এসএসএইচ কী প্রমাণীকরণ পাসওয়ার্ড প্রমাণীকরণের চেয়ে ভাল কেন?

এটি ধারণাগত হিসাবে এটি এত প্রযুক্তিগত প্রশ্ন নয়। আমি বুঝতে পারি যে একটি এসএসএইচ কীতে ব্যবহৃত ক্রিপ্টোগ্রাফি একটি নিয়মিত পাসওয়ার্ডের চেয়ে অনেক বেশি শক্তিশালী তবে কেন এটিকে আরও সুরক্ষিত মনে করা হয় তা আমি বুঝতে পারি না।

আমি পড়া বেশিরভাগ টিউটোরিয়ালগুলিতে পাসওয়ার্ড প্রমাণীকরণের চেয়ে এসএসএইচ কী প্রমাণীকরণ ব্যবহার করার পরামর্শ দেয়। তবে আমার বোধগম্যতা হল যে যার পরে পূর্ব-অনুমোদিত ক্লায়েন্ট মেশিনে অ্যাক্সেস রয়েছে তারা সার্ভারের সাথে সংযোগ করতে সক্ষম হবেন, যার অর্থ এসএসএইচ কী দ্বারা প্রদত্ত সুরক্ষার স্তরটি শারীরিক সুরক্ষার মাত্রার মতোই শক্তিশালী ক্লায়েন্ট মেশিন।

উদাহরণস্বরূপ, আমি যদি আমার হোম মেশিনে সংযোগ রাখতে আমার ফোনে একটি এসএসএইচ কী সেটআপ করি তবে আমার যদি ফোনটি হারিয়ে যায় এবং কেউ যদি এটি আনলক করতে পরিচালিত করে, তবে তারা আমার হোম মেশিনে সংযোগ করতে সক্ষম হবে। আমি জানি আমি তার পরে আমার বাড়ির মেশিন থেকে আমার ফোনের চাবিটি সরিয়ে ফেলতে পারি, তবে ক্লায়েন্টের ডিভাইসটি হারিয়ে যাওয়া / লঙ্ঘন না হওয়া পর্যন্ত আমি দুর্বল।

আমি কি কিছু ভুল বুঝেছি, বা সেগুলি বৈধ উদ্বেগ?

যদি আপনার এসএসএইচ পরিষেবা পাসওয়ার্ড ভিত্তিক প্রমাণীকরণের অনুমতি দেয়, তবে আপনার ইন্টারনেট সংযুক্ত এসএসএইচ সার্ভারটি বট-নেট দ্বারা ব্যবহারকারী-নাম এবং পাসওয়ার্ডগুলি অনুমান করার চেষ্টা করে দিনরাত হামার করা হবে। বট নেট কোনও তথ্যের প্রয়োজন নেই, এটি কেবল জনপ্রিয় নাম এবং জনপ্রিয় পাসওয়ার্ড চেষ্টা করতে পারে। কিউওয়ারটি ১২৩ এর পাসওয়ার্ড সহ জন নামে প্রচুর লোক রয়েছে। অন্য কিছু বাদে এটি আপনার লগগুলিকে আটকে দেয়।

যদি আপনার এসএসএইচ পরিষেবা কেবল সর্বজনীন-কী প্রমাণীকরণের অনুমতি দেয় তবে আক্রমণকারীটির সার্ভারে সঞ্চিত একটি পাবলিক কী সম্পর্কিত একটি প্রাইভেট কী এর অনুলিপি প্রয়োজন। তারা কেবল এলোমেলো আক্রমণ করতে পারে না, তাদের আপনার ব্যবহারকারীদের পূর্ব জ্ঞান থাকতে হবে এবং আপনার এসএসএইচ সার্ভারের কোনও অনুমোদিত ব্যবহারকারীর পিসি থেকে একটি ব্যক্তিগত কী চুরি করতে সক্ষম হতে হবে।

ব্যক্তিগত কীগুলি প্রায়শই দীর্ঘ পাস-বাক্যাংশ দ্বারা সুরক্ষিত থাকে তা গৌণ তাত্পর্যপূর্ণ।

হালনাগাদ:

যেমন মন্তব্যগুলি উল্লেখ করেছে এবং যেমনটি আমি অভিজ্ঞ হয়েছি, আপনার এসএসএইচ পরিষেবাটি 22 নাম্বার থেকে উচ্চতর সংখ্যক বন্দরে নিয়ে যাওয়া আপনার লগগুলিতে উপস্থিত হওয়া অননুমোদিত লগইন প্রচেষ্টাগুলির সংখ্যায় নাটকীয় পার্থক্য তৈরি করে। এটি করা মূল্যবান তবে আমি এটিকে অস্পষ্টতার দ্বারা সুরক্ষার একটি রূপ হিসাবে বিবেচনা করি (সুরক্ষার ভ্রান্ত ধারণা) - শীঘ্রই বা পরে বট-নেটগুলি ধীরে ধীরে স্টিলথিলি পোর্ট-স্ক্যানিং বাস্তবায়ন করবে বা আপনি ইচ্ছাকৃতভাবে লক্ষ্যবস্তু হবেন। ভাল প্রস্তুত করা।

আমি আমার ব্যক্তিগত কীটি সুরক্ষিত করতে সর্বদা একটি দীর্ঘ পাস-বাক্যাংশ ব্যবহার করি, আমার ধারণা আমি মোবাইল ডিভাইসগুলিতে এটি বিশেষ গুরুত্ব দেয় যা আরও সহজেই হারিয়ে যায় বা চুরি হতে পারে।

এছাড়াও, http://xkcd.com/538/

যুক্তিটি হ'ল পাসওয়ার্ডের চেয়ে এসএসএইচ কীগুলির অনেক বেশি সংমিশ্রণ রয়েছে সুতরাং এটি অনুমান করা অনেক কঠিন। এসএসএইচ কী ব্যবহার করে আপনাকে পাসওয়ার্ড প্রমাণীকরণ অক্ষম করতে দেয় যার অর্থ ইন্টারনেটের চারপাশে চলে যাওয়া বেশিরভাগ স্বয়ংক্রিয় আক্রমণগুলি অকেজো হবে।

শারীরিক সুরক্ষার সাথে সম্পর্কিত কোনও পাসওয়ার্ড সংরক্ষণ করা এবং আপনার ডিভাইসে একটি এনক্রিপ্ট করা এসএসএইচ কী হারিয়ে যাওয়া বা চুরি হয়ে যাওয়ার মধ্যে কোনও পার্থক্য নেই। আপনার একমাত্র সুবিধাটি হ'ল কারও কাছে আপনার পাসওয়ার্ড নেই এবং আপনি তাত্ত্বিকভাবে নিশ্চিত করতে পারেন যে সমস্ত ডিভাইসে আলাদা আলাদা এসএসএইচ শংসাপত্র রয়েছে যাতে আপনি কেবল আপনার ফোনের জন্য একটিটি অক্ষম করতে পারেন।

আমি বিশ্বাস করি এসএসএইচ কী পাসওয়ার্ড রক্ষা করাও সম্ভব।

আপনার কীবোর্ডকে "আপনার কাঁধের ওপরে" নজরদারি করার মাধ্যমে পাসওয়ার্ডগুলি আপোস করা যায়। এছাড়াও, অনেক জায়গায় একই পাসওয়ার্ড ব্যবহার করা দুর্বলতা, বিশেষত যদি পাসওয়ার্ডটি কখনও কখনও সম্ভাব্য কীলগারগুলির সাথে কম সুরক্ষিত কম্পিউটারে ব্যবহৃত হয়।

আপনি ঠিক বলেছেন যে কম্পিউটারটি চুরি হয়ে গেলে একটি এনক্রিপ্ট করা কী হার্ডডিস্ক থেকে পড়তে পারে - সুতরাং এটি একটি পাসওয়ার্ড দিয়ে এনক্রিপ্ট করুন।

যদি আপনার কম্পিউটারটি ম্যালওয়্যার দ্বারা আপোস করা হয় তবে আপনি নির্বিশেষে স্টাফ করেছেন .. - কেউ এনক্রিপ্ট করা কীটি পেতে এবং আপনার পাসওয়ার্ড কীলগ করতে পারে।