নিরাপত্তাহীন পাসওয়ার্ডের জন্য ব্যবহারকারীদের শাস্তি দেওয়া [বন্ধ]

আমি যারা ব্যবহারকারীদের অনিরাপদ পাসওয়ার্ডগুলি বেছে নিয়েছেন (দৈর্ঘ্য অনুসারে একটি পাসওয়ার্ডের নিরাপত্তাহীনতা, কত ধরণের অক্ষর (উচ্চ / নিম্নতর কেস, সংখ্যা, চিহ্ন ইত্যাদি) ব্যবহৃত হয় এবং এটি হতে পারে কিনা তার অধিকার সীমাবদ্ধ করার বিষয়ে আমি ভাবছি কোনও রংধনু টেবিলের মধ্যে অবস্থিত) যদি আপস করা হয় তবে তাদের অ্যাকাউন্ট কত ক্ষতি করতে পারে তা সীমাবদ্ধ করে।

এই ধারণার জন্য আমার কাছে এখনও অ্যাপ্লিকেশন নেই, তবে বলুন যে আমি একটি ফোরাম বা কিছু লিখছি: ব্যবহারকারীরা 1234 পাসওয়ার্ড হিসাবে ব্যবহার করেন তাদের পোস্টের আগে একটি ক্যাপচা পূরণ করতে হবে, বা স্প্যাম বিরোধী কঠোর পদক্ষেপের বিষয় হতে পারে সময়সীমা বা বায়েশিয়ান ফিল্টারগুলি তাদের সামগ্রী প্রত্যাখ্যান করে। যদি এই ফোরামটি খুব শ্রেণিবদ্ধ, মডারেটরগুলিকে "পদোন্নতি" দেওয়ার জন্য বা কোনও উপায়ে যা কিছু করার অনুমতি দেয় তবে এটি তাদের কোনও সুযোগ সুবিধা পেতে বা তাদের যে অধিকার রয়েছে তা বলতে বাধা দেয়, তবে তাদেরকে আরও সুরক্ষিত না করেই তাদের ব্যবহার করতে না দেওয়া পাসওয়ার্ড।

অবশ্যই এটি সুরক্ষার একমাত্র পরিমাপ হতে পারে না তবে এটি অন্যথায় ভাল সুরক্ষা চর্চাগুলির পাশেও ভাল হতে পারে।

আপনি কি মনে করেন? এটি কি এটি মাত্রাতিরিক্ত বাড়িয়ে দেওয়া, আরও গুরুত্বপূর্ণ সুরক্ষা অনুশীলন থেকে ফোকাস চুরি করা, বা ঝুঁকি সীমাবদ্ধ করার এবং নিরাপদ পাসওয়ার্ড ব্যবহার করার জন্য ব্যবহারকারীদের উত্সাহিত করার একটি ভাল উপায় (এবং আশা করি আপনি ভাল সুরক্ষা পদ্ধতি ব্যবহার করছেন এমন লোকদের বোঝাতে)?

YAGNI , চুম্বন , শুকনো , 10 সেকেন্ড নিয়ম এবং এটা সত্য যে "[u] ব্যবহার Sers আপনার পছন্দের না" সম্ভবত এটি ডাউন এক সমাধান সংকীর্ণ উচিত: না।

• এটি আরও উন্নয়নের কাজ যা নির্ভরযোগ্য এবং সুরক্ষিত হতে অনেক পরীক্ষার প্রয়োজন ।
• এটি সম্ভবত সাইটের যে কোনও উপায়ে তাকানোর ক্ষেত্রে সুরক্ষা হ্রাস করে। কোনও বিপজ্জনক পাসওয়ার্ড সহ সুবিধাগুলি বাড়ানোর দিকে পরিচালিত কিছু বাগের সুযোগটি খুব বড়।
• এটি বিকাশকারী, পরীক্ষক, রক্ষণাবেক্ষণকারী, ডিবিএ, সিসাদমিন এবং ব্যবহারকারীর জন্য জটিলতা বাড়ায়।
• আরও জটিলতা, কোনওভাবে নিজেকে পুনরাবৃত্তি করা এড়ানো শক্ত।
• ব্যবহারকারীদের আপনার তথ্য পড়তে এবং এতে অনুসরণ করার জন্য মনোযোগের স্প্যান নেই। তারা নিবন্ধটি ফর্মটি টুইট করতে ব্যবহৃত হয় যতক্ষণ না এটি ইনপুট গ্রহণ করে, না কোনও আদর্শ স্তরে পৌঁছানো পর্যন্ত।
• ব্যবহারকারীদের কেবল যত্ন নেই।

হয় নিবন্ধকরণ পরিবর্তনে একটি সুরক্ষিত পাসওয়ার্ড জোর করুন, বা একটি ওপেনআইডি ব্যবহার করুন (জেফ অ্যাটউডের 2 সি: http://www.codinghorror.com/blog/2010/11/yur-internet-drivers-license.html )। তারপরে আরও আকর্ষণীয় কার্যকারিতাতে মনোনিবেশ করুন।

একটি জিনিসের জন্য, ব্যবহারকারীদের সুরক্ষিত পাসওয়ার্ড তৈরি করতে বা তাদের ওপেনআইডি ব্যবহার করতে বাধ্য করা হয়, তাই তাদের পক্ষে এটি সহজ।

আপনার মনে হয় যে পাসওয়ার্ডগুলি প্রথমে খারাপ মনে হচ্ছে? উত্সটিতে সমস্যা বন্ধ করা আপনার পাসওয়ার্ডের কোন শ্রেণীর মানচিত্রগুলি কী কী ভূমিকা নিয়েছে তা নির্ধারণের চেষ্টা করার জন্য আপনাকে প্রচুর ডিজাইনের সময় সাশ্রয় করতে চলেছে। যেহেতু একজন প্রশাসক, সংজ্ঞা অনুসারে, সম্পূর্ণ অধিকার রাখে, আপনার ইতিমধ্যে কার্যকারিতা প্রয়োজন যাতে নিশ্চিত হয় যে তিনি কোনও পাসওয়ার্ড প্রবেশ করিয়েছেন না যা তাকে সীমাবদ্ধ রাখে।

আমার উত্তরটি সত্যিই KISS এ নেমে এসেছে ।

একজন ব্যবহারকারী হিসাবে, এটি সম্ভবত আপনার সাইটটি ব্যবহার না করার জন্য আমাকে বোঝাবে। আমি বোঝাতে চাইছি, গুরুত্ব সহকারে, আমার ব্যাংক আমাকে একটি a-সংখ্যার কোড অনলাইন ব্যাংকিংয়ের জন্য পুরোপুরি নিরাপদ, তবে যখন আমি কিছু স্বল্প-পরিচিত ব্লগে একটি মন্তব্য লিখতে চাই, তখন আমার কমপক্ষে 8 টি উচ্চতর একটি অনন্য পাসওয়ার্ড মনে করার কথা ছিল - এবং লোয়ার কেস অক্ষর, একটি ডিজিট, একটি বিশেষ চরিত্র এবং গ্রীক বা সিরিলিক প্রতীক যা কেবলমাত্র যদি আপনি হৃদয় দিয়ে ইউনিকোড ক্রমটি জানেন তবে প্রবেশ করা যেতে পারে। এবং এটি নিয়মিত পরিবর্তন করুন।

আমাকে ভুল করবেন না, সুরক্ষা গুরুত্বপূর্ণ। তবে আপনার যদি বিশ্বাস করার সত্যিই দৃ strong় কারণ না থাকে তবে আপনার ব্যবহারকারীদের বিরক্ত করা উচিত নয় যদি কেউ আপনার সাইটে অ্যাক্সেস পেতে তাদের পাসওয়ার্ডগুলি ক্র্যাক করার চেষ্টা করবে। যদি আপনার সাইটটি এফবিআই নেটওয়ার্কে ভিপিএন অ্যাক্সেস সরবরাহ করতে দেখা দেয় তবে বিরক্ত হোন, এগিয়ে যান। তবে এটি যদি কোনও ব্যবহারকারী ফোরাম যেখানে ইমেল ঠিকানা সহ যে কেউ সাইন আপ করতে পারে, আসলে কী?

আরও ভাল সমাধান: হাসি মুখগুলি।

আমি সিরিয়াস! "নুড: স্বাস্থ্য, সম্পদ এবং সুখ সম্পর্কে উন্নত সিদ্ধান্তসমূহ" এর মতো আচরণমূলক অর্থনীতির বই পড়া আমাকে কয়েকটি বিষয় সম্পর্কে নিশ্চিত করেছিল:

1. আপনি প্রত্যেককে বুদ্ধিমান সিদ্ধান্ত নিতে বাধ্য করতে পারবেন না।
2. লোকেরা বেছে নিতে নির্দ্বিধায় থাকতে পছন্দ করে তবে তারা প্রচুর বিকল্প পছন্দ করে না।
3. আপনি যাইহোক, সহজ কৌশলগুলির সাথে আরও ভালগুলির জন্য তাদের পছন্দগুলিকে উল্লেখযোগ্যভাবে প্রভাবিত করতে পারেন।

আমি দেখছি যে এই নীতিগুলি আপনার পরিস্থিতিতে এর মতো প্রযোজ্য:

1. অনিরাপদ পাসওয়ার্ডের উপর ভিত্তি করে ব্যবহারকারীদের সীমাবদ্ধ করা সম্ভবত তাদের হতাশ করতে এবং বিভ্রান্ত করতে চলেছে ... বিশেষত সংখ্যাগরিষ্ঠ লোকেরা যারা ডায়লগ বাক্সগুলিতে সাবধানতার সাথে লিখিত ব্যাখ্যাগুলি পড়ে না এবং কেবল হেল্পডেস্ককে বলে, "এটি হয় না কাজ। "
2. পাসওয়ার্ড তৈরি করার সময়, ব্যবহারকারীদের বিশেষ অক্ষর এবং তারা ব্যবহার করতে পারে এমন সমস্ত সম্ভাবনার একটি তালিকা দেখার প্রয়োজন হয় না। তাদের অল্প পপ-আপ দেখানো আরও ভাল যে তারা এন্ট্রি প্রয়োজনীয়তা পূরণ না করে কেবল কিছু জটিলতা যুক্ত করার পরামর্শ দেয়।
3. লোকেরা সামাজিক ইঙ্গিত দ্বারা দৃ strongly়ভাবে প্রভাবিত হয় - এমনকি খুশির মুখের মতো ছোট্টগুলিও দেখায় যে আমরা তাদের আচরণকে অনুমোদন করি, বা যদি না করি তবে ভীতু মুখগুলি। কিছু ভাল-ডিজাইন করা ওয়েবসাইটগুলি রঙিন অগ্রগতি বারটি দেখায় যা যথেষ্ট ভাল নয় :( থেকে সবুজ রঙে ভাল কাজের জন্য পরিবর্তিত হয় :) তাদের ব্যবহারকারীর (প্রস্তাবিত) পাসওয়ার্ড এবং নিশ্চিতকরণ হিসাবে টাইপ করে। এই ইউআই তাদের মানদণ্ডগুলি মেটানোর জন্য কিছু সামাজিক চাপ দেয় - বারটিকে সবুজ করে তোলার জন্য, বা ভ্রূণটিকে একটি হাসিতে রূপান্তরিত করতে - যেমন তারা নিজেরাই আবিষ্কার করে যে কীভাবে তাত্ক্ষণিক প্রতিক্রিয়ার সহায়তায় আরও সুরক্ষিত পাসওয়ার্ড তৈরি করা যায় রঙ পরিবর্তন।

পাইল-অন করার জন্য নয়, তবে "খারাপ ধারণা" এর অধীনে এটি ফাইল করার আরও একটি কারণ নিয়ে আমি ভেবেছিলাম যা আমি এখনও উল্লেখ করেনি - গ্রাহক সমর্থন।

যদি এটি এমন কোনও পণ্য থাকে যা এর পিছনে গ্রাহক সমর্থন রেপস থাকে, তারা এটিকে খুব বেশি পছন্দ করে না। সমর্থনের অন্তর্নিহিত অনুমানগুলির মধ্যে একটি হ'ল তারা বুঝতে পারে এবং ব্যবহারকারীর অভিজ্ঞতা অনুমান করতে পারে - যদি তারা কোনও নিয়মিত ব্যবহারকারীর সহায়তা করে থাকে তবে পৃষ্ঠা 1 এর পৃষ্ঠা 2, 3 এবং 4 এর লিঙ্ক থাকতে হবে, যেখানে তারা এক্স, ওয়াই, জেড করতে পারে ইত্যাদি

এখন, আপনি তাদের অন্য ভেরিয়েবল দিচ্ছেন তাদের ট্র্যাক রাখতে হবে। যদি ব্যবহারকারী পৃষ্ঠা 4 এর লিঙ্কটি না দেখেন, তারা কি বোকা কিছু করার কারণে তা হয়? বা এটি কি কারণ তাদের পাসওয়ার্ডটি সফল হয় এবং আপনার সিস্টেম তাদের পৃষ্ঠা 4 এ অ্যাক্সেস অস্বীকার করে শাস্তি দিচ্ছে? অপেক্ষা করুন ... বাজে কথা, খারাপ পাসওয়ার্ডের জন্য একটি শাস্তি পেতে অ্যাক্সেস অস্বীকার করছে, বা আমি পৃষ্ঠা 5 এর কথা ভাবছি? আমাকে এটির এক মুহুর্তটি দেখা যাক ... ঠিক আছে, এটি বলেছে যে এমন পাসওয়ার্ডের জন্য যা উপরের এবং নিম্নের অক্ষরগুলিকে মিশ্রিত করে না, এমনকি সমান সংখ্যাযুক্ত পৃষ্ঠাগুলিতে অ্যাক্সেস অনুমোদিত তবে কেবল পঠনযোগ্যভাবে সীমাবদ্ধ ... ঠিক আছে, স্যার, আপনার পাসওয়ার্ড, এটি কি সমস্ত বড় হাতের অক্ষর বা সমস্ত ছোট হাতের অক্ষর নিয়ে গঠিত? কেস। আপনি যখন কেবল চিঠিটি টাইপ করেন, এটি নিম্নতর হয়; আপনি যখন শিফট ব্যবহার করেন, এটি যখন এটি বড় হয়। আপনি কি আপনার পাসওয়ার্ডে মামলাগুলি মিশিয়েছেন? আপনি সিস্টেমে লগইন করতে যে পাসওয়ার্ডটি ব্যবহার করেছেন। আপনি সবেমাত্র ব্যবহার করেছেন। ঠিক আছে, সম্পাদনা এ যান, তারপরে পছন্দসমূহ, তারপরে সুরক্ষা নির্বাচন করুন। "সংরক্ষিত পাসওয়ার্ড" নির্বাচন করুন ... না, স্যার, আমি আপনার পাসওয়ার্ডগুলি এখান থেকে দেখতে পাচ্ছি না ....

হ্যাঁ। এটি করবেন না।

হয় পাসওয়ার্ড সীমাবদ্ধ করুন বা দুর্বল পাসওয়ার্ডগুলির ঝুঁকি সম্পর্কে ব্যবহারকারীদের অবহিত করুন। আমি অনুমান করি যদি কোনও ব্যবহারকারী তাদের ডেটা সম্পর্কে চিন্তা না করে তবে আপনি অন্যের অ্যাক্সেসকে সীমাবদ্ধ করতে চাইতে পারেন। যদি যারা অযত্নে পাসওয়ার্ড অনুশীলনগুলি অনুসরণ করে তাদের নিচে ফেলে দেওয়া হয় তবে ব্যবহারকারীরা আরও আত্মবিশ্বাসী বোধ করতে পারেন। যদি কীবোর্ডের নীচে স্টিকি নোটটি শেষ করতে বা ল্যাপটপে টেপ করা হয় তবে শক্তিশালী পাসওয়ার্ডের কী দরকার হবে (সেই জিনিসটি তৈরি করতে পারি না; আমি এটি দেখেছি))।

এবং এটি কোনও রংধনু টেবিলে অবস্থিত কিনা

আমার মনে হয় আপনি অভিধানের অর্থ রামধনু সারণী নয়। অভিধানের আক্রমণটি অভিধানের সমস্ত শব্দ পরীক্ষা করে যদি তারা পাসওয়ার্ডের সাথে মেলে। এই আক্রমণটি 5 টি চেষ্টার দ্বারা স্থির করা যেতে পারে এবং x মিনিটের জন্য ব্লক করা ...

আপনি যদি পাসওয়ার্ডটি হ্যাশ করেন এবং আক্রমণকারী হ্যাশটি জানেন তবেই একটি রেইনবো টেবিল ব্যবহার করা হবে। হ্যাশটি রেইনবো টেবিলে সন্ধান করতে সক্ষম হতে পারে যদি এটি কেবল "12345" বা অনুরূপ কিছু ছিল।

কেবল রাউন্ড ট্রিপটি সম্পূর্ণ করতে: একটি রেইনবো টেবিলকে অকেজো করতে আপনার পাসওয়ার্ডগুলিতে লবণ দেওয়া উচিত। এবং প্রতিটি পাসওয়ার্ডের জন্য একটি অদ্বিতীয় লবণ ব্যবহার করুন এবং কেবল একটির জন্য নয়। যদি আপনি এটি করেন তবে আক্রমণকারীটিকে প্রতিটি অ্যাকাউন্টে অ্যাক্সেস করতে চায় তার অনন্য লবণের সাথে একটি রংধনু টেবিল তৈরি করা উচিত। আপনার পাশ দিয়ে চালাক হয়ে গেলে, আপনি হ্যাশিংটিকে একত্রিত করার জন্য একাধিক হ্যাশ অ্যালগরিদম দিয়ে মশলা দিতে পারেন যাতে কোনও প্রজন্ম আধা সেকেন্ড সময় নিতে পারে। যদি আপনি এটি করেন, আপনার ওয়েবসাইটে কোনও অ্যাকাউন্ট অ্যাক্সেস করা অবশ্যই কয়েক দিনের মূল্য, এই অ্যাকাউন্টের সাথে কোনও মিল খুঁজে পাওয়ার জন্য সম্ভবত হ্যাশগুলি উত্পাদন করার মাস ... আমি কোনও আক্রমণকারীর কথা ভাবতে পারি না যা সমস্ত পাসওয়ার্ড পাওয়ার চেষ্টা করবে যখন তা হবে যে দীর্ঘ নিতে।

হ্যাশিংয়ের সময়ের জন্য: লগইন প্রক্রিয়াটির জন্য 500 মিটার অপেক্ষা করার সময়টি ভাবুন। আমি মনে করি এটি গ্রহণযোগ্য ... (একটি অনুস্মারক: এসএসএলের জন্য প্রায় এক সেকেন্ড একটি হাত কাঁপায়)