতে ভাল রংধনু টেবিল নেই। রেনবো টেবিলের আশেপাশে প্রয়োজনীয় কাজ করা হলে আপনি লবণের দৈর্ঘ্য পরিবর্তন করতে পারেন।

আপনার পরিবেশের উপর নির্ভর করে, আপনার নেটওয়ার্কের প্রচ্ছন্নতার পরিবর্তনশীলতা এবং ব্যবহারকারীর নামগুলি সর্বজনবিদিতভাবে পরিচিত কিনা তা বোঝা যাচ্ছে, hash('0000'+entered_password)আক্রমণকারীদের হাত থেকে রোধ করার জন্য ব্যবহারকারীর উপস্থিতি না থাকলে আপনি অন্য একটি কোড পাথের গণনা করতে চাইতে পারেন কোন ব্যবহারকারীর নাম বৈধ কিনা তা নির্ধারণের সময় নিরীক্ষণ করে যে পাসওয়ার্ডটি ভুল।

এটি পরামর্শ দেবে, আপনি পাসওয়ার্ডগুলি উন্মুক্ত পাঠ্যে রাখছেন, যা কোনও সুরক্ষিত পরিস্থিতিতেও নেই which

বরং আপনার উচিত:

if(hash(enteredPassword) == storedHash)

আপনি উদাহরণস্বরূপ MD5 হিসাবে সাধারণ হ্যাশ ব্যবহার করতে পারেন

যারা হ্যাশিংয়ের পরামর্শ দেয় তাদের সাথে আমি সম্মতি জানাই, তবে আপনি এখানে পুনরুদ্ধার করছেন এমন একটি চাকাও রয়েছে। প্ল্যাটফর্মের উপর নির্ভর করে আপনি সম্ভবত এমন একটি ভূমিকা / ব্যবহারকারীর পরিচালনা সরঞ্জাম আবিষ্কার করতে পারেন যা আপনার পক্ষে খুব বেশি হস্তক্ষেপের প্রয়োজন ছাড়াই নিরাপদে এবং সুরক্ষিতভাবে ব্যবহারকারীর সমস্ত পরিচালনা সামগ্রীকে কভার করে।

সুরক্ষা অত্যন্ত আকর্ষণীয় বিষয়, বিশেষত কারণ আপনার ব্যবহারকারীদের অসুবিধে করা এবং তাদের তথ্য নিরাপদ কিনা তা নিশ্চিত করার মধ্যে ভারসাম্য থাকা দরকার। সাধারণত, আপনার কতটা সুরক্ষা দরকার তা সূত্র হ'ল ডেটার গুরুত্বের একটি কাজ function সংক্ষেপে:

isSecuritySufficient = effortToBreak > rewardForBreaking

খারাপ কাজ করে এমন লোকদের সম্পর্কে একটি সাধারণ ভুল বোঝাবুঝি তারা হ'ল তারা। তাদের বেশিরভাগই আস্থা নষ্ট করতে বেরিয়েছে । আপনার ব্যবহারকারীর আস্থা রক্ষা করতে আপনার সর্বদা করা উচিত। এর অংশটি তাদের পরিচয় নিরাপদ কিনা তা নিশ্চিত করতে আপনার যথাযথ অধ্যবসায় করছেন । তারা সঞ্চয় করা ডেটা সম্পর্কে কম যত্ন করতে পারে তবে তারা তাদের পরিচয় - এমনকি সুরক্ষার সর্বনিম্ন দোরগোড়ায়ও যত্ন করে।

কয়েকটি স্বল্প ব্যয় রয়েছে (ব্যবহারকারীর উপর প্রয়োগ ও প্রভাবিত করতে) বিকল্পগুলি উপলভ্য। এর মধ্যে একটি হ'ল ন্যূনতম পাসওয়ার্ডটি হ্যাশ করছে। সরল পাঠ্যে পাসওয়ার্ডের মতো সংবেদনশীল কিছু সঞ্চয় করা যে কোনও পরিষেবা হ্যাক হওয়ার কারণে বিব্রত হওয়া।

পাসওয়ার্ড সুরক্ষার জন্য সাধারণ নীতিমালা

• কখনও সরল পাঠ্যে পাসওয়ার্ড সংরক্ষণ করবেন না
• SHA-1 বা SHA-512 এর মতো সুরক্ষিত হ্যাশ ফাংশন ব্যবহার করে হ্যাশ (এমনকি এমডি 5 একটি ম্যাচিং হ্যাশ খুঁজে পাওয়া খুব সহজ)
• একটি অ্যাপ্লিকেশন লবণের মান ব্যবহার করুন। লবণটি এলোমেলো বাইট হয় অন্যথায় অনুমান করা আরও কঠিন করার জন্য একটি পাসওয়ার্ডে যুক্ত হয়। রান্নার সময় নুন উত্পন্ন করা উচিত এবং যেকোন উপায়ে সঞ্চিত ও রেফারেন্সের চেয়ে মেশিন সম্পর্কে বীজমূল্য হিসাবে তথ্য ব্যবহার করা উচিত।
• কোনও ব্যবহারকারী নির্দিষ্ট লবণের মান ব্যবহার করুন। আপনার প্রয়োগের লবণের সাথে এটি ব্যবহার করুন।
• কোনও নেটওয়ার্ক জুড়ে সমস্ত প্রমাণীকরণের অনুরোধগুলি এনক্রিপ্ট করুন । তার মানে ওয়েব অ্যাপ্লিকেশনগুলির জন্য এসএসএল ব্যবহার করুন।

যেহেতু আপনি প্রমাণীকরণের জন্য এসএসএল ব্যবহার করছেন, তাই সর্বনিম্ন আপনি ব্যবহারকারীর অ্যাকাউন্টের সাথে সম্পর্কিত সমস্ত পৃষ্ঠা এনক্রিপ্ট করতে চান। এটি ব্যবহারকারীর যথাসম্ভব যথাসম্ভব সুরক্ষিত করার অনুমতি দেয়।

পাসওয়ার্ড পরিচালনার বিষয়ে একটি নোট : ব্যবহারকারীরা সময়ে সময়ে তাদের পাসওয়ার্ড ভুলে যাবেন। পরম খারাপ জিনিস আপনি কি করতে পারেন একটি ইমেইলের তাদের পাসওয়ার্ড পাঠাতে হয়। আপনি যদি উপরে বর্ণিত নীতিগুলি কার্যকর করেন তবে আপনি যেভাবেই তা করতে সক্ষম হবেন না। তাদের নিবন্ধিত ইমেল ঠিকানায় প্রেরিত লিঙ্কটি ব্যবহার করে তাদের পাসওয়ার্ড পুনরায় সেট করার একটি উপায় প্রদান করা আরও ভাল। সেই পৃষ্ঠাটিতে অ্যাক্সেস করা ব্যক্তি সে কিনা তা নিশ্চিত করতে সেই রিসেট লিঙ্কটিতে একটি সময় ব্যবহারের কোড থাকবে।

পাসওয়ার্ড অন্য কোনও কিছুর জন্য ব্যবহার না করা হলে এটি ঠিক আছে। এখনও একটি ঝুঁকি রয়েছে যে ব্যবহারকারী সিদ্ধান্ত নিয়েছে যে সে পাসওয়ার্ডটি আবার ব্যবহার করতে পারে, তাই এটি আরও ভাল হবে:

if(hash(enteredPassword) == hashOfValidPassword)

এটি যদি নিজের বা এমন কারও পক্ষে থাকে যা সচেতন যে পাসওয়ার্ডটি সরল-পাঠ্যে সঞ্চিত আছে, তবে তা ঠিক আছে।

উত্স কোড পাওয়া যায়? তা না হলেও, আমি নিশ্চিত বাইনারি উপলভ্য থাকলে মেশিনের নির্দেশাবলীতে পাসওয়ার্ডটি পাওয়া যাবে quite আমি চেকসাম করার এবং তার পরিবর্তে তুলনা করার পরামর্শ দেব।

সুরক্ষা এটি আপনার মতে খুব গুরুত্বপূর্ণ না হলেও কখনই উপেক্ষা করবেন না।

একেবারে না. একটি পড়া আছে এই , এটা বর্ণনা কিভাবে হ্যাকার একটি নিরাপত্তা ওয়েব সাইটটি হ্যাক। আপনি পরিকল্পনা করেন যে আপনি চেইনের দুর্বল লিঙ্ক হিসাবে থাকবেন।

এটি বেশ কয়েকটি উত্তরে লক্ষ করা গেছে যে আপনার নিজের পাসওয়ার্ডটি নিজেই সঞ্চয় করা উচিত নয়, তবে একটি হ্যাশ - এবং আপনার এসএসএল ব্যবহার করা উচিত।

আপনি বলতে পারেন, বড় জিনিস কি? যদি আমার অ্যাপ্লিকেশনটি হ্যাক হয়ে যায় তবে এটি খুব চিন্তার বিষয় নয়। ব্যবহারকারীদের পক্ষে সমস্ত সাইটে একই পাসওয়ার্ডটি পুনরায় ব্যবহার করা খুব সাধারণ প্যাটার্ন। আপনার সাইট হ্যাক করতে এবং ব্যবহারকারীর পাসওয়ার্ডগুলিতে অ্যাক্সেস পাওয়ার জন্য একজন হ্যাকার ছিলেন, হ্যাকার সেই ব্যবহারকারীদের আরও বেশি গুরুত্বপূর্ণ সেই সাইটগুলিতে সেই ব্যবহারকারীদের প্রচুর পরিমাণে ছদ্মবেশ তৈরি করতে সক্ষম হবেন। সুতরাং আপনার সাইট হ্যাকিং হ্যাকারের ব্যবহারকারীর জন্য ব্যাংকিং তথ্যে অ্যাক্সেস পাওয়ার প্রথম পদক্ষেপ হতে পারে ।

এবং কেবল পাসওয়ার্ডটি হ্যাশ করাই যথেষ্ট নয়। আপনার এটি একটি লবণ দিয়ে হ্যাশ করা প্রয়োজন। হ্যাকারদের বিপরীতে হ্যাশ লুকিং টেবিল রয়েছে, তাই প্রদত্ত হ্যাশের জন্য তারা একটি মিলে যাওয়া পাসওয়ার্ড খুঁজে পেতে পারে।

আপনি যদি এই বৈশিষ্ট্যটি প্রয়োগ না করার সিদ্ধান্ত নেন তবে আপনার সুরক্ষার এই অভাব সম্পর্কে ব্যবহারকারীদের অবহিত করা উচিত, তারা অন্য কোথাও ব্যবহার করেন এমন পাসওয়ার্ডটি ব্যবহার না করার জন্য তাদের উত্সাহিত করে।

যতক্ষণ না এটি সার্ভারের পাশে ... তবে হ্যাঁ।

আপনি যদি আরও কিছু সিকিউরিটি চান তবে https- এ এনক্রিপ্ট করুন এবং ডিবিতে পাসওয়ার্ড এনক্রিপ্ট করুন।