কোন সেরা অনুশীলনগুলি পিএইচপি লগইন স্ক্রিপ্টে নিযুক্ত করা উচিত?

আমি ক্লায়েন্ট ওয়েবসাইটগুলিকে আরও সুরক্ষিত করার জন্য আমার লগইন স্ক্রিপ্টগুলি আবার লিখতে চাই। আমি এটিতে কোন সেরা অনুশীলনগুলি প্রয়োগ করতে পারি তা জানতে চাই। পাসওয়ার্ড সুরক্ষিত নিয়ন্ত্রণ প্যানেলগুলি তাদের প্রচুর পরিমাণে রয়েছে তবে খুব কম সংখ্যক কোড রাইটিং, গতি এবং সুরক্ষার ক্ষেত্রে সেরা অনুশীলনকে জড়িত বলে মনে হয়।

আমি পিএইচপি এবং একটি এমওয়াইএসকিউএল ডাটাবেস ব্যবহার করব।

আমি এমডি 5 ব্যবহার করতাম তবে আমি দেখতে পাচ্ছি sha256 বা sha512 আরও ভাল হবে (একসাথে সুরক্ষিত হ্যাশ এবং লবণের সাথে)।

কিছু লগইন স্ক্রিপ্টগুলি পুরো অধিবেশন বা এমনকি ব্যবহারকারী এজেন্টের আইপি ঠিকানায় লগ করে তবে আমি তা এড়াতে চাই কারণ এটি প্রক্সি সার্ভারের সাথে সামঞ্জস্য নয়।

আমি পিএইচপি 5 এর সেশনগুলি ব্যবহার করার সেরা অনুশীলনের থেকেও কিছুটা পিছনে আছি (শেষ বার যখন পড়লাম পিএইচপি 4 ছিল) তাই এটি সহ কয়েকটি সেরা অনুশীলন সহায়ক হবে।

ধন্যবাদ।

সবচেয়ে ভাল চিন্তা চাকা পুনরায় উদ্ভাবন না করা হয়। তবে, আমি বুঝতে পেরেছি যে পিএইচপি ওয়ার্ল্ডে এমন একটি উচ্চ মানের উপাদান খুঁজে পাওয়া কঠিন হতে পারে যা ইতিমধ্যে এটি করে (এমনকি আমি নিশ্চিত যে ফ্রেমওয়ার্কগুলি এ জাতীয় জিনিস প্রয়োগ করে এবং তাদের বাস্তবায়ন ইতিমধ্যে পরীক্ষিত, কঠিন, কোড-পর্যালোচনা ইত্যাদি) etc. )

যদি, কিছু কারণে, আপনি একটি কাঠামো ব্যবহার করতে না পারেন, তবে এখানে কিছু পরামর্শ দেওয়া হল:

সুরক্ষা সম্পর্কিত পরামর্শ

• পারলে PBKDF2 বা Bcrypt ব্যবহার করুন । এটি তার জন্য সম্পন্ন হয়েছে।

  ^{যুক্তি: উভয় অ্যালগরিদমগুলি হ্যাশিং প্রক্রিয়াটিকে নির্বিচারে ধীর করে দিতে পারে, যা পাসওয়ার্ডগুলি হ্যাশ করার সময় আপনি ঠিক তেমন চান (দ্রুত বিকল্পগুলির অর্থ সহজ ব্রুট ফোর্স মানে)। আদর্শভাবে, আপনার প্যারামিটারগুলি সমন্বয় করা উচিত যাতে একই হার্ডওয়্যারে প্রক্রিয়াটি সময়ের সাথে ধীর এবং ধীর হয়ে যায়, যখন নতুন, দ্রুত হার্ডওয়্যার প্রকাশিত হয়।}

• আপনি যদি না পারেন তবে কমপক্ষে MD5 / SHA1 ব্যবহার করবেন না। কখনও। এটা কথা ভুলে যান । পরিবর্তে SHA512 ব্যবহার করুন, উদাহরণস্বরূপ। লবনও ব্যবহার করুন।

  ^{যুক্তি: MD5 এবং SHA1 খুব দ্রুত। আক্রমণকারীটির যদি হ্যাশগুলিযুক্ত আপনার ডেটাবেজে অ্যাক্সেস থাকে এবং এর একটি (এমনকি বিশেষ করে নয়) শক্তিশালী মেশিন থাকে, তবে একটি পাসওয়ার্ডকে জোর করে চাপিয়ে দেওয়া দ্রুত এবং সহজ। যদি কোনও লবণ না থাকে তবে আক্রমণকারী আসল পাসওয়ার্ডটি বাড়ার সম্ভাবনা রয়েছে (যা পাসওয়ার্ড অন্য কোথাও ব্যবহার করা হলে অতিরিক্ত ক্ষতি করতে পারে)।}

• পিএইচপি 5.5.0 ও পরে, ব্যবহার password_hashএবং password_verify।

  ^{যুক্তি: কাঠামোর দ্বারা সরবরাহিত কোনও ফাংশন কল করা সহজ, তাই ভুল করার ঝুঁকি হ্রাস পায়। এই দুটি ফাংশন সহ, আপনাকে বিভিন্ন পরামিতি যেমন হ্যাশ সম্পর্কে চিন্তা করতে হবে না। প্রথম ফাংশনটি একটি একক স্ট্রিং দেয় যা পরে ডাটাবেসে সংরক্ষণ করা যায়। দ্বিতীয় ফাংশনটি পাসওয়ার্ড যাচাইয়ের জন্য এই স্ট্রিংটি ব্যবহার করে।}

• হিংস্র শক্তি থেকে নিজেকে রক্ষা করুন । ব্যবহারকারী যদি ইতিমধ্যে 0.01 সেকেন্ড আগে অন্য একটি ভুল পাসওয়ার্ড জমা দিয়েছিল তবে যদি কোনও ভুল পাসওয়ার্ড জমা দেয় তবে এটি এটিকে ব্লক করা ভাল কারণ। যদিও মানুষ দ্রুত টাইপ করতে পারে, তারা সম্ভবত এত দ্রুত হতে পারে না ।

  আর একটি সুরক্ষা হ'ল প্রতি ঘন্টা ব্যর্থতার সীমা সেট করা। যদি ব্যবহারকারী এক ঘন্টাে 3600 টি ভুল পাসওয়ার্ড, প্রতি সেকেন্ডে 1 টি পাসওয়ার্ড জমা দেয় তবে বিশ্বাস করা শক্ত যে এটি একটি বৈধ ব্যবহারকারী।

  ^{যুক্তিযুক্ত: আপনার পাসওয়ার্ডগুলি যদি কোনও সুরক্ষিত উপায়ে হ্যাশ করা হয় তবে ব্রুট ফোর্স খুব কার্যকর হতে পারে। যদি পাসওয়ার্ডগুলি সুরক্ষিতভাবে সংরক্ষণ করা হয় তবে ব্রুটি ফোর্সটি এখনও আপনার সার্ভারের সংস্থান এবং নেটওয়ার্ক ব্যান্ডউইদথকে নষ্ট করছে, বৈধ ব্যবহারকারীদের জন্য নিম্ন কার্যকারিতা তৈরি করবে। ব্রুট ফোর্স সনাক্তকরণ বিকাশ করা এবং সঠিক হওয়া সহজ নয়, তবে যে কোনও ছোট্ট সিস্টেমের জন্য এটি সম্পূর্ণ মূল্যবান।}

• আপনার ব্যবহারকারীদের প্রতি চার সপ্তাহে তাদের পাসওয়ার্ড পরিবর্তন করতে বলবেন না। এটি অত্যন্ত বিরক্তিকর এবং সুরক্ষা হ্রাস করে , কারণ এটি পরবর্তী-ভিত্তিক সুরক্ষাকে উত্সাহ দেয়।

  ^{যুক্তিযুক্ত: ধারণাটি যে প্রতি এন সপ্তাহে পাসওয়ার্ডগুলি পরিবর্তন করতে জোর করা সিস্টেমটিকে নৃশংস শক্তি থেকে রক্ষা করে wrong ব্রুট ফোর্স আক্রমণ সাধারণত সেকেন্ড, মিনিট, ঘন্টা বা দিনের মধ্যে সফল হয়, যা মাসিক পাসওয়ার্ড পরিবর্তনকে অপ্রাসঙ্গিক করে তোলে। অন্যদিকে, ব্যবহারকারীর পাসওয়ার্ড মনে রাখা খারাপ। এছাড়াও, যদি তাদের এগুলি পরিবর্তন করতে হয় তবে তারা হয় খুব সাধারণ পাসওয়ার্ড ব্যবহার করার চেষ্টা করবে বা পোস্ট-এর পরে তাদের পাসওয়ার্ডগুলি নোট করবে।}

• প্রতিটি সময় নিরীক্ষণ। লগন সংরক্ষণ করুন, তবে নিরীক্ষণ লগে কখনও পাসওয়ার্ড সংরক্ষণ করবেন না। অডিট লগটি সংশোধন করা যাবে না তা নিশ্চিত করুন (যেমন আপনি শেষে ডেটা যোগ করতে পারেন, তবে বিদ্যমান ডেটাটি পরিবর্তন করতে পারবেন না)। নিশ্চিত করুন যে নিরীক্ষণ লগগুলি নিয়মিত ব্যাকআপের সাপেক্ষে। আদর্শভাবে, লগগুলি খুব নিরোধক অ্যাক্সেসের সাথে একটি উত্সর্গীকৃত সার্ভারে সংরক্ষণ করা উচিত: অন্য কোনও সার্ভার হ্যাক করা থাকলে আক্রমণকারী তার উপস্থিতি (এবং আক্রমণের সময় নেওয়া পথ) গোপন করতে লগগুলি মুছতে সক্ষম হবে না।

• কুকিগুলিতে ব্যবহারকারীর শংসাপত্রগুলি মনে রাখবেন না, যদি না ব্যবহারকারী এটি করতে বলে ("আমাকে মনে রাখুন" চেক বাক্সটি মানুষের ত্রুটি এড়াতে অবশ্যই ডিফল্টরূপে চেক করা উচিত)।

সহজেই ব্যবহারের পরামর্শ

• ব্যবহারকারীরা চাইলে পাসওয়ার্ডটি মনে রাখুক, এমনকি বেশিরভাগ ব্রাউজার ইতিমধ্যে এই বৈশিষ্ট্যটি রয়েছে।
• গুগল পদ্ধতির ব্যবহার করবেন না যখন ব্যবহারকারীর নাম এবং পাসওয়ার্ড জিজ্ঞাসার পরিবর্তে, ব্যবহারকারীকে কখনও কখনও কেবল পাসওয়ার্ডের জন্য জিজ্ঞাসা করা হয় , ইতিমধ্যে একটিতে ব্যবহারকারীর নাম প্রদর্শিত হচ্ছে <span/>। ব্রাউজারগুলি এই ক্ষেত্রে পাসওয়ার্ড ক্ষেত্রটি পূরণ করতে পারে না (কমপক্ষে ফায়ারফক্স এটি করতে পারে না), তাই এটি লগঅফ করতে, তারপরে ব্রাউজার দ্বারা পূর্ণ একটি সাধারণ ফর্ম দিয়ে লগন করতে বাধ্য করে।
• লগনের জন্য জাভাস্ক্রিপ্ট-সক্ষম পপআপগুলি ব্যবহার করবেন না । এটি ব্রাউজারগুলির পাসওয়ার্ড-মনে রাখার বৈশিষ্ট্যগুলি ভেঙে দেয় (এবং সব ক্ষেত্রেই সফল হয়)।
• ব্যবহারকারীকে তার ব্যবহারকারীর নাম বা তার মেইল ​​ঠিকানা প্রবেশ করতে দিন । আমি যখন নিবন্ধন করি, কখনও কখনও আমি প্রবেশ করতে চাইছি এমন ব্যবহারকারী নাম ইতিমধ্যে নেওয়া হয়ে গেছে, তাই আমার অবশ্যই একটি নতুন নাম উদ্ভাবন করতে হবে। আমার এই নামটি দুই ঘন্টার মধ্যে ভুলে যাওয়ার সব সম্ভাবনা রয়েছে।
• লগন ফর্মের কাছে সর্বদা "আমার পাসওয়ার্ড ভুলে গেছি" বৈশিষ্ট্যে একটি লিঙ্ক রাখুন । ব্যবহারকারী কেবল তখনই লগ-ইন করতে ব্যর্থ হলে এটি প্রদর্শন করবেন না: যে ব্যবহারকারী তার পাসওয়ার্ডটি একেবারেই মনে রাখে না, তাদের "ধারণা নেই যে আমার পাসওয়ার্ড ভুলে গেছেন" লিঙ্কটি দেখার জন্য তাকে অবশ্যই একটি ভুল জমা দিতে হবে no
• এটি পোস্ট করে সুরক্ষা ব্যবহার করবেন না ।
• এটি দুর্বল করার জন্য পাসওয়ার্ড সম্পর্কিত বোকাম নিয়মগুলি আবিষ্কার করবেন না । উদাহরণ: "আপনার পাসওয়ার্ড অবশ্যই ছোট হাতের অক্ষর দিয়ে শুরু করা উচিত"; "আপনার পাসওয়ার্ডে স্পেস থাকতে পারে না।"

1. আপনার সাইটে এইচটিটিপিএস ব্যবহার করা উচিত । কোনও মুহুর্তে আপনার কোনও লগইন পৃষ্ঠা উপস্থাপন করা বা একটি অ-এনক্রিপ্ট হওয়া সংযোগ থেকে লগইন গ্রহণ করা উচিত।
2. আপনার কুকিগুলি কেবল HTTP- তে সীমাবদ্ধ থাকতে হবে এবং আপনি যদি HTTPS ব্যবহার করেন তবে নিরাপদ সংযোগগুলিতে সীমাবদ্ধ থাকতে হবে।
3. লগইন প্রক্রিয়াটি 2 সেকেন্ডের কম লাগবে না (1 যদি আপনি মনে করেন যে 2 সেকেন্ড খুব বেশি দীর্ঘ)। পাসওয়ার্ডগুলি সংরক্ষণ এবং যাচাই করার সময় একটি সুরক্ষিত হ্যাশ ব্যবহার করুন এবং অনুমান করা শক্ত এমন লবণ ব্যবহার করুন। bcryptসম্ভব হলে ব্যবহার করুন । অন্যথায়, অন্য কিছু ধরণের পুনরাবৃত্ত হ্যাশ ব্যবহার করুন।
4. কখনও কখনও আপনার ডাটাবেস প্রশ্নগুলি এমন কোনও উপায়ে রচনা করবেন না যাতে এর মতো ফাংশন ব্যবহারের প্রয়োজন হয় mysql_real_escape_string। আপনার জিজ্ঞাসাটি কারুকাজ করার জন্য কখনও স্ট্রিং কনটেনটেশন ব্যবহার করবেন না। প্রস্তুত, প্যারাম্যাট্রাইজড কোয়েরি ব্যবহার করুন। বেশিরভাগ, সমস্ত না হলেও পিএইচপি-র জন্য ডিবি ড্রাইভাররা এটি সমর্থন করে। কিভাবে আপনি এটি করতে হয় তা জানা না থাকে, তাহলে কিভাবে কিছু সময় শেখার ব্যয় prepare, bindএবং executeব্যবহার যাই হোক না কেন ডিবি আপনি ব্যবহার করছেন। এটা শুধুমাত্র এসকিউএল ইনজেকশন বিরুদ্ধে নিজেকে পাহারা নিশ্চিত উপায়। পিডিও এটি সমর্থন করে।
5. আপনার ব্যবহারকারীদের তাদের ইমেলের জন্য ব্যবহার করা একই পাসওয়ার্ডটি ব্যবহার না করার জন্য উত্সাহিত করুন । তাদের মনে করিয়ে দিন যে আপনার সাইটের সাথে যদি আপস করা হয় এবং যদি তারা উভয় জায়গায় একই পাসওয়ার্ড ব্যবহার করে তবে কেউ তাদের ইমেল হাইজ্যাক করতে পারে।

একটি সল্টেড ওয়ান-ওয়ে হ্যাশ ব্যবহার করুন (পছন্দসইভাবে SHA512 ব্যবহার করুন http://au2.php.net/manual/en/function.hash.php ) ... সেই উপায়ে, কেউ যদি আপনার ডাটাবেস হ্যাক করে, এমনকি যদি তারা লবণ জানেন তবে , তারা পাসওয়ার্ডগুলি বের করতে পারে না (কোনও রংধনু টেবিল ছাড়াই, যা SHA512 এর জন্য দীর্ঘতর হবে)।

এইচটিটিপিএস ব্যবহার করুন।

ব্যবহারকারীর নাম / পাসওয়ার্ড নিশ্চিতকরণগুলি যখন তারা নিবন্ধভুক্ত হয় তখন ইমেলের মাধ্যমে ফেরত পাঠান না।

যদি আপনি 'আমাকে মনে রাখুন' এর জন্য কুকিগুলিকে অনুমতি দেন - প্রশাসন এবং প্রোফাইল সম্পাদনা কার্যগুলিতে অ্যাক্সেস করতে অতিরিক্ত লগইন যুক্ত করুন।

যদি কোনও ব্যবহারকারী কোনও পাসওয়ার্ড ভুল পেয়ে যায় তবে তাদের পাসওয়ার্ডটি ভুল বলে বলবেন না (বলুন যে তারা সর্বদা 'ব্যবহারকারীর নাম বা পাসওয়ার্ডটি ভুল পেয়েছে) - এইভাবে, বৈধ ব্যবহারকারীর নাম কী তা সম্পর্কে কম ক্লুশ।

স্ক্রিনের নাম বনাম লগইন ব্যবহার করে দেখুন এবং প্রয়োগ করুন - এইভাবে, কম ব্যবহারকারীরা তাদের তালিকায় লগইন নামটি প্রদর্শন করবেন will

• কখনও MD5 বা SHA1 হ্যাশিং অ্যালগরিদম ব্যবহার করবেন না। সর্বদা SHA512 এর মতো নতুনকে লেগে থাকুন
• সর্বদা একটি শক্তিশালী এলোমেলোভাবে তৈরি লবণ ব্যবহার করুন
• এমনকি "পাসওয়ার্ড ভুলে গেছেন" এর ক্ষেত্রে আপনার ব্যবহারকারীদের পাসওয়ার্ডগুলি কখনও ইমেল করবেন না
• কখনই মাইএসকিএল_ * ফাংশন ব্যবহার করবেন না। তারা দীর্ঘ অবমূল্যায়িত হয়। পিডিওতে লেগে থাকুন
• সেশন বা কুকিগুলিতে পাসওয়ার্ড কখনও সংরক্ষণ করবেন না

এখানে একটি পরামর্শ দেওয়া হয়েছে: আপনার কুকিগুলি জেএস দ্বারা চুরি রোধে অ্যাক্সেস করা যাবে না তা নিশ্চিত করুন, আপনার কুকিজ সুরক্ষিত দেখুন : জেফ অ্যাটউডের এইচটিটিপি কেবলমাত্র নিবন্ধ

... চতুর নির্মাণের মাধ্যমে, ত্রুটিযুক্ত ইউআরএল স্যানিটাইজারের অতীতকে ছুঁড়ে মারতে পরিচালনা করে। চূড়ান্ত রেন্ডার কোডটি, যখন ব্রাউজারে দেখা হয়, তখন সেই দূরবর্তী সার্ভার থেকে একটি স্ক্রিপ্ট লোড করে এবং কার্যকর করে।

... যে কেউ এই স্ক্রিপ্ট-ইনজেকশনের ব্যবহারকারীর প্রোফাইল পৃষ্ঠাটি লোড করে কেবল অজান্তেই তাদের ব্রাউজার কুকিজকে একটি দুষ্টু দূরবর্তী সার্ভারে স্থানান্তরিত করেছে!

যেমন আমরা ইতিমধ্যে প্রতিষ্ঠিত করেছি, একবার আপনার দেওয়া ব্রাউজারের কুকি কোনও প্রদত্ত ওয়েবসাইটের জন্য পরে, তাদের কাছে আপনার পরিচয়ের জন্য রাজ্যের কীগুলি অবশ্যই থাকবে ...