কোনও ব্যবহারকারীর নাম / পাসওয়ার্ড ছাড়াই সুরক্ষা?

5

আমার একটি ওয়েব অ্যাপ রয়েছে যার জন্য সাধারণ ওয়েব অ্যাপ্লিকেশনের বাইরে সুরক্ষা প্রয়োজন। যে কোনও ব্যবহারকারী ডোমেন নামটি দেখার জন্য এগুলি দুটি পাঠ্য ক্ষেত্র, একটি ব্যবহারকারীর নাম ক্ষেত্র এবং একটি পাসওয়ার্ড ক্ষেত্রের সাথে উপস্থাপিত হয়। যদি তারা কোনও বৈধ ব্যবহারকারী / পাস প্রবেশ করে তবে তারা ওয়েব অ্যাপ্লিকেশনটিতে অ্যাক্সেস পান। স্ট্যান্ডার্ড স্টাফ

তবে আমি এই মানক সেটআপের বাইরে অতিরিক্ত সুরক্ষা খুঁজছি। আদর্শভাবে এটি একটি সফ্টওয়্যার সমাধান হতে পারে তবে আমি হার্ডওয়্যার সমাধানের জন্যও খোলা (হার্ডওয়্যার = কী ফোব), বা এমনকি পদ্ধতিগত পরিবর্তনগুলি (উদাহরণস্বরূপ একটি পাসওয়ার্ড প্যাডে পাসওয়ার্ড ব্যবহার করার জন্য)।

ওয়েবঅ্যাপটি স্বতন্ত্র যে এর আগে আমরা আমাদের সকল ব্যবহারকারীকে সময়ের আগে জানি এবং আমরা তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড তৈরি করে তা তাদের দিয়ে দেব। এই অর্থে, আমরা নিশ্চিত হতে পারি যে ব্যবহারকারীর নাম এবং পাসওয়ার্ড "শক্তিশালী"।

তবে আমাদের ক্লায়েন্টরা এর বাইরেও অতিরিক্ত সুরক্ষার জন্য অনুরোধ করেছে। সুরক্ষায় জটিলতার আরও একটি স্তর কীভাবে যুক্ত করবেন সে সম্পর্কে কারও কোনও ধারণা আছে?

security  passwords  website  web  web-application 
bluedevil2k
সূত্র
7
ওয়েব অ্যাপ্লিকেশন বন্ধ করার জন্য ভোট দেওয়া প্রত্যেকের কাছে। ওয়েব অ্যাপ্লিকেশনগুলিকে উল্লেখ করে প্রতিটি প্রশ্নের স্থানান্তরিত করার প্রয়োজন হয় না, কিছু প্রশ্ন যেমন এর মতো, সুপার ইউজারের জন্য 100% বৈধ।
বাইনারিমিসফিট
@ ডায়াগো - আমি মনে করি আপনি ঠিক বলেছেন যে এটি সত্যই ওয়েব অ্যাপ্সের উপাদান নয়। তবে আমি নিশ্চিত নই যে এটি সুপার ইউজারের সাথে সম্পর্কিত। আমি মনে করি স্ট্যাক ওভারফ্লো সম্ভবত সেরা ফিট, কারণ তিনি আসলে নিজের ওয়েবসাইট তৈরি করছেন।
জোয়েল কোহর্ন
@ জোয়েল আমি এটিকে স্থানান্তরিত করার জন্য প্রলুব্ধ হয়েছি, তবে ভাষা ইত্যাদির অভাবের কারণে আমি নিশ্চিত নই এবং যেহেতু এটি সার্ভার স্তরে সম্ভাব্যভাবে করা যেতে পারে।
বাইনারিমিসফিট

উত্তর:

10

বিল্ডিং অন ড্যান বলেছেন, জটিলতা যুক্ত করে কোনও অতিরিক্ত সুরক্ষা পাবেন না। প্রমাণীকরণের অতিরিক্ত উপাদানগুলির আপনার প্রয়োজন । বিভিন্ন সমাধানের একটি তালিকা এবং অনুশীলনের উপর একটি সাধারণ বিবরণের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ পরীক্ষা করে দেখুন । সচেতনতা 3 টি প্রধান বিভাগে বিভক্ত:

  • কিছু আছে (কীফব, স্মার্টকার্ড, সেল ফোন)
  • কিছু জানুন (পাসওয়ার্ড, ডিজিটাল শংসাপত্র (এটি কেবলমাত্র একটি দীর্ঘ পাসওয়ার্ড!))
  • কেউ হোন (আঙুলের ছাপ, রেটিনা মুদ্রণ)

সাধারণ sensকমত্যটি হ'ল নির্ভরযোগ্য সুরক্ষার জন্য আপনার কমপক্ষে দু'জনের প্রাক্তন প্রয়োজন। সদৃশগুলি অকেজো (দুটি পাসওয়ার্ড একের চেয়ে ভাল নয় Two দুটি কীফব একের চেয়ে ভাল নয়)। আপনি একটি পাসওয়ার্ড ফিশ করতে পারেন, তবে একটি ঘূর্ণায়মান নম্বর কীফব ব্যবহারের সীমাবদ্ধ করে। আপনি কাউকে নক করতে পারেন এবং আঙুলের ছাপ (ইয়ে হলিউড সিনেমাগুলি) চুরি করতে পারেন, তবে তারপরে আপনি তাদের পাসওয়ার্ড পেতে পারেন না।

দ্রষ্টব্য, কীফবগুলি ব্যবহারকারীর কীচেইনে অন্য ডিভাইস হওয়া উচিত নয়, কেবল তাদের কম্পিউটার থেকে আলাদা ডিভাইস এবং কোথাও যে তাদের পাসওয়ার্ড কখনও সংরক্ষণ করা হয় না । স্মার্টফোনগুলি সাধারণত এই বিলে ফিট থাকে এবং আপনি যদি এমন কোনও অ্যাপ্লিকেশন বিকাশ করতে পারেন যা ব্যবহারকারীর স্মার্টফোনে চলে, তবে আপনি কিছুটা ব্যয় হ্রাস করতে সক্ষম হতে পারেন। এটি নির্ভর করে যে কত বড় স্থাপনার সংস্থার প্রয়োজন on

এছাড়াও, আপনি যে দেবতার পূজা করেন তার ভালবাসার জন্য সর্বাধিক পাসওয়ার্ড দৈর্ঘ্য প্রয়োগ করে না।

দারথ অ্যান্ড্রয়েড
সূত্র
2

যেহেতু মোবাইল ফোনগুলি আজকাল ইন্টারনেট অ্যাক্সেস সহ বেশিরভাগ স্থানে প্রচলিত রয়েছে,
তাই দ্বি-ফ্যাক্টর প্রমাণীকরণ প্রক্রিয়াটি দেখে বোঝা যায় যা মোবাইল ফোনটি দ্বিতীয় পয়েন্ট হিসাবে ব্যবহার করবে।

এমনকি গুগল সম্প্রতি সেই বৃত্তটিতে প্রবেশ করেছে

এমন কিছু ক্ষেত্রে রয়েছে যখন ফোনটি অ্যাক্সেসযোগ্য না হয় বা আপনি গ্রাহকটিকে মোবাইল দ্বিতীয় ফ্যাক্টর সিকোয়েন্সের সময়ের ব্যবধানে অপেক্ষা করতে চান না।
এখানে এমন একটি কৌশল যা ইতিমধ্যে পেটেন্ট করা যেতে পারে এবং / অথবা ব্যাপক ব্যবহারে :-)
আমি মনে করি টেক-উপস্থাপনায় এমন একটি স্কিম দেখানো হয়েছিল যা একটি সময়ের জন্য কোড ব্যবহার করেছিল যা গ্রাহকের কাছে সময়ের আগে পাঠানো হয়েছিল। যখন তারা তাদের কাছে উপলব্ধ একটি ব্যবহার করে, তখন নতুনটি তাদের সেলফোনগুলিতে প্রেরণ করা হত - যখন এই প্রেরণটি ঘটেছিল তখন আগেরটির মেয়াদ শেষ হয়ে যায়। এটি একটি খুব সাধারণ এবং আকর্ষণীয় পরিকল্পনা ছিল।

এটি জেনে রাখা গুরুত্বপূর্ণ যে দুটি বা মাল্টি-ফ্যাক্টর প্রমাণীকরণগুলি কোনও ভাল পাসওয়ার্ডের গুরুত্ব হ্রাস করে না যা ব্যবহারকারী আরও সুরক্ষিত করতে শেখেন।

অন্যদিকে, আমি শুনেছি যে লোকেরা তাদের হার্ডওয়্যার ফোবগুলি ভুলভাবে স্থাপন করেছে যা 8 ডিজিটের প্রমাণীকরণের সিকোয়েন্সগুলি সরিয়ে ফেলেছে যখন তারা তাদের এখনকার-অত-সমালোচিত পাসওয়ার্ডগুলি খোলা (বা তাদের ওয়ালেটে) রেখে দিয়েছে। সুতরাং, দ্বিতীয়-ফ্যাক্টরের সাহায্যে লোকেরা কখনও কখনও এই ভাবনাতে ভুল সুরক্ষা অনুভব করতে পারে যে তারা তাদের প্রবাদ বাক্য ডিমগুলি বিভিন্ন ঝুড়িতে ছড়িয়ে দিয়েছে।

Nik
সূত্র
সিটবেল্ট প্রবর্তনের ফলে লোকেরা আরও বেপরোয়াভাবে গাড়ি চালাচ্ছিল যার ফলে অনেক বেশি দুর্ঘটনা ঘটেছিল ... তবে আমি তাদের পক্ষে ওকালতি করব। ভাগ্যক্রমে ফোবটি নিজেই অকেজো, যে ব্যক্তি এটি খুঁজে পেয়েছিল তা আপনাকে জানতে হবে আপনি কে, আপনি কোথায় কাজ করছেন, আপনার ব্যবহারকারীর নাম কী ... এবং তাদের আপনার অনর্থক সঞ্চিত পাসওয়ার্ডের উপরও হোঁচট খেতে হবে। আপনার ফোব হারিয়ে যাওয়ার রিপোর্ট করার আগে সমস্ত। তবে আপনার পয়েন্টটি এখনও বৈধ যে লোকেরা তাদের পাসওয়ার্ডগুলি দিয়ে opালু পেতে পারে।
জারভিন
1
@ ড্যান, আমি এর সাথে একমত সুরক্ষা একটি জটিল মুদ্রা। দুটি ফ্যাক্টর auth একটি দরকারী এবং গুরুত্বপূর্ণ কৌশল। ব্যবহারকারীর অবশ্যই সমস্ত 'উপাদানগুলি' সমানভাবে রক্ষা করতে হবে - অন্তত, একজন দুর্বল-লিঙ্কে পরিণত হয়; যেমন তারা অন্যকে অতিরিক্ত অনুমান করে। (পিএস: কোনও ফোব এটি মালিকের ডেস্কে সুরক্ষিত অবস্থায় রেখে গেলেও ভুল-স্থান হিসাবে বিবেচনা করা উচিত)।
নিক
1

হার্ডওয়্যার ছাড়াও, সর্বাধিক অতিরিক্ত সুরক্ষার ব্যবস্থা ব্যবহারকারীদের 1 টির পরিবর্তে 2 টি পাসওয়ার্ড রাখতে বলার পরিমাণ As যতক্ষণ না তাদের কাছে শক্তিশালী পাসওয়ার্ড থাকে, এটি কোনও মূল্যই যুক্ত করে না। অন্যান্য উদ্দেশ্যে অন্যান্য নির্দিষ্ট সুরক্ষা ব্যবস্থা রয়েছে। আমার ব্যাঙ্কের মতো, আমি প্রথমে আমার ব্যবহারকারীর নামটি টাইপ করি এবং তারপরে আমি একটি ছবি নির্বাচন করেছি যা আমার কাছে "প্রমাণিত" হয়ে যায় যে আমি সঠিক ওয়েবসাইটে আছি। তবে এটি সহজেই একটি অবৈধ ওয়েবসাইটের সাথে পরাজিত হয়েছে যা আইনী ওয়েবসাইট থেকে আমার ছবি পুনরুদ্ধার করে।

শেষ পর্যন্ত আমি মনে করি না যে কোনও সফটওয়্যার দিক থেকে সুরক্ষা যোগ করার জন্য আপনি কিছু করতে পারেন (সাধারণ পদ্ধতিগুলি বাদে কখনও কখনও প্লেইনেক্সট পাসওয়ার্ড সংরক্ষণ না করা, https ইত্যাদি ব্যবহার করা) কেবলমাত্র একটি শক্তিশালী পাসওয়ার্ড জোর করার চেয়ে ভাল।

এটি বলেছিল, সুরক্ষার উপস্থিতি যুক্ত করতে আপনি অনেক কিছুই করতে পারেন। কিছু ব্যাংক আপনার উত্তরটি সুরক্ষা প্রশ্ন তৈরি করার পাশাপাশি আপনার পাসওয়ার্ড টাইপ করে। আইপি ফিল্টারিংয়ের মতো সফ্টওয়্যার ব্যবহার করে সত্যিকারের সুরক্ষা যুক্ত করার বেশ কয়েকটি উপায় রয়েছে তবে বেশিরভাগ ওয়েব অ্যাপ্লিকেশনগুলির জন্য এটি ব্যবহারিক নয়।

যেমনটি আপনি বলেছেন যে এখানে বেশ কয়েকটি হার্ডওয়্যার সমাধান রয়েছে যেমন কী ফোবস। আপনি যদি সুরক্ষার অতিরিক্ত অতিরিক্ত স্তর যুক্ত করতে চান তবে আমি বিশ্বাস করি এটি আপনার সেরা বিকল্প।

Jarvin
সূত্র
1

দ্বি-ফ্যাক্টর প্রমাণীকরণ রয়েছে যেখানে ২ য় ফ্যাক্টরটি "টিএএন টেবিল" (লেনদেনের প্রমাণীকরণ নম্বর টেবিল)। এটিকে ডিজিটাল টিএএন টোকেনের চূড়ান্ত নিম্ন প্রযুক্তির বৈকল্পিক বা ২ য় ফ্যাক্টর হিসাবে মোবাইল ফোন ব্যবহারের সমান স্বল্প প্রযুক্তির বৈকল্পিক হিসাবে বিবেচনা করুন।

এটি ক্রসওয়ার্ডের মতো কিছু - আপনি ২ য় ফ্যাক্টর কোডটি টেবিলের মধ্যে হরাইজ্টসোনাল এবং উল্লম্ব চ্যালেঞ্জ সংখ্যার সাহায্যে মিশ্রিত করুন। :-) একটি ক্রোয়েশিয়ান ব্যাংক (এরস্টে এবং স্টিয়ারমার্কিচে) এটি ব্যবহার করে, অন্যরা এখানে স্মার্টকার্ড এবং টোকেন প্রমাণীকরণ ব্যবহার করে (২ য় হিসাবে নয় তবে অনকি ফ্যাক্টর)।

বেদরান ক্রিভোকুয়া
সূত্র
এক সেকেন্ড অপেক্ষা করুন, ক্রোয়েশিয়ান ব্যাংকগুলি স্মার্টকার্ড সহ পিন ব্যবহার করে না?
AndrejaKo
তারা করে. ভুল বুঝাবুঝির জন্য দুঃখিত. তারা কম্বো টোকেন + স্মার্টকার্ড ব্যবহার করে না, তবে প্রতিটি পৃথক প্রক্রিয়া হিসাবে। টোকেনগুলি বেশিরভাগ ব্যবসায়ের জন্য "সিভিল" ব্যাংকিং (নাগরিক, ব্যক্তি) এবং পিন সহ স্মার্টকার্ডগুলির জন্য ব্যবহৃত হয়। এবং কখনও কখনও বিপরীত এবং কখনও কখনও উভয়। তবে এরস্টে ভিন্ন, তারা একমাত্র ট্যান টেবিল ব্যবহার করে।
বেদরান ক্রিভোকুয়া
0

এটির মতো মনে হচ্ছে আপনার ব্যবসায়ের ক্লায়েন্ট রয়েছে যা সর্বদা একটি ব্যবসায়ের নেটওয়ার্কের পিছনে থেকে সংযুক্ত থাকবে ... এমন একটি নেটওয়ার্ক যা সম্ভবত স্ট্যাটিক আইপি রাখে। অতএব আপনি কেবলমাত্র সেই আইপি ঠিকানা থেকে চেষ্টা করার পরে কেবল ব্যবহারকারীর নাম / পাসওয়ার্ড সংমিশ্রণগুলিকে সীমাবদ্ধ করতে পারেন। এটি সংস্থার মধ্যে কাউকে অ্যাক্সেস পেতে বাধা দেবে না, তবে এটি ইন্টারনেটে এমন একটি এলোমেলো জো বন্ধ করে দেবে যাঁর একটি পাসওয়ার্ড খুঁজে পেতে পারে।

আপনি যাই করুন না কেন, এই পরিস্থিতির জন্য আমার স্বাভাবিক পরামর্শটি এটি নিজে প্রয়োগ করবেন না। সুরক্ষা সিস্টেমগুলি ভুলভাবে প্রয়োগ করা অবিশ্বাস্যভাবে সহজ , যেমন তারা আপনার সমস্ত পরীক্ষায় উত্তীর্ণ হয় এবং আপনি হ্যাক হওয়ার ছয় মাস অবধি কোনও কিছু ভুল বলেও জানেন না। এটিকে এমন কোনও সংস্থার কাছে ছেড়ে দিন যা এই ধরণের সিস্টেমটিকে তাদের প্রাথমিক পণ্য হিসাবে তৈরি করে। অন্য কথায়: আপনি "কিনুন, বিল্ড নন" পরিস্থিতির মধ্যে রয়েছেন।

জোয়েল কোহোর্ন
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.