যদি একটি পাসওয়ার্ড আপোস করা হয়, একটি "অনুরূপ" পাসওয়ার্ডও আপোস করা হয়?


37

ধরুন একটি ব্যবহারকারী সাইটটি একটি এ একটি সুরক্ষিত পাসওয়ার্ড এবং সাইট বি একটি ভিন্ন কিন্তু অনুরূপ সুরক্ষিত পাসওয়ার্ড হয়তো ভালো কিছু ব্যবহার mySecure12#PasswordAসাইটে একটি এবং mySecure12#PasswordBসাইটে বি ( "আদল" একটি ভিন্ন সংজ্ঞা বিনা দ্বিধায় ব্যবহার করুন যদি এটা জ্ঞান করে তোলে)।

মনে করুন তাহলে সাইটের A এর পাসওয়ার্ডটি কোনওরকমভাবে আপস করা হয়েছে ... সম্ভবত সাইট এ এর ​​কোনও দূষিত কর্মচারী বা সুরক্ষা লিক। এর অর্থ কী এই সাইটের বি এর পাসওয়ার্ডটি কার্যকরভাবে কার্যকরভাবে আপস করা হয়েছে, বা এই প্রসঙ্গে "পাসওয়ার্ডের মিল" বলে কিছু নেই? এটি সাইটের কোনও আপোষ সমঝোতা প্লেইন-পাঠ্য ফাঁস বা হ্যাশ সংস্করণ ছিল কিনা তার কোনও ত্রুটি রয়েছে?

উত্তর:


38

প্রথমে শেষ অংশটির উত্তর দেওয়ার জন্য: হ্যাঁ, যদি প্রকাশিত ডেটাগুলি ক্লিয়ারটেক্সট বনাম হ্যাশ হয় তবে এটি কোনও পার্থক্য করবে। একটি হ্যাশে, আপনি যদি একটি একক চরিত্র পরিবর্তন করেন তবে পুরো হ্যাশ সম্পূর্ণ আলাদা। কোনও আক্রমণকারী পাসওয়ার্ড জানতে পারার একমাত্র উপায় হ্যাশটিকে জোর করে চালানো (অসম্ভব নয়, বিশেষত যদি হ্যাশটি নিরবচ্ছিন্ন থাকে rain রংধনু সারণী দেখুন )।

যতটা মিলের প্রশ্ন, এটি আক্রমণকারী আপনার সম্পর্কে কী জানে তার উপর নির্ভর করবে। যদি আমি এ এর ​​সাইটটিতে আপনার পাসওয়ার্ড পেয়েছি এবং যদি আমি জানি আপনি ব্যবহারকারীর নাম বা এ জাতীয় তৈরির জন্য নির্দিষ্ট নিদর্শনগুলি ব্যবহার করেন তবে আমি আপনার ব্যবহৃত সাইটগুলিতে পাসওয়ার্ডগুলিতে সেই একই কনভেনশনগুলি চেষ্টা করতে পারি।

বিকল্পভাবে, আপনি উপরে যে পাসওয়ার্ডগুলি দিয়েছিলেন তাতে যদি আমি আক্রমণকারী হিসাবে যদি একটি স্পষ্ট প্যাটার্ন দেখতে পাই যা আমি সাধারণ পাসওয়ার্ডের অংশ থেকে পাসওয়ার্ডের একটি সাইট-নির্দিষ্ট অংশটি পৃথক করতে ব্যবহার করতে পারি তবে আমি অবশ্যই একটি কাস্টম পাসওয়ার্ড আক্রমণের সেই অংশটি তৈরি করব তোমাকে.

উদাহরণ হিসাবে, আপনার কাছে একটি সুপার সুরক্ষিত পাসওয়ার্ড রয়েছে যেমন 58htg% HF! C। বিভিন্ন সাইটে এই পাসওয়ার্ডটি ব্যবহার করতে, আপনি শুরুতে একটি সাইট-নির্দিষ্ট আইটেম যুক্ত করুন, যাতে আপনার পাসওয়ার্ডগুলি থাকে: ফেসবুক 58htg% এইচএফ! সি, ওয়েলসফারগো58 এইচটিজি% এইচএফ! সি, বা জিমেইল 58htg% এইচএফ! সি, আপনি বাজি ধরতে পারেন যদি আমি আপনার ফেসবুকটি হ্যাক করুন এবং ফেসবুক 58htg% এইচএফ! সি পান! আমি সেই প্যাটার্নটি দেখতে যাচ্ছি এবং এটি অন্য সাইটগুলিতে ব্যবহার করব যা আমি দেখতে পেলাম যে আপনি ব্যবহার করতে পারেন।

এটি সমস্ত নিচে নেমে আসে। আক্রমণকারীটি কী আপনার সাইটের পাসওয়ার্ডের নির্দিষ্ট অংশ এবং জেনেরিক অংশের কোনও নির্দিষ্ট অংশ দেখতে পাবে?


4
আপনি কেবলমাত্র সর্বত্র পাসওয়ার্ডকে 58htg%HF!cঅকার্যকরভাবে আমার ডিফল্ট রেন্ডার করেছেন , অনেক অনেক ধন্যবাদ
টোবিয়াস কেইনজলার

1
কি দারুন! মতভেদ কি ছিল? কিছুক্ষণ বজ্রপাতের ঝড়ের বাইরে বেরোন না।
কোয়েস্টো

এইচএম, আমার লটারিটি খেলতে হবে যদিও: -7 (+1
বিটিডাব্লু

11

এটি আপনি যা পাচ্ছেন তার উপর নির্ভর করে!

পাসওয়ার্ড অন্যটির মতো কিনা তা নির্ধারণের জন্য একটি নির্বিচারে পদ্ধতি রয়েছে। উদাহরণস্বরূপ বলা যাক যে আপনি একটি পাসওয়ার্ড কার্ড ব্যবহার করেন এবং অন্য কারও কাছে একই থাকে (বা কেবল আপনার কোনটি রয়েছে তা জানেন)। যদি তারা আপনার পাসওয়ার্ডগুলির মধ্যে একটিতে আপোস করে এবং এটি দেখতে পায় যে এটি পাসওয়ার্ড কার্ডের একপাশে এক সারি, তারা সম্ভবত অনুমান করতে পারে (সম্ভবত সঠিকভাবে) আপনার পাসওয়ার্ডগুলিও একই কার্ডে সেই কার্ড থেকে প্রাপ্ত।

তবে, বেশিরভাগ ক্ষেত্রে এটি আসলে কোনও সমস্যা নয়। যদি পরিষেবাতে আপনার পাসওয়ার্ড A কেবলমাত্র একটি একক অক্ষরের দ্বারা পরিষেবা বি তে থাকা পাসওয়ার্ডের থেকে পৃথক হয় এবং উভয় পরিষেবাদি সুরক্ষিত থাকে (যেমন, সোজা হ্যাশ বা প্লেইন টেক্সটের পরিবর্তে আপনার পাসওয়ার্ডের জন্য সল্টযুক্ত হ্যাশগুলি সংরক্ষণ করুন) তবে এটি "গণনামূলকভাবে অক্ষম" পাসওয়ার্ডগুলি অভিন্ন কিনা তা নির্ধারণ করতে, সেগুলি কতটা একই alone

একটি সংক্ষিপ্ত উত্তরটি হ'ল: যদি আপনার পাসওয়ার্ডগুলি কোনও ধরণের প্যাটার্ন অনুসরণ করে তবে হ্যাঁ, সম্ভবত একটি পাসওয়ার্ডের সমঝোতা অন্যের সমঝোতার দিকে পরিচালিত করবে। তবে, এর অর্থ এই নয় যে এটি করা সম্ভব হবে fe তুমি যতক্ষণ পর্যন্ত:

  1. একাধিক পরিষেবার জন্য কখনও একই পাসওয়ার্ড ব্যবহার করবেন না,
  2. আপনার পাসওয়ার্ডগুলির প্রজন্মের মধ্যে কিছু এলোমেলো (কিছুটা হলেও সামান্য হলেও) উপস্থাপন করুন এবং
  3. ক্লিয়ারটেক্সটে আপনার পাসওয়ার্ডগুলি কখনই প্রেরণ বা সংরক্ষণ করবেন না

আপনি শুধু জরিমানা করা উচিত। এবং মনে রাখবেন যে সর্বদা বিভিন্ন পরিষেবার জন্য আলাদা আলাদা পাসওয়ার্ড থাকে everything সবকিছুর জন্য কেবল একই পাসওয়ার্ড ব্যবহার করবেন না, এবং একই পাসওয়ার্ড দু'বার ব্যবহার করবেন না। পাসওয়ার্ডের মতো ব্যবহারকারীর ডেটা সঞ্চয় করার ক্ষেত্রে সেরা নির্বোধগুলি অনুসরণ করতে অস্বীকারকারী মূর্খ সংস্থাগুলি থেকে রক্ষা করা গুরুত্বপূর্ণ।


7

আমার সংক্ষিপ্ত উত্তর হ্যাঁ । উদাহরণস্বরূপ: স্ট্রংপাসওয়ার্ড + গেম ডট কম আপোস,

আমি যদি একজন প্রবর্তক হয় তবে আপনি যে প্যাটার্নটি ব্যবহার করেছেন তা বুঝতে এবং অন্য ওয়েবসাইটগুলিতে চেষ্টা করে দেখতে আমার পক্ষে সত্যিই সহজ। উদাহরণস্বরূপ স্ট্রংপাসওয়ার্ড + পেপাল.কম

আহা! ....

এটি ঠিক করার জন্য আমি ব্যক্তিগতভাবে ব্যবহার করি:

hash ( strongpassword+game.com )
hash ( strongpassword+paypal.com )

হ্যাশ সম্পর্কিত গাণিতিক বৈশিষ্ট্য ব্যবহার করে (আমি sha1 ব্যবহার করি), প্রথম পাসওয়ার্ড জেনে স্ট্রংপাসওয়ার্ড এবং দ্বিতীয় পাসওয়ার্ড আবিষ্কার করা কঠিন is

আপনি যদি আরও বিশদ বিবরণ না করেন তবে আমি পাসওয়ার্ড সুরক্ষা সম্পর্কে একটি ব্লগ এন্ট্রি করেছি যা আপনার প্রশ্নের ঠিক উত্তর দেয়:

http://yannesposito.com/Scratch/en/blog/Password-Management/

আমার সমস্ত পাসওয়ার্ড পরিচালনা করা সহজ করার জন্য আমি কিছু সরঞ্জামও তৈরি করেছিলাম, কারণ আপনার আপোস করা পাসওয়ার্ড পরিবর্তন করতে, পাসওয়ার্ডের সর্বোচ্চ দৈর্ঘ্য ইত্যাদি মনে রাখতে হবে ...


1
SHA-1 আর গণিতগতভাবে নিরাপদ বলে বিবেচিত হয় না।
হ্যালো 71

4
@ হ্যালো 71১ এর কি আপনার কাছে কোনও উত্স আছে? আমি আরও পড়তে আগ্রহী হতে হবে।
nhinkle

tinsology.net/2010/12/is-sha1- স্টিল- অবিশ্বাস্যরূপে একটি সীমাবদ্ধ কেস, তবে কীস স্পেসের প্রথম characters টি অক্ষর অনুসন্ধানের জন্য সক্ষম হওয়া যা ভাড়া সম্পদে দ্রুত তাড়াতাড়ি বোঝায় যে বোটনেট এবং রংধনু টেবিলযুক্ত কেউ সম্ভবত আরও অনেক কিছু করতে পারে । একটি সাধারণ নিয়ম হিসাবে, অন্যান্য সমস্ত জিনিস সমান হ'ল, হ্যাশ / এনক্রিপশন যাই হোক না কেন ব্রুটি ফোর্সের সবচেয়ে বেশি সিপিইউ চক্রকে নষ্ট করে। :)
স্টেফানি

4

এটি আপনি যে সম্পর্কে উদ্বিগ্ন তার উপর নির্ভর করে। বিস্তৃত আকারের জন্য, অন্যের এক সাইট থেকে শংসাপত্র ব্যবহার করে স্বয়ংক্রিয় আক্রমণ, আক্রমণকারী প্রথমে সবচেয়ে সহজ অংশের পরে যাবে - ঠিক একই পাসওয়ার্ড ব্যবহার করা লোক। এটি শেষ হয়ে যাওয়ার পরে, আক্রমণটি যদি এখনও নজরে না আসে তবে আক্রমণকারী তার সাধারণ প্যাটার্নগুলি যা মনে করে তা সন্ধান করবে - সম্ভবত বেস পাসওয়ার্ড + সাইটের মতো কিছু।

একজন চালাক আক্রমণকারী যে নিশ্চিত যে তার আসল আক্রমণ (যেটি আপনার পাসওয়ার্ড পেয়েছে) সে নজরে পড়ে নি, সে খনিত পাসওয়ার্ডগুলি ব্যবহার করার আগে এই প্রক্রিয়াজাত করবে। সেক্ষেত্রে আক্রমণকারীর পক্ষে এটি কতটা স্পষ্ট তা অনুসারে কোনও অনুমানযোগ্য পরিবর্তন বিপজ্জনক।

যদি আপনার পাসওয়ার্ড, বলুন, একটি উপসর্গ প্লাস একটি র্যান্ডম উপাদান হল, এবং আক্রমণকারী এই সন্দেহভাজনদের, এবং আক্রমণকারী অন্য সাইটে আপনার পাসওয়ার্ড হ্যাশ রয়েছে, তারা আপনার অন্য পাসওয়ার্ড সামান্য শুভস্য পেতে পারেন।

অনুমানযোগ্য কিছু হ্যাশ করে আপনি আপনার পাসওয়ার্ড তৈরি করতে পারেন, তবে যদি এই অনুশীলনটি সাধারণ হয়ে যায় বা আপনি আপনার আক্রমণকারীর কাছ থেকে ব্যক্তিগত মনোযোগ পান তবে তা আপনাকে রক্ষা করবে না। কিছু উপায়ে, পাসওয়ার্ড শক্তি জনপ্রিয়তার সালিসির বিষয়।

tl; ডাঃ নিরোধক কিছু করবেন না।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.