ক্লায়েন্টের পাসওয়ার্ড পুনরুদ্ধার করার দক্ষতার প্রয়োজন হলে কী হবে?

আমি বর্তমানে কর্মক্ষেত্রে এবং আমার হতাশার জন্য একটি অ্যাপ্লিকেশন উত্তরাধিকার সূত্রে পেয়েছি, আমি বুঝতে পেরেছি যে ডাটাবেসে সঞ্চিত ব্যবহারকারীর পাসওয়ার্ডগুলি ইন হাউস এনক্রিপশন ফাংশনটি ব্যবহার করে এনক্রিপ্ট করা আছে, যার মধ্যে ডিক্রিপ্ট করার ক্ষমতাও অন্তর্ভুক্ত রয়েছে।

সুতরাং যে কারও পক্ষে সত্যই কাজ করা দরকার তা হ'ল ব্যবহারকারীর টেবিলটি অনুলিপি করুন এবং এনক্রিপশন অ্যাসেমব্লিকে অনুলিপি করুন (ডাটাবেস উত্পাদন অ্যাক্সেস সহ যে কেউ) এবং তারপরে তাদের জন্য 10,000,000 ইমেল ঠিকানা এবং সম্ভাব্য পাসওয়ার্ডের অ্যাক্সেস থাকবে।

আমি কেন ব্যবসাকে বোঝানোর চেষ্টা করছি কেন এটি একটি ভাল ধারণা নয় তবে সুরক্ষা ধারণাটি তাদের প্রযুক্তিগত দিক থেকে নয় বলে মনে হচ্ছে (এটি সরকারের পক্ষে)। এছাড়াও অ্যাডমিন ব্যবহারকারীদের জন্য লগ ইন করতে এবং স্টাফগুলি করার জন্য অ্যাডমিন ব্যবহারকারীদের জন্য ব্যবহারকারীর পাসওয়ার্ডগুলি পুনরুদ্ধার করার জন্য অ্যাপ্লিকেশনটিতে আসলে বিদ্যমান কার্যকারিতা রয়েছে (যা তারা বলেছে যে তাদের প্রয়োজন)।

সুতরাং তারা সুরক্ষা সম্পর্কিত প্রভাবগুলি বুঝতে পারে না। এবং একটি শক্তিশালী সুরক্ষা নীতি (হ্যাশ পাসওয়ার্ড যাতে তারা সহজেই পুনরুদ্ধার করা যায় না) কার্যকর করতে, তাদের জন্য বিদ্যমান কার্যকারিতা সরিয়ে ফেলতে হবে।

আমার কি করা উচিৎ? আমি প্রথমে পাসওয়ার্ড সিস্টেমটি তৈরি করি নি, তাই কিছু ভুল হয়ে গেলে আমাকে দোষ দেওয়া যায় এমনটি হয় না। অন্যদিকে, আমি এটি সম্পর্কে ভাল বোধ করি না এবং আমিও 100,000 সম্ভাব্য ইমেল লগনে অ্যাক্সেস পেতে চাই না।

একটি সুরক্ষিত উপায়ে তাদের প্রয়োজনীয় কার্যকারিতা কার্যকর করুন। অন্য ব্যবহারকারী হিসাবে লগ ইন করা প্রশাসকরা তাদের ব্যবহারকারীর পাসওয়ার্ড না জেনে প্রয়োগ করতে পারেন। তারা নিজের হিসাবে লগ ইন করতে পারে এবং তারপরে কিছু 'পরিবর্তন-পরিচয়' ফাংশন উপলব্ধ।

পাসওয়ার্ড ডাটাবেস সুরক্ষিত করা কোনও ব্যবসায়ের উদ্বেগ নয়, এটি প্রযুক্তিগত উদ্বেগ। না করা একটি বাগ। যদি ব্যবসায়টি সুরক্ষাটিকে কার্যকারিতা ট্রেডঅফ হিসাবে মনে করে তবে সুরক্ষা হারাবে। তাদের এটিকে এভাবে চিন্তা করার কোনও কারণ দেওয়া উচিত নয়।

আপনি তাদেরকে সন্তুষ্ট করার যে তারা কি সত্যিই প্রয়োজন না ইভেন্টে ভদ্রভাবে দায়ী যে তাদের সার্ভারে নষ্ট হয়ে গেছে হতে হবে। বা তাদের কোনও অবহিত ব্যবহারকারীর কাছ থেকে প্রতিক্রিয়া দরকার নেই যা বুঝতে পারে যে তারা অবহেলা করছে।

কখনও কখনও পরিষ্কার-কাটা কেস রয়েছে যেখানে একটি পক্ষ ভুল এবং অন্যটি সঠিক। এটি সেই সময়ের এক।

সোনির কী ঘটেছিল তা দেখুন। এছাড়াও, আমাদের সাইটটি সম্প্রতি হ্যাক করা হয়েছিল এবং এটির নিরবচ্ছিন্ন বিপর্যয় হতে বাধা দেয় এমন একটি বিষয় হ'ল আমরা একটি (অপেক্ষাকৃত) ভাল ওয়ান-ওয়ে হ্যাশিং ফাংশন (SHA512) ব্যবহার করেছি। আমরা এরপরেও বর্বর বল / অভিধানের আক্রমণগুলি রোধ করতে (বা কমপক্ষে সেগুলি অচল করে দিতে পারি) ব্র্যাক্রিপ্টে চলে এসেছি। আমি কেবল কনসিওনেবলের মতো আর কিছু পাই না।

ঘটনা: লোকেরা অনেক সাইটে একই পাসওয়ার্ড ব্যবহার করে

আপনার বস সম্ভবত বুঝতে পারে না যে লোকেরা প্রায়শই সমস্ত ধরণের পরিষেবার জন্য (ব্যাংকিং বা ফেসবুক এবং অনুরূপ সহ) একক পাসওয়ার্ড (বা তাদের একটি খুব সীমিত সেট) ব্যবহার করে। যদি ব্যবহারকারীরা আপনার সিস্টেমে তাদের পাসওয়ার্ড পরিবর্তন করতে পারে তবে তারা সম্ভবত অন্য কোথাও একই পাসওয়ার্ড ব্যবহার করার সম্ভাবনা বেশি।

যদি আপনার বস মনে করেন যে এই পাসওয়ার্ড অ্যাক্সেসটি কোনও সমস্যা নয়, আপনার পাশাপাশি তাদের এই সত্যটি বলা উচিত এবং সম্ভবত তারা অন্যরকম চিন্তা শুরু করবেন। এমনকি যদি আপনার অ্যাপ্লিকেশনটি প্রাচীরের পিছনে রয়েছে এবং সর্বজনীনভাবে অ্যাক্সেসযোগ্য নয় তবে এটি অন্যান্য অনলাইন পরিষেবাদিতে সুরক্ষা হুমকির কারণ হতে পারে। ব্যবহারকারীর নামগুলি (বিশেষত যখন তারা ইমেল হয়) অনুমান করা বরং সহজ। বসের ফেসবুক অ্যাকাউন্টে লগইন করা এবং তাদের দেয়ালে কিছু লাগানো কত মজার কথা ভাবতে পারি না can't

ব্যবহারকারীর পাসওয়ার্ডগুলি সর্বদা শীর্ষ স্তরের গোপনীয়তা / গোপনীয় তথ্য হিসাবে গণ্য করা উচিত যা কেবলমাত্র সীমিত সংখ্যক লোকেরই অ্যাক্সেস রয়েছে। এই ধরনের অস্থির তথ্য সংরক্ষণ না করা ভাল। এমনকি আপনি যখন করেন তখনও আপনাকে এই তথ্যে প্রতিটি একক অ্যাক্সেস দেওয়া উচিত। অত্যন্ত সুরক্ষিত নিরাপদ থেকে গোপনীয় কাগজ পাওয়ার মতো যা কেবলমাত্র একাধিক কী দিয়ে খোলা যেতে পারে। সুতরাং লোকে জানে যে কাকে অ্যাক্সেস দেওয়া হয়েছে এবং কখন।

কীভাবে অ্যাকাউন্টের প্রতিনিধি বাস্তবায়ন করবেন

আপনার আবেদনে অ্যাকাউন্ট প্রতিনিধি আলাদাভাবে করা উচিত।

1. প্রশাসকদের নিজের এবং তারপরে লগইন করা উচিত
2. হয় (যেহেতু তারা সুবিধাভোগী ব্যবহারকারী)
   • শুধুমাত্র ব্যবহারকারীর নাম বা প্রবেশ করান
   • তাদের তালিকা হিসাবে লগ ইন করতে একটি তালিকা থেকে একটি নির্দিষ্ট ব্যবহারকারী নির্বাচন করুন

এটি অবশ্যই ব্যবহারকারীর নাম + পাসওয়ার্ড সংমিশ্রণে লগ ইন করে করা উচিত নয় ।

এটি সত্য যে প্রতিনিধিত্বমূলক লগনের জন্য নতুন পর্দা বিকাশ করা উচিত, তবে এখনও।

প্রতিনিধি লগন কেন ভাল?

আপনি অতিরিক্ত কার্যকারিতা সরবরাহ করতে পারবেন যা এটিকে পরিষ্কার করে দেবে যে কিছু ব্যবহারকারীর পক্ষে প্রশাসনের পক্ষ থেকে কিছু ব্যবস্থা নেওয়া হয়েছে (যা আপনি এখন জানতে পারবেন না কারণ প্রশাসকরা Godশ্বর হিসাবে কাজ করে এবং যারাই লগইন করে এবং ক্ষতিগ্রস্থ হতে পারে এমন কাজ করে যাচ্ছেন প্রকৃত কর্মচারী খ্যাতি)।

আপনাকে একমত হতে হবে যে লোকেরা ভুল করে। প্রশাসকরা পাশাপাশি মানুষ হয়। এবং যদি তারা অন্য কারও পক্ষ থেকে ভুল করে তবে তারা তাদের দোষ দেওয়ার চেষ্টা করবে। আমি এটি সম্পর্কে 100% নিশ্চিত এটি প্রশাসনিকহীন ব্যবহারকারীদের জন্য এটিকে আরও সুরক্ষিত করে তুলবে যাতে তাদের আসল-বিশ্বের খ্যাতি অন্য ব্যক্তির ভুলের দ্বারা ভোগেন না।

অ্যাপ্লিকেশনটি কী করে তা আপনি উল্লেখ করবেন না। যদি এটি পাসপোর্ট অ্যাপ্লিকেশনগুলি, পরিচয়-চুরির তথ্যে পূর্ণ, যা অবশ্যই সুরক্ষিত করা উচিত, এটি সর্বাধিক সুরক্ষার দাবি করে। তবে যদি এটি "আমার রুটের বাড়ির ট্র্যাফিক দুর্ঘটনাগুলি আমাকে বলুন" তবে পাসওয়ার্ড লঙ্ঘনের পরিণতিগুলি কী হবে? আমি লিখেছি এমন কয়েকটি সিস্টেমে পাসওয়ার্ডও নেই - আপনি কেবল নিজের ইমেল বা আপনার শিক্ষার্থীর নম্বর বা এমন কিছু অন্যান্য শনাক্তকারী প্রবেশ করান যা লোকেরা একে অপর সম্পর্কে প্রায়শই জানে এবং সিস্টেমের মালিকরা সহজেই ব্যবহারের সহজতা এবং লক করতে অক্ষম হন লোকেরা একে অপরের ছদ্মবেশ তৈরি করলে সম্ভাব্য গোপনীয়তা লঙ্ঘনের বিষয়টি প্রকাশ করে। আমারও তা নিয়ে কোনও সমস্যা নেই। কেন একটি সম্মেলনে আমার পছন্দের সেশনগুলির শিডিয়ুল সেট আপ করতে আমার পাসওয়ার্ডের প্রয়োজন হবে?

সুতরাং যদি আমাকে কোড পর্যালোচনার জন্য আনা হয় এবং আপনি এটি আমার কাছে উত্থাপন করেন, আমরা এখানেই শুরু করব। তুমি কী রক্ষা করছ? একজন ব্যক্তি অন্য ব্যক্তি হিসাবে লগ ইন করতে পরিচালিত করার নেতিবাচক পরিণতিগুলি কী কী? প্রত্যেকের সঞ্চিত তথ্য প্রকাশের নেতিবাচক পরিণতিগুলি কী কী? তারা ভয়াবহ হতে পারে। আপনি আমার জন্য তাদের তালিকা হবে। তারপরে, লোকেরা "আমাকে আমার পাসওয়ার্ডটি ইমেল করুন" ক্লিক করতে না পেরে তার পরিবর্তে "আমার পাসওয়ার্ডটি পুনরায় সেট করুন" ক্লিক করতে পেরে কী ঘটবে? তারা সাইট ব্যবহার বন্ধ করবে? এবং ব্যক্তি হিসাবে লগ ইন কর্মীদের সম্পর্কে কি? সেটাই কি সময়, অর্থ, বিক্রয় হারানো বা কী?

ব্যয় / উপকারের গল্পের চূড়ান্ত অংশ এবং আপনি কেবল তখনই পেলেন যখন আপনি এখন যে ধরণের নেতিবাচক মুখোমুখি হয়েছিলেন এবং কার্যকারিতা অপসারণ করার সময় আপনি যে নেতিবাচক জিনিসগুলি পেয়ে যাবেন তা ঠিক করার ব্যয়। আমাকে হাজার ডলার এক্সপোজারের সুযোগটি বাঁচাতে আমি কি এক মিলিয়ন ব্যয় করব? না। অন্য পথে কী হবে? মতবিরোধের উপর নির্ভর করে, আমার ধারণা, তবে আমার প্রথম উত্তরটি হ্যাঁ হবে।

পিএস - কানাডিয়ান সরকার আপনার পাসপোর্ট-এর জন্য যে অ্যাপ্লিকেশনটিতে ইউআরএল আইডি রয়েছে সেই অ্যাপ্লিকেশনটির সাথে সরাসরি চলেছিল: আপনি যদি আলাদা আইডি দিয়ে ইউআরএল সম্পাদনা করেন তবে আপনি কিছু এলোমেলোভাবে অন্য নাগরিকের অর্ধ-সম্পন্ন রূপটি দেখেছেন। এবং আমার কাছে এমন ক্লায়েন্ট রয়েছে যারা গ্রাহক পরিষেবার উদ্দেশ্যে সাধারণ আনন্দের উদ্দেশ্যে তাদের গ্রাহক হিসাবে সাইন ইন করেন, তাই আমি এর ভাল দিকটি দেখতে পাচ্ছি, যদিও পাসওয়ার্ডের পিছনে থাকা ডেটাটি অপরিচিতদের কাছে গুরুত্বপূর্ণ ছিল কিনা আমি তার পক্ষে দাঁড়াতে পারব না।

এটি আইনের পরিপন্থী হতে পারে এবং তাদের বিরুদ্ধে মামলা দায়ের করা যেতে পারে। যদি তারা ব্যবহারকারীর সম্পর্কে কোনও প্রকারের ব্যক্তিগত তথ্য ধরে রাখে বা সিস্টেমটি অন্য সিস্টেমগুলির সাথে ব্যবহারকারী হিসাবে যোগাযোগ করে আপনার সিস্টেমটি কোনও রাজ্য বা ফেডারেল গোপনীয়তা আইন বা আইনের আওতায় পড়ে কিনা তা খতিয়ে দেখার প্রয়োজন হতে পারে। অর্থাত। সার্বনেস / অক্সলে, ক্যালিফোর্নিয়া ওওপিএ, ইত্যাদি

সম্ভাব্য আইনী সমস্যাগুলি বাদ দিয়ে আপনি এটিও উল্লেখ করতে পারেন যে কোনও প্রশাসক যে কোনও সময় পুরো টেবিলটিকে কোনও পোর্টেবল ডেটা স্টিকের কাছে ফেলে দিতে পারে এবং যে কোনও ব্যবহারকারী হিসাবে লগইন করতে পারে এবং ধ্বংস করতে পারে, বা ডেটা বিক্রি করতে পারে।

এমনকি যদি আপনি ধরে নেন যে সমস্ত প্রশাসক বিশ্বাসযোগ্য হয় তবে এটি অ্যাডমিনের পাসওয়ার্ডকে ধ্বংসাত্মক করে তোলে।

এগুলি হিসাবে ক্রিয়াকলাপ সম্পাদন করতে আপনার ব্যবহারকারীর পাসওয়ার্ডেরও প্রয়োজন নেই। আপনি একটি sudoমত বৈশিষ্ট্য প্রয়োগ করতে পারেন ।

এটি সম্ভবত একটি ফেডারাল সরকার ব্যবস্থা হতে পারে না কারণ স্টেটস এবং এফআইএসএমএ প্রয়োজনীয়তা পাসওয়ার্ডগুলির জন্য বিপরীতমুখী এনক্রিপশন নিষিদ্ধ করবে এবং পিতামাতা বিভাগ তাদের চাঁদে চড় মারবে।

এবং একটি শক্তিশালী সুরক্ষা নীতি (হ্যাশ পাসওয়ার্ড যাতে তারা সহজেই পুনরুদ্ধার করা যায় না) কার্যকর করতে, তাদের জন্য বিদ্যমান কার্যকারিতা সরিয়ে ফেলতে হবে।

আমার আগের সংস্থার জন্য, আমি এই সমস্যাটি পেতে পাসওয়ার্ড রিসেট ইমেলগুলি প্রেরণের সক্ষমতা অর্জনের জন্য লড়াই চালিয়েছি। এবং আমি overruled পেতে রাখা। শেষের দিকে, জোয়ারের বিপরীতে পোঁপানো ক্লান্ত হয়ে পড়েছিলাম, তাই আমি চলে গেলাম। এটি একটি পয়েন্টযুক্ত কেশিক বসও ভেবেছিলেন যে কিছু ব্যাংক ওয়েবসাইটগুলি "2 ফ্যাক্টর প্রমাণীকরণ" হিসাবে গণ্য করা বোকা প্রশ্নগুলি। তার সাথে তর্ক করা ছিল একটি দিলবার্ট কার্টুনের মতো (তিনি পিএইচবি-র মতো আকারের ছিলেন)।

এছাড়াও অ্যাডমিন ব্যবহারকারীদের জন্য লগ ইন করতে এবং স্টাফগুলি করার জন্য অ্যাডমিন ব্যবহারকারীদের জন্য ব্যবহারকারীর পাসওয়ার্ডগুলি পুনরুদ্ধার করার জন্য অ্যাপ্লিকেশনটিতে আসলে বিদ্যমান কার্যকারিতা রয়েছে (যা তারা বলেছে যে তাদের প্রয়োজন)।

আমি এটি একটি আর্থিক প্রতিষ্ঠানে প্রয়োগ করা দেখেছি। গ্রাহক সমর্থন এলাকার লোকেরা তাদের নিজস্ব শংসাপত্র দিয়ে লগইন করত এবং তাদের যদি অধিকার দেওয়ার অধিকার থাকে তবে গ্রাহক হিসাবে লগ ইন করার ভান করতে পারে। এটি তাদের গ্রাহক হিসাবে লগ ইন করেনি, কেবল গ্রাহকের ছদ্মবেশ ধারণ করেছে । এইভাবে যদি গ্রাহক পরিষেবা প্রতিনিধি অর্থ প্রত্যাহারের সিদ্ধান্ত নেয়, এটি গ্রাহক লগগুলিতে এটি করায় তা দেখাবে না: এটি গ্রাহক পরিষেবা প্রতিনিধিটিকে এটি করার চেষ্টা করছে তা দেখানোর পাশাপাশি (তাদের সাথে সাথে তাদের বরখাস্ত করার জন্য একটি সতর্কতা প্রেরণ করার পাশাপাশি) রেন্টাকাপটি তাদের তলায় এটি তৈরি করতে পারে)।

খুব খারাপভাবে করা হয়েছে, এটি গ্রাহক সহায়তা কর্মীদের এটি এমনভাবে দেখাতে সক্ষম করবে যে শেষ ব্যবহারকারী কোনও ক্রিয়াকলাপে নিযুক্ত রয়েছে যার ফলে গুরুতর আর্থিক বা আইনি দায়বদ্ধ হতে পারে।

আমি যে সর্বশেষ ফেডারাল ওয়েবসাইটটিতে কাজ করেছি সেগুলি প্রতি বছর 1/4 বিলিয়ন মার্কিন ডলার সংগ্রহ করেছিল শেষ ব্যবহারকারীদের (যার মধ্যে প্রায় 400 জন ব্যবহারকারী ছিল), তাই লগিংটি খুব শক্ত হতে হয়েছিল এবং কেবল অনুমোদিত শেষ ব্যবহারকারীকে স্পর্শ করার অনুমতি দেওয়া হয়েছিল ওয়েব পৃষ্ঠাগুলিতে যেখানে তারা শুল্কের প্রতিবেদন করেছে যাতে তারা শুল্কের উপর শুল্ক দেয়।

সনি সর্বশেষতম সুরক্ষা লঙ্ঘনকারী সংস্থাগুলির মধ্যে একটি। এটি কেবল পিএস 3 নেটওয়ার্ক ছিল না, এটি এমএমওআরপিজি গেমগুলিরও তাদের নেটওয়ার্ক ছিল, মোট 25,000,000 নাম, ঠিকানা, ক্রেডিট কার্ড নম্বর, ব্যবহারকারীর নাম এবং পাসওয়ার্ডের চেয়েও ভাল কোনও জায়গা। আপনি বিশ্বাস করতে পারেন যে আমি মোটেই খুশি নই (আমি আমার চিরকুট চাই!)।

আমি এর মতো উদ্বেগের জন্য নীতিমালার সফ্টওয়্যার ইঞ্জিনিয়ারিং কোডটি উল্লেখ করি । আমার ব্যাখ্যা, আপনার প্রথম অগ্রাধিকার হ'ল জনস্বার্থকে ক্ষুন্ন করা না (যেমন উদাহরণের মতো আপোস করা পাসওয়ার্ডের সম্ভাবনা তেমন নয় যেখানে কোনও সংস্থা ডেল ল্যাপটপগুলিকে সংশোধন করে যাতে ভাড়া সংস্থাগুলি তাদের না জেনে তাদের ভাড়াটেদের গুপ্তচর রাখতে পারে)। এর পরে আপনার দায়িত্ব আপনার ক্লায়েন্টকে সম্ভাব্য ঝুঁকির বিষয়ে তথ্য দেওয়া এবং তাদের এটিকে বিবেচনায় নিতে দিন। অবশ্যই এটি ন্যূনতম বেসলাইন। আপনি নিজের পক্ষ থেকে নিজের সিদ্ধান্তটি ব্যবহার করতে পারেন যে আপনি নিজের পাশে দাঁড়াতে ও অনুমতি দেওয়ার চেয়ে আরও বেশি এটি অনুভব করছেন কিনা তা।

অবশ্যই যখন আপনি কোনও সরকারী প্রকল্পের কথা উল্লেখ করেন, নাগরিকদের ব্যক্তিগত তথ্যগুলি যদি এই অনুশীলনের কারণে ঝুঁকির মধ্যে থাকে তবে তা জনস্বার্থকে ক্ষুন্ন করে।

আপনি ইমেল এবং ডিক্রিপ্ট করা পাসওয়ার্ডের তালিকা মুদ্রণ করে কভার পৃষ্ঠায় একটি বড় সতর্কতা সহ এটি আপনার বসের ডেস্কে রাখতে পারেন: "গোপনীয়তা"

কাগজটি নষ্ট না করে যাতে ফন্টটি ছোট করে তোলে।

আপনি এগুলি তাদের দেখিয়েও দিতে পারেন কীভাবে বাগজিলা প্রশাসকদের তাদের পাসওয়ার্ড ব্যবহার না করে লোকের ছদ্মবেশ তৈরি করতে দেয়।

প্রথমত, আমি অন্যান্য উত্তরগুলির সাথে একমত হই যে এটি এড়ানো কেবল আরও নিরাপদ এবং কেবল পাসওয়ার্ডের হ্যাশগুলি সংরক্ষণ করে, নিজের পাসওয়ার্ডগুলি নয় বা কোনও পাসওয়ার্ডে রূপান্তরিত করা যায় এমন কিছু।

এমন অনেক সময় আছে যখন আপনার কম-বেশি পুনরুদ্ধারের জন্য অনুমতি দেওয়া দরকার। পাসওয়ার্ডগুলির ক্ষেত্রে, আপনি সাধারণত কোনও প্রশাসককে বিদ্যমান পাসওয়ার্ড পুনরুদ্ধারের পরিবর্তে / প্রয়োজন হলে পাসওয়ার্ড পরিবর্তন করার অনুমতি দিয়ে পুনরুদ্ধার করতে চান।

তবে আরেকটি সম্ভাবনা হ'ল আপনি হ'ল ব্যবহারকারীকে নিজের পাসওয়ার্ড দিয়ে এনক্রিপ্ট করা সার্ভারে ডেটা সঞ্চয় করার অনুমতি দিন। এই ক্ষেত্রে, কেবল প্রশাসককে পাসওয়ার্ড পরিবর্তন করার অনুমতি দেওয়া যথেষ্ট নয় । নতুন পাসওয়ার্ড ডেটা ডিক্রিপ্ট করতে কাজ করবে না, এবং বেশিরভাগ ব্যবহারকারী তাদের / সমস্ত পাসওয়ার্ড ভুলে গেলে / হারিয়ে গেলে তাদের এনক্রিপ্ট করা ডেটা অ্যাক্সেসযোগ্য হয়ে উঠবে। এই পরিস্থিতির জন্য, এমন একটি বিকল্প রয়েছে যা যুক্তিসঙ্গতভাবে সুরক্ষিত রয়েছে এবং সত্যই প্রয়োজন হলে পুনরুদ্ধারের অনুমতি দেয়।

ডেটা এনক্রিপ্ট করার জন্য ব্যবহারকারীর পাসওয়ার্ড ব্যবহার করার পরিবর্তে আপনি ডেটাটি এনক্রিপ্ট করার জন্য একটি এলোমেলো কী তৈরি করেন। তারপরে আপনি সেই কীটি কয়েকটি স্থানে সংরক্ষণ করুন: একবার ব্যবহারকারীর পাসওয়ার্ড দিয়ে এনক্রিপ্ট করেছেন এবং অন্য জায়গায় প্রশাসকের পাসওয়ার্ড সহ এনক্রিপ্ট করেছেন। তারপরে (যখন সত্যই তা নয়) ব্যবহারকারী তার পাসওয়ার্ডটি হারিয়ে ফেলেন এবং সরাসরি ডেটা অ্যাক্সেস করতে পারবেন না, আপনি প্রশাসক পাসওয়ার্ডটি আসল কীটি ডিক্রিপ্ট করতে ব্যবহার করতে পারেন এবং তথ্যটি পুনরুদ্ধার করতে এবং / অথবা কীটি পুনরায় এনক্রিপ্ট করার মাধ্যমে ব্যবহার করতে পারেন ব্যবহারকারীর নতুন পাসওয়ার্ড

আপনি যদি কোনও একক প্রশাসকের পুরোপুরি বিশ্বাস করতে না চান তবে আপনি এটিও পরিচালনা করতে পারেন। উদাহরণস্বরূপ, আপনি সিদ্ধান্ত নিতে পারেন যে 5 জনের প্রশাসকের কী থাকবে এবং আপনি কীটি পুনরুদ্ধার করার আগে তাদের মধ্যে কমপক্ষে তিনজনকে সম্মতি জানাতে চান। এই ক্ষেত্রে, আপনি প্রশাসনিক উদ্দেশ্যে এনক্রিপ্ট করা পাসওয়ার্ড সংরক্ষণ করার সময়, আপনি পাঁচটি প্রশাসকের প্রত্যেকটিতে তিনটির প্রতিটি সেটের জন্য একবারে এটি একাধিকবার সঞ্চয় করেন (যেটিতে আপনি কেবল একাধিক কী সংরক্ষণ করছেন , 256 ডলার বিট প্রায়, তথ্য একাধিক কপি নয়)। এই তিনটি প্রশাসকের জন্য প্রতিটি অনুলিপি প্রতিটি পাসওয়ার্ডকে ক্রমাগত এনক্রিপ্ট করা হয়েছে।

এটি ডিক্রিপ্ট করার জন্য, আপনাকে যে তিনজন প্রশাসক তাদের পাসওয়ার্ড প্রবেশ করিয়েছেন তাদের সনাক্ত করতে হবে এবং তিনটির সেই সেটটির জন্য যথাযথ এনক্রিপ্ট করা কীটি চয়ন করতে হবে, এবং শেষ পর্যন্ত মূল কীটি পেতে তিনটি পাসওয়ার্ডের প্রত্যেকটি ব্যবহার করে ডিক্রিপ্ট করুন। এরপরে আপনি এটি নিজেই তথ্য পুনরুদ্ধার করতে ব্যবহার করতে পারেন বা আপনি এটি ব্যবহারকারীর নতুন পাসওয়ার্ড দিয়ে (হ্যাশ) পুনরায় এনক্রিপ্ট করতে পারেন যাতে তারা এখনও তাদের ডেটা অ্যাক্সেস করতে পারে।

আপনি যখন এটি করেন, তবে আপনাকে সত্যই কোনও স্ট্যান্ডার্ড এনক্রিপশন অ্যালগরিদম ব্যবহার করতে হবে এবং (দৃ strong় পছন্দ দ্বারা) এটির একটি মানক, সুপরিচিত, পুঙ্খানুপুঙ্খভাবে অধ্যয়ন করা বাস্তবায়ন দরকার।

এটি আমাকে উদ্বিগ্ন করে, এটি একটি সরকারী প্রকল্পের জন্য। কোনও আইডির অধীনে কোনও ক্রিয়া সম্পাদনের জন্য কোনও ব্যবহারকারীর পাসওয়ার্ড পুনরুদ্ধার করা কোনও ধরণের সুরক্ষা নিরীক্ষণের বাইরে একটি বাজে কথা বলে। এটির জন্য আমি দেখতে পাচ্ছি কেবলমাত্র একটি জাল অডিট ট্রেইল তৈরি করা।

পাসওয়ার্ডের জন্য রিভার্সিবল এনক্রিপশন ব্যবহার করার দরকার নেই। যদি কোনও ব্যবহারকারীর আইডিকে ফাঁকি দেওয়ার কোনও বৈধ কারণ থাকে তবে তা করা যায়:

• বর্তমান পাসওয়ার্ড হ্যাশ সংরক্ষণ করুন
• একটি পরিচিত মান সঙ্গে প্রতিস্থাপন
• (জাল-নিরীক্ষা-ট্রেইল-ক্রিয়াকলাপ, যেমন বিদেশের অ্যাকাউন্টে তহবিল স্থানান্তর করুন)
• আসল পাসওয়ার্ড হ্যাশ প্রতিস্থাপন করুন

আমি শেষ পদক্ষেপে অস্বস্তি করব - যে কেউ সিস্টেমে ছদ্মবেশ ধারণ করেছিল, তা জানা উচিত it "আপনি আপনার জ্ঞান ছাড়াই আপনার অ্যাকাউন্টটি আমাকে অ্যাক্সেস করতে দিয়েছিলেন এমনই এটি আপনার ব্যাঙ্কের মতো" বলে আপনি ব্যবসাটি প্ররোচিত করতে পারেন, কারণ আমি বলেছিলাম যে আমার সত্যই দরকার ছিল "

আরও ভাল পাসওয়ার্ড সিস্টেমে তাদের বিশ্বাস সমস্যা নয়। কোনও প্রশাসক / সহায়তা কোনও ব্যবহারকারী অ্যাকাউন্টের ছদ্মবেশ তৈরি করার অনুমতি দেয় এবং পাসওয়ার্ডগুলির জন্য আপনার সমাধান সরবরাহ করে Create সুরক্ষার জন্য প্রায়শই সুবিধার জন্য ভোগেন। এটি সুবিধাজনক এবং সুরক্ষিত করুন।

সম্পাদনা করুন: তারা কখনও কখনও পাসওয়ার্ড সুরক্ষা ইস্যুটি পুরোপুরি বোঝে না, তবে তারা কার্যকারিতা হারাতে পারে না। এই প্রস্তাবটি তৈরি করুন এবং প্রয়োজনীয় পরিবর্তনগুলি করার জন্য আপনি অনুমোদন পেতে পারেন কিনা তা দেখুন। এক ঘন্টা বা এক বছর সময় লাগবে কিনা তা তারা জানে না। এটি একটি বৈশিষ্ট্য পরিবর্তন এবং সম্পূর্ণ পুনর্নির্মাণ নয়।

বর্তমান ইভেন্টগুলি (অ্যাপসিলন ডেটা ফাঁস এবং প্লেস্টেশন নেটওয়ার্ক ডেটা ফাঁস) বিবেচনা করে, কেউ আশা করবেন যে সমস্যাগুলি সুস্পষ্টভাবে সুস্পষ্ট হবে।

কখনও কখনও, তবে, বিকাশকারী হিসাবে আপনি কেবল নীতি প্রভাবিত করতে পারবেন না।

আমি কেলেঙ্কারী এবং ব্যয়ের সম্ভাব্যতা দেখানোর জন্য যথাসাধ্য চেষ্টা করব, যা বর্তমানের ঘটনাগুলি আবার বিবেচনা করে সহজ হওয়া উচিত। তবে যদি এটি ব্যর্থ হয় তবে আপনি সত্যিই কী করতে পারেন। বেশি না. প্রতিবাদে প্রস্থান করুন, মনোযোগ বাড়াতে দুর্বলতা প্রদর্শন করুন। দুর্দান্ত বিকল্পগুলির মতো শব্দও নয়।

আমি এর বিপরীতে পরামর্শ দেব, তবে আপনার যদি পাসওয়ার্ডগুলি ডিক্রিপ্ট করার ক্ষমতা থাকতেই পারে তবে আপনার পাবলিক কী এনক্রিপশন ব্যবহার করা উচিত। এইভাবে, আপনি সর্বজনীন কী ব্যবহার করে সমস্ত পাসওয়ার্ড এনক্রিপ্ট করতে পারেন। আপনি পাবলিক কী দিয়ে এনক্রিপ্ট করে এবং তুলনা করে পাসওয়ার্ডগুলি যাচাই করতে পারেন এবং আপনি ব্যক্তিগত কীটি অন্য কোথাও রাখতে পারেন (প্রোডাকশন কম্পিউটারে নয়)।

সাধারণত কোনও প্রশাসকের ব্যবহারকারীর পাসওয়ার্ড দেখার কারণ হ'ল তারা যদি এটি হারিয়ে যায় তবে তারা এটি ব্যবহারকারীকে দিতে পারেন। আমি যতদূর বলতে পারি উইন্ডোজ প্রশাসককে পাসওয়ার্ডটি দেখতে দেয় না - তবে আপনার আবেদনটি কেন করা উচিত? বাড়ির এনক্রিপশন লাইব্রেরির যে কোনও ভেঙে ফেলা নিশ্চিত কারণ আমি নিশ্চিত যে যে কেউ এটি লিখেছিল সে এনএসএর পক্ষে কাজ করে না।