පසුකාලීන සාමාන්‍ය පෙළ නැවත ලබා ගැනීම සඳහා පරිශීලක මුරපද ගබඩාවට ආචාරධාර්මිකව ප්‍රවේශ විය යුත්තේ කෙසේද?

1344

මම වැඩි වැඩියෙන් වෙබ් අඩවි සහ වෙබ් යෙදුම් තැනීම දිගටම කරගෙන යද්දී පරිශීලකයාගේ මුරපද පරිශීලකයාට ගැටළුවක් ඇති වූ විට ඒවා ලබා ගත හැකි වන පරිදි ගබඩා කර තබන ලෙස මාගෙන් නිතර අසනු ලැබේ (අමතක වූ මුරපද සබැඳියක් විද්‍යුත් තැපෑලෙන් යැවීමට, ඒවා හරහා ගමන් කරන්න දුරකථනය, ආදිය.) මට මෙම භාවිතයට එරෙහිව දැඩි ලෙස සටන් කළ හැකි අතර, මුරපද යළි පිහිටුවීම සහ පරිපාලනමය සහාය ලබා දීම සඳහා ඔවුන්ගේ 'මුරපදය' ගබඩා නොකරමින් මම 'අමතර' වැඩසටහන් රාශියක් කරමි.

මට එයට එරෙහිව සටන් කිරීමට නොහැකි වූ විට (හෝ ජයගත නොහැකි වූ විට) මම සෑම විටම මුරපදය යම් ආකාරයකින් සංකේතවත් කරමි, එවිට එය අවම වශයෙන් දත්ත ගබඩාවේ සාමාන්‍ය පෙළ ලෙස ගබඩා නොකෙරේ - මගේ ඩීබී හැක් වුවහොත් වැරදිකරුවාට මුරපද බිඳ දැමීමට වැඩි කාලයක් ගත නොවනු ඇත, එමගින් මා අපහසුතාවයට පත් කරයි.

පරිපූර්ණ ලෝකයක සිටින පුද්ගලයින් නිතරම මුරපද යාවත්කාලීන කරන අතර ඒවා විවිධ වෙබ් අඩවි හරහා අනුපිටපත් නොකරනු ඇත - අවාසනාවකට මෙන් එකම වැඩ / නිවාස / විද්‍යුත් තැපැල් / බැංකු මුරපද ඇති බොහෝ පුද්ගලයින් මම දනිමි, ඔවුන්ට උදව් අවශ්‍ය වූ විට පවා එය මට නොමිලයේ ලබා දී ඇත. කිසියම් හේතුවක් නිසා මගේ ඩීබී ආරක්ෂණ ක්‍රියා පටිපාටි අසමත් වුවහොත් ඔවුන්ගේ මූල්‍ය විනාශයට වගකිව යුතු තැනැත්තා වීමට මට අවශ්‍ය නැත.

සදාචාරාත්මකව හා සදාචාරාත්මකව, සමහර පරිශීලකයින්ට ඔවුන්ගේ ජීවනෝපාය විය හැකි දේ ආරක්ෂා කිරීමට වගකිව යුතු යැයි මට හැඟේ. ලුණු හැෂ් සහ විවිධ කේතීකරණ විකල්පයන් සඳහා ප්‍රවේශ වීමට බොහෝ මාර්ග සහ තර්ක ඇති බව මට විශ්වාසයි, නමුත් ඔබට ඒවා ගබඩා කිරීමට සිදු වූ විට තනි 'හොඳම භාවිතයක්' තිබේද? සෑම අවස්ථාවකම පාහේ මම PHP සහ MySQL භාවිතා කරමි, එමඟින් මම විශේෂතා හැසිරවිය යුතු ආකාරයෙහි යම් වෙනසක් සිදු වේ.

ත්‍යාග සඳහා අමතර තොරතුරු

මෙය ඔබට කළ යුතු දෙයක් නොවන බවත් බොහෝ විට එසේ කිරීම ප්‍රතික්ෂේප කිරීම වඩාත් සුදුසු බවත් මම දනිමි. කෙසේ වෙතත්, මම මෙම ප්‍රවේශය ලබා ගැනීමේ සුදුසුකම් පිළිබඳ දේශනයක් සොයන්නේ නැත, ඔබ මෙම ප්‍රවේශය ගන්නේ නම් ගත යුතු හොඳම පියවර මම සොයමි.

වෙබ් අඩවි බොහෝ දුරට වැඩිහිටියන්, මානසික ආබාධිතයන් හෝ ඉතා තරුණ අය වෙත යොමු කර ඇති බව මම පහත සටහනක සඳහන් කළෙමි. ආරක්ෂිත මුරපද ප්‍රතිසාධන ක්‍රියාවලියක් සිදු කරන ලෙස ජනතාවගෙන් ඉල්ලා සිටින විට ඔවුන් ව්‍යාකූල විය හැකිය. එවැනි අවස්ථාවන්හිදී අපට එය සරල හා ලෞකික යැයි පෙනෙන්නට තිබුණද, සමහර පරිශීලකයින්ට සේවා තාක්‍ෂණයක් තිබීම පද්ධතියට උදව් කිරීම හෝ එය විද්‍යුත් තැපෑලෙන් / සෘජුවම ඔවුන්ට ප්‍රදර්ශනය කිරීම සඳහා අමතර සහාය අවශ්‍ය වේ.

එවැනි පද්ධති වලදී පරිශීලකයින්ට මෙම මට්ටමේ ප්‍රවේශ සහය ලබා නොදුනහොත් මෙම සංඛ්‍යාලේඛනවල ආරෝපණ අනුපාතය යෙදුමට බාධා පමුණුවනු ඇත, එබැවින් කරුණාකර එවැනි සැකසුමක් මනසේ තබා පිළිතුරු දෙන්න.

සැමට ස්තූතියි

මෙය බොහෝ විවාදයන්ගෙන් යුත් විනෝදජනක ප්‍රශ්නයක් වන අතර මම එය භුක්ති වින්දා. අවසානයේදී මම මුරපදයේ ආරක්ෂාව රඳවා තබා ගන්නා පිළිතුරක් තෝරා ගත්තෙමි (මට සරල පෙළ හෝ නැවත ලබා ගත හැකි මුරපද තබා ගැනීමට අවශ්‍ය නොවනු ඇත), නමුත් මා විසින් සොයාගත් ප්‍රධාන අඩුපාඩු නොමැතිව පද්ධතියකට පිවිසීමට මා නියම කළ පරිශීලක පදනමට ඉඩ සලසයි. සාමාන්‍ය මුරපද ප්‍රතිසාධනය.

සෑම විටම මෙන් විවිධ හේතු නිසා නිවැරදි යැයි සලකුණු කිරීමට මා කැමති පිළිතුරු 5 ක් පමණ තිබුනි, නමුත් මට හොඳම එක තෝරා ගැනීමට සිදු විය - අනෙක් සියල්ලටම +1 ලැබුණි. සියලු දෙනාටම ස්තුතියි!

එසේම, මෙම ප්‍රශ්නයට ඡන්දය දුන් සහ / හෝ එය ප්‍රියතම එකක් ලෙස සලකුණු කළ ස්ටැක් ප්‍රජාවේ සැමට ස්තූතියි. මම ඡන්ද 100 ක් ලබා ගැනීම ප්‍රශංසා කිරීමක් ලෙස සලකන අතර, මෙම සාකච්ඡාව මා තුළ තිබූ එකම සැලකිල්ලෙන් වෙනත් කෙනෙකුට උපකාර කරනු ඇතැයි මම බලාපොරොත්තු වෙමි.

security  password-encryption  password-storage 
ෂේන්
source
155
මම හිතන්නේ එය හොඳ නැති බව ඔහු දන්නවා. ඔහු තවමත් ප්‍රකාශිත අවශ්‍යතා යටතේ හොඳම විසඳුම සොයමින් සිටී.
stefanw
33
දවස අවසානයේදී ඔබ කරන්නේ වැළැක්විය හැකි අවදානමක් ප්‍රවේශමෙන් ක්‍රියාත්මක කිරීමයි.
රූක්
20
Ic මයිකල් බ ok ක්ස් - මම සී.ඩබ්ලිව්.ඊ -257 සමඟ සම්පුර්ණයෙන්ම එකඟ වන බව ඔබ දැන ගැනීමට මට අවශ්‍යය. මුරපද සාමාන්‍ය පෙළ ලෙස නැවත ලබා ගත හැකි යැයි මාගෙන් ඉල්ලා සිටින සෑම අවස්ථාවකම එම වාචික උපුටා දැක්වීමට කැමතියි. කෙසේ වෙතත්, යථාර්ථය නම්, සේවාදායකයින් සහ පරිශීලකයින් කලාතුරකින් NIST රෙගුලාසි ගැන උනන්දුවක් දක්වන අතර මට එය කෙසේ හෝ කිරීමට අවශ්‍යය. 90% ක් මට වෙනත් ආකාරයකින් ඒත්තු ගැන්විය හැකි නමුත් එම 10% කාලය තුළ මට ගත නොහැකි හොඳම ක්‍රියාමාර්ගය තීරණය කිරීමට මම උත්සාහ කරමි - එවැනි අවස්ථාවල දී CWE-257 මගේ අතේ අළු වේ (අවාසනාවකට මෙන්).
ෂේන්
81
V අවිඩ්: මිනිසුන්ගේ මුරපද නැවත භාවිතා කරන නිසා පද්ධතියේ “අඩු වටිනාකම” මෙම ගැටලුවට කිසිසේත්ම බලපාන්නේ නැත . මිනිසුන්ට මෙම සරල කාරණය තේරුම් ගත නොහැක්කේ ඇයි? ඔබ යම් "අඩු වටිනාකමක්" සහිත පද්ධතියක මුරපද බිඳ දැමුවහොත්, ඔබට වෙනත් "ඉහළ වටිනාකම්" පද්ධති සඳහා වලංගු මුරපද කිහිපයක් තිබිය හැක.
ආරොනොට්
20
මගේ පිළිතුරට අදහස් දැක්වීමේ ප්‍රවාහයේ මා සඳහන් කළ තවත් කරුණක් ද විස්තර කර ඇත: මෙම අවශ්‍යතා ඉල්ලා සිටින පුද්ගලයා විශ්වාසවන්ත බව ඔබ දන්නේ කෙසේද? “උපයෝගීතා” නිදහසට කරුණ නම් අනාගතයේ යම් අවස්ථාවක දී මුරපද සොරකම් කිරීමේ සැබෑ අභිප්‍රාය වසං කිරීමකි. ඔබේ අහිංසක පාරිභෝගිකයින්ට සහ කොටස් හිමියන්ට මිලියන ගණනක් වැය කිරීමට ඉඩ ඇත. අවසාන වශයෙන් ගිලෙන්නට පෙර ආරක්ෂක විශේෂ experts යින් මෙය කී වතාවක් පුනරාවර්තනය කළ යුතුද: වඩාත් සුලභ හා බරපතල ආරක්ෂක තර්ජන සැමවිටම අභ්‍යන්තරය.
ආරොනොට්

Answers:

1037

මෙම ගැටලුවේදී වෙනත් ප්‍රවේශයක් හෝ කෝණයක් ගැනීම ගැන කුමක් කිව හැකිද? මුරපදය සාමාන්‍ය පෙළෙහි තිබිය යුත්තේ මන්දැයි විමසන්න: පරිශීලකයාට මුරපදය ලබා ගත හැකි නම්, තදින් කථා කිරීම නම් ඔවුන් සැකසූ මුරපදය ලබා ගැනීමට ඔබට අවශ්‍ය නැත (එය කෙසේ වෙතත් එය කුමක්දැයි ඔවුන්ට මතක නැත), ඔබ ඔවුන්ට භාවිතා කළ හැකි මුරපදයක් ලබා දීමට හැකි විය යුතුය .

ඒ ගැන සිතන්න: පරිශීලකයාට මුරපදය ලබා ගැනීමට අවශ්‍ය නම්, එය ඔවුන්ට අමතක වී ඇති බැවිනි. කුමන අවස්ථාවකදී නව මුරපදයක් පැරණි එක මෙන් හොඳ ය. නමුත් අද භාවිතා කරන පොදු මුරපද යළි පිහිටුවීමේ යාන්ත්‍රණයේ එක් අඩුපාඩුවක් නම්, යළි පිහිටුවීමේ මෙහෙයුමකදී ජනනය කරන ලද මුරපද සාමාන්‍යයෙන් අහඹු අක්ෂර සමූහයක් වීමයි, එබැවින් ඒවා පිටපත් නොකරන්නේ නම් පරිශීලකයාට නිවැරදිව ටයිප් කිරීම අපහසුය. පේස්ට් කරන්න. අඩු බුද්ධිමත් පරිගණක භාවිතා කරන්නන්ට එය ගැටළුවක් විය හැකිය.

එම ගැටළුව මඟහරවා ගත හැකි එක් ක්‍රමයක් නම් ස්වාභාවික භාෂා පෙළ වැඩි හෝ අඩු ස්වයංක්‍රීයව ජනනය කරන ලද මුරපද ලබා දීමයි. ස්වාභාවික භාෂා නූල් වලට එකම දිගකින් යුත් අහඹු අක්ෂර මාලාවක් ඇති එන්ට්‍රොපිය නොතිබුණද, ඔබේ ස්වයංක්‍රීයව ජනනය කරන ලද මුරපදයට අක්ෂර 8 (හෝ 10 හෝ 12) පමණක් තිබිය යුතු යැයි පවසන කිසිවක් නැත. අහඹු වචන කිහිපයක් එකට ගැටීමෙන් ඉහළ එන්ට්‍රොපි ස්වයංක්‍රීයව ජනනය කරන ලද මුරපදයක් ලබා ගන්න (ඒවා අතර ඉඩක් තබන්න, එබැවින් ඒවා තවමත් හඳුනාගත හැකි අතර කියවිය හැකි ඕනෑම කෙනෙකුට ටයිප් කළ හැකිය). අහඹු අක්ෂර 10 කට වඩා වෙනස් දිගකින් යුත් අහඹු වචන හයක් නිවැරදිව හා විශ්වාසයෙන් ටයිප් කිරීමට පහසු වන අතර ඒවාට ඉහළ එන්ට්‍රොපියක් ද තිබිය හැකිය. නිදසුනක් ලෙස, අකුරු 10 කින් යුත් මුරපදයක එන්ට්‍රොපිය අහඹු ලෙස ලොකු අකුරින්, සිම්පල්, ඉලක්කම් සහ විරාම ලකුණු 10 ක් (වලංගු සංකේත 72 ක් සඳහා) එන්ට්‍රොපිය බිටු 61.7 කි. වචන හයක් සඳහා අහඹු ලෙස තෝරා ගත හැකි වචන 7776 ක ශබ්ද කෝෂයක් (ඩයිස්වෙයාර් භාවිතා කරන පරිදි) භාවිතා කිරීමෙන්, මුරපදයට බිට් 77.4 ක එන්ට්‍රොපියක් ඇත. බලන්නවැඩි විස්තර සඳහා ඩයිස්වෙයාර් නිති අසන ප්‍රශ්න .

  • එන්ට්‍රොපි බිටු 77 ක් පමණ ඇති මුරපදයක්: "ගද්‍ය ගිනි දැල්වීමේ වගුව උග්‍ර ෆ්ලෙයාර් පිළිගන්න"

  • එන්ට්‍රොපි බිටු 74 ක් පමණ ඇති මුරපදය: "K: & $ R ^ tt q qkD"

මම දන්නවා මම වාක්‍ය ඛණ්ඩය ටයිප් කිරීමට කැමති බවත්, පිටපත්-එන්-පේස්ට් සමඟ, වාක්‍ය ඛණ්ඩය එම මුරපදය භාවිතා කිරීම පහසු නොවන බවත්, එහි කිසිදු පාඩුවක් නැති බවත්. ඇත්ත වශයෙන්ම ඔබේ වෙබ් අඩවියට (හෝ ආරක්ෂිත වත්කම කුමක් වුවත්) ස්වයංක්‍රීයව ජනනය කරන ලද මුරපදයක් සඳහා බිට් 77 එන්ට්‍රොපි අවශ්‍ය නොවේ නම්, වචන අඩු ප්‍රමාණයක් ජනනය කරන්න (ඔබේ පරිශීලකයින් අගය කරනු ඇතැයි මට විශ්වාසයි).

මුරපදයෙන් ආරක්‍ෂිත වත්කම් ඇත්ත වශයෙන්ම ඉහළ මට්ටමේ වටිනාකමක් නොමැති බවට වන තර්ක මට වැටහේ, එබැවින් මුරපදයක් උල්ලං ach නය කිරීම ලෝකයේ අවසානය නොවිය හැකිය. උදාහරණයක් ලෙස, විවිධ වෙබ් අඩවි වල මා භාවිතා කරන මුරපදවලින් 80% ක් උල්ලං was නය වී ඇත්දැයි මට ප්‍රශ්නයක් නැත: සිදුවිය හැකි සියල්ලම ටික වේලාවක් මගේ නම යටතේ අයාචිත තැපැල් කිරීම හෝ පළ කිරීම ය. එය එතරම් හොඳ නොවනු ඇත, නමුත් ඔවුන් මගේ බැංකු ගිණුමට කඩා වැදීම මෙන් නොවේ. කෙසේ වෙතත්, බොහෝ අය තම බැංකු ගිණුම් (සහ බොහෝ විට ජාතික ආරක්ෂක දත්ත සමුදායන්) සඳහා භාවිතා කරන ආකාරයටම ඔවුන්ගේ වෙබ් සංසද අඩවි සඳහා එකම මුරපදය භාවිතා කරන හෙයින්, මම සිතන්නේ එම 'අඩු-වටිනාකම්' මුරපද පවා නොවන ලෙස හැසිරවීම වඩාත් සුදුසු බවයි. ආපසු අයකර ගත හැකිය.

මයිකල් බර්
source
93
මුරපද සඳහා +1, දැනට මුරපද ශක්තියේ හොඳම ශේෂය සහ පරිශීලක නැවත කැඳවීම ලබා දෙන බව පෙනේ.
ආරොනොට්
197
එසේම ඔබට සම්පූර්ණ වාක්‍යයක් කළ හැකිය. උදා: <adjective> <noun> යනු <verb> <adverb> වේ. කොළ පැහැති බළලා වල් බිමට පනිනවා. කාණ්ඩ සඳහා ලැයිස්තු ඇත. එක් එක් සඳහා තේරීම් 1024 ක් සමඟ ඔබට එන්ට්‍රොපිය බිටු 40 ක් ඇත.
ඩොමිනික් වෙබර්
28
එය ගැනීම සඳහා වන තීරණාත්මක ප්රශ්නයක් ලෙස මුරපදය නැවත භාවිතය සලකා සඳහා +1
lurscher
57
"ඒ ගැන සිතන්න - පරිශීලකයාට මුරපදය ලබා ගැනීමට අවශ්‍ය නම්, එය ඔවුන්ට අමතක වී ඇති නිසා ය" - අනිවාර්යයෙන්ම සත්‍ය නොවේ! මට බොහෝ විට මගේ මුරපදය ලබා ගැනීමට අවශ්‍ය වන්නේ මම ලැප්ටොප් පරිගණකයේ සිටින නිසා සහ මගේ යන්ත්‍රය ආපසු ගෙදරට ගෙන ඒම මගේ මුරපදය ගබඩා කර ඇති බව හෝ එය ආරක්ෂිත තැනක ලියා ඇති බව මම දනිමි, නව එකක් නිකුත් කිරීමෙන් එය බිඳ දැමීමට මට අවශ්‍ය නැත .
joachim
5
නව තොරතුරු තාක්ෂණ ආරක්ෂණ SE වෙබ් අඩවියේ වැඩිම ලකුණු ලබා ගත් ප්‍රශ්නය මෙම එන්ට්‍රොපි ගණනය කිරීමේ වලංගුභාවය සමඟ කටයුතු කරයි. (හොඳයි, තාක්ෂණික වශයෙන්, එය @ පීටර් සම්බන්ධ කළ xkcd සමඟ කටයුතු කරයි.)
පොප්ස්
592

යමෙකු විශාල ගොඩනැඟිල්ලක් ඉදි කර ඇති බව සිතන්න - බාර්එකක්, අපි කියමු - පහත සංවාදය සිදු වේ:

ගෘහ නිර්මාණ ශිල්පියා: මෙම ප්‍රමාණයෙන් හා ධාරිතාවයෙන් යුත් ගොඩනැගිල්ලක් සඳහා ඔබට මෙහි, මෙහි, සහ මෙහි ගිනි නිවීම් අවශ්‍ය වේ.
සේවාදායකයා: නැත, එය නඩත්තු කිරීමට තරම් සංකීර්ණ හා මිල අධිකය, මට පැති දොරවල් හෝ පසුපස දොරවල් අවශ්‍ය නැත.
ගෘහ නිර්මාණ ශිල්පියා: සර්, ගිනි නිවීම් විකල්ප නොවේ, ඒවා නගරයේ ගිනි කේතය අනුව අවශ්‍ය වේ.
සේවාදායකයා: මම ඔබට තර්ක කිරීමට ගෙවන්නේ නැහැ. මම ඉල්ලපු දේ කරන්න.

ගිනි නිවීමකින් තොරව මෙම ගොඩනැගිල්ල සදාචාරාත්මකව ගොඩනගන්නේ කෙසේදැයි ගෘහ නිර්මාණ ශිල්පියා විමසයිද?

ගොඩනැගිලි හා ඉංජිනේරු කර්මාන්තයේ දී, සංවාදය බොහෝ දුරට මේ ආකාරයෙන් අවසන් වීමට ඉඩ ඇත:

ගෘහ නිර්මාණ ශිල්පියා: ගිනි නිවීමකින් තොරව මෙම ගොඩනැගිල්ල ඉදි කළ නොහැක. ඔබට වෙනත් ඕනෑම බලපත්‍රලාභී වෘත්තිකයෙකු වෙත යා හැකි අතර ඔහු ඔබට එකම දේ කියයි. මම දැන් යනවා; ඔබ සහයෝගයෙන් කටයුතු කිරීමට සූදානම් වූ විට මට නැවත අමතන්න.

පරිගණක ක්‍රමලේඛනය බලපත්‍රලත් වෘත්තියක් නොවිය හැකි නමුත් අපගේ වෘත්තියට සිවිල් හෝ යාන්ත්‍රික ඉංජිනේරුවරයෙකුට සමාන ගෞරවයක් නොලැබෙන්නේ මන්දැයි බොහෝ විට මිනිසුන් කල්පනා කරන බව පෙනේ - හොඳයි, තවදුරටත් බලන්න එපා. එම වෘත්තීන්, කසළ (හෝ සම්පූර්ණයෙන්ම භයානක) අවශ්‍යතා භාර දුන් විට, එය ප්‍රතික්ෂේප කරනු ඇත. "හොඳයි, මම මගේ උපරිමය කළා, නමුත් ඔහු තරයේ කියා සිටියා, ඔහු කියන දේ මම කළ යුතුයි" යනුවෙන් පැවසීම නිදහසට කරුණක් නොවන බව ඔවුහු දනිති. එම නිදහසට කරුණ නිසා ඔවුන්ට ඔවුන්ගේ බලපත්‍රය අහිමි විය හැකිය.

ඔබ හෝ ඔබේ සේවාදායකයින් ප්‍රසිද්ධියේ වෙළඳාම් කරන ලද සමාගමක කොටසක්ද නැද්ද යන්න මම නොදනිමි, නමුත් ඕනෑම අයකර ගත හැකි ආකාරයකින් මුරපද ගබඩා කිරීමෙන් ඔබට විවිධ ආකාරයේ ආරක්ෂක විගණන අසමත් වීමට ඉඩ ඇත. ගැටළුව වන්නේ ඔබේ දත්ත ගබඩාවට ප්‍රවේශය ලබා ගත් සමහර "හැකර්" ට මුරපද නැවත ලබා ගැනීම කෙතරම් දුෂ්කර ද යන්න නොවේ. ආරක්ෂක තර්ජන වලින් අතිමහත් බහුතරයක් අභ්‍යන්තරය. ඔබ ආරක්ෂා කර ගත යුතු දෙය නම්, අපකීර්තියට පත් සේවකයෙකු සියළුම මුරපද සමඟ ඉවත්ව ගොස් ඉහළම ලංසුකරුට විකිණීමයි. අසමමිතික ගුප්තකේතනය භාවිතා කිරීම සහ පුද්ගලික යතුර වෙනම දත්ත ගබඩාවක ගබඩා කිරීම මෙම තත්වය වළක්වා ගැනීමට කිසිසේත් ම නොකරයි; සෑම විටම පුද්ගලික දත්ත ගබඩාවට ප්‍රවේශය ඇති අයෙකු වනු ඇත , එය බරපතල ආරක්ෂක අවදානමකි.

මුරපද ආපසු අයකර ගත හැකි ආකාරයකින් ගබඩා කිරීමට සදාචාරාත්මක හෝ වගකිවයුතු ක්‍රමයක් නොමැත. කාලය.

ආරොනොට්
source
124
A ආරොනොට් - මම හිතන්නේ එය සාධාරණ සහ වලංගු කාරණයක්, නමුත් මට එය ඔබ වෙත විකෘති කිරීමට ඉඩ දෙන්න. ඔබ සේවකයෙකු ලෙස සමාගමක් සඳහා ව්‍යාපෘතියක වැඩ කරමින් සිටින අතර ඔබේ ලොක්කා පවසන්නේ 'මෙය අපගේ පද්ධතියේ අවශ්‍යතාවයක්' (කුමන හේතුවක් නිසා හෝ). ධර්මිෂ් ind කෝපයෙන් ඔබ රැකියාවෙන් ඉවත්ව යනවාද? මා වගකිව යුතු බවට පූර්ණ පාලනයක් ඇති විට බැඳීමක් ඇති බව මම දනිමි - නමුත් සමාගමක් විගණන හෝ වගකීම් අසමත් වීමේ අවදානමක් තෝරා ගන්නේ නම්, කාරණයක් ඔප්පු කිරීම සඳහා මගේ රැකියාව කැප කිරීම මගේ යුතුකමද, නැතහොත් මම හොඳම දේ සොයනවාද? ඔවුන් කියන දේ කිරීමට ආරක්ෂිතම ක්‍රමය කුමක්ද? යක්ෂයාගේ අධිනීති play යා ලෙස සෙල්ලම් කරන්න ..
ෂේන්
44
මම නීති lawyer යෙක් නොව නමුත් මෙය සලකා බලන්න. පහසුවෙන් වළක්වා ගත හැකි වගකීමකට නිරාවරණය වීම වැනි සමාගමේ අවශ්‍යතාවන්ට එරෙහිව යමක් කිරීමට ඔබේ අධීක්ෂක විසින් ඔබට නියෝග කරන්නේ නම්, කීකරු වීම හෝ ආචාරශීලී ලෙස ප්‍රතික්ෂේප කිරීම ඔබේ කාර්යයක්ද? ඔව්, ඔවුන් ඔබේ ලොක්කා, නමුත් ආයෝජකයින් වුවද ඔවුන්ට ඔවුන්ගේම ලොක්කෙක් සිටී. ඔබ නම් නෑ කාගේ හිස ඔබගේ ආරක්ෂාව කුහරය ගසා විට රෝල් යන්නේ? ඔවුන්ගේ හිස්, උඩින් යන්න සලකා බැලිය යුතු දෙයක්.
ස්ටීවන් සුදිත්
68
සංවර්ධකයින් සැමවිටම උත්සාහ කරන්නේ අපගේ රැකියා අනෙක් අයට වඩා එතරම් දුෂ්කර වන්නේ කෙසේද යන්නයි. හොඳයි, මෙය ඇයිද යන්නට කදිම නිදසුනකි; අපේ වෘත්තියට කොඳු නාරටියක් අවශ්‍යයි. අපගේ වෘත්තියට අතිශයින්ම අවශ්‍ය වන්නේ "නැත, මෙය පිළිගත හැකි අවශ්‍යතාවයක් නොවේ, මෙය මට හොඳ විශ්වාසයකින් වර්ධනය කළ හැකි දෙයක් නොවේ, ඔබ මගේ සේවාදායකයා / සේවා යෝජකයා විය හැකි නමුත් ඔබේ ගනුදෙනුකරුවන් සහ මහජනයා සම්බන්ධයෙන් මට වෘත්තීය වගකීම් ඇත," ඔබට මෙය සිදු කිරීමට අවශ්‍ය නම් ඔබට වෙනත් තැනක බැලීමට සිදුවේ.
ආරොනොට්
36
ussfussenegger: ඔබට පසුබිම දැන ගැනීමට අවශ්‍ය නැත. එය පිළිගත නොහැකිය. සේවාදායකයා 100% විශ්වාසදායක යැයි ඔබ උපකල්පනය කරයි - ඔහු මෙම අවශ්‍යතාවය විශේෂයෙන් ඉල්ලා සිටින්නේ නම් ඔහුට පසුව මුරපද සමඟ කටයුතු කළ හැකිය. ආරක්ෂක සංවර්ධන තුල ඇති භාණ්ඩ කිහිපයක් එක් කරන ලද ගල් කැටයම්. ඔබ නොකළ යුතු සමහර දේවල් තිබේ, සහ නැවත ලබා ගත හැකි මුරපද ගබඩා කිරීම ඒවායින් දහයකි.
ආරොනොට්
37
හරි, අපි දැන් සහ දැන් අවදානම් තක්සේරුවක් කරමු. "ඔබ මුරපද අයකර ගත හැකි ආකාරයකින් ගබඩා කරන්නේ නම්, ඔබ මුරපද සොරකම් කිරීමේ සුළු නොවන අවදානමක් නිර්මාණය කරයි. අවම වශයෙන් සමහර පරිශීලකයින් ඔවුන්ගේ විද්‍යුත් තැපැල් හා බැංකු ගිණුම් සඳහා එකම මුරපද භාවිතා කරනු ඇත. මුරපද සොරකම් කර ඇත්නම් බැංකු ගිණුම් සිඳී ගොස් ඇති අතර, එය බොහෝ විට ශීර්ෂ පා make බවට පත් කරනු ඇත, කිසිවෙකු නැවත ඔබ සමඟ ගනුදෙනු නොකරනු ඇත, තවද ඔබට පැවැත්මෙන් තොරව නඩු පවරනු ඇත. අපිට දැන් කපටි කපන්න පුළුවන්ද? ඔබ "නාසීන්" යන වචනය මෙයට ගෙන ඒමෙන් පැහැදිලිව පෙනී යන්නේ ඔබට හේතුවක් නොමැති බවයි.
ආරොනොට්
206

ඔබට මුරපදය + පොදු යතුරක් සහිත ලුණු සංකේතනය කළ හැකිය. පිවිසුම් සඳහා ගබඩා කළ අගය පරිශීලක ආදාන + ලුණු වලින් ගණනය කළ අගයට සමාන දැයි පරීක්ෂා කරන්න. යම් වේලාවක් පැමිණේ නම්, මුරපදය සාමාන්‍ය පෙළෙන් ප්‍රතිස්ථාපනය කිරීමට අවශ්‍ය වූ විට, ඔබට පුද්ගලික යතුර සමඟ අතින් හෝ අර්ධ ස්වයංක්‍රීයව විකේතනය කළ හැකිය. පුද්ගලික යතුර වෙනත් තැනක ගබඩා කර තැබිය හැකි අතර ඊට අමතරව සමමිතිකව සංකේතනය කළ හැකිය (එවිට මුරපදය විකේතනය කිරීමට මිනිස් අන්තර්ක්‍රියා අවශ්‍ය වේ).

මම හිතන්නේ මෙය ඇත්ත වශයෙන්ම වින්ඩෝස් ප්‍රතිසාධන නියෝජිතයා ක්‍රියා කරන ආකාරයට සමාන ය .

  • මුරපද සංකේතාංකනය කර ඇත
  • සාමාන්‍ය පෙළට විකේතනය නොකර මිනිසුන්ට ප්‍රවේශ විය හැකිය
  • මුරපද සාමාන්‍ය පෙළට ලබා ගත හැකි නමුත් පුද්ගලික යතුරකින් පමණක් එය පද්ධතියෙන් පිටත ගබඩා කළ හැකිය (බැංකුවක ආරක්ෂිතව, ඔබට අවශ්‍ය නම්).
stefanw
source
34
-1 මුරපද එය සතොස-257 උල්ලංඝනය කිරීමක් "ගුප්තකේතිත" නොකළ යුතු cwe.mitre.org/data/definitions/257.html
rook
100
1. ප්‍රශ්නයේ සඳහන් වූයේ මුරපදය සාමාන්‍ය පෙළට ලබා ගත හැකි බැවින් මෙය අවශ්‍යතාවයකි. 2. මම මෙහි භාවිතා කරන්නේ අසමමිතික සංකේතනය මිස සමමිතික සංකේතනය නොවේ. විකේතනය කිරීමේ යතුර දෛනික මෙහෙයුම් සඳහා අවශ්‍ය නොවන අතර බැංකුවක ආරක්ෂිතව තබා ගත හැකිය. සබැඳියේ තර්ක කිරීම වලංගු වන නමුත් මෙම තත්වයට අදාළ නොවේ.
stefanw
57
ඇත්ත, නමුත් අවශ්‍යතා අනුව මෙය කිරීමේ වඩාත්ම වගකිවයුතු ක්‍රමය මෙය බව ඔබට එකඟ විය හැකිද? ඔබේ CWE-257 සමඟ ඔබට දවස පුරා මට පහර දිය හැකිය, එය ආරක්ෂිතව ගබඩා කිරීම සහ අක්තපත්‍ර සමඟ වැඩ කිරීම සහ අවශ්‍ය නම් ඒවායේ මුල් ආකෘතියට නැවත ලබා ගැනීම පිළිබඳ සිත්ගන්නා ගැටළුව වෙනස් නොකරනු ඇත.
stefanw
10
වින්ඩෝස් ප්‍රතිසාධන නියෝජිතයා ද මෙහි දුර්වල උදාහරණයකි, මන්ද එය සත්‍ය සංකේතනය සමඟ මිස මුරපද කළමනාකරණය සමඟ නොවේ. සංකේතාංකන යතුර මුරපදයකට සමාන නොවේ ; එක් එක් අවට නීති සහ භාවිතයන් සම්පූර්ණයෙන්ම වෙනස් ය. ගුප්තකේතනය සහ සත්‍යාපනය සමාන නොවේ. ගුප්තකේතනය පුද්ගලිකත්වය සඳහා වේ - දත්ත ආරක්ෂා කිරීම සඳහා යතුරක් භාවිතා කරයි . සත්‍යාපනය යනු අනන්‍යතාවය සඳහා වන අතර, යතුර දත්ත වේ (එය සත්‍යාපන ක්‍රියාවලියේ එක් සාධකයකි ). එබැවින් මම නැවත කියමි, සංකේතනය සහ සත්‍යාපනය සමාන නොවේ. ඔබට එකක මූලධර්ම අනෙකට වලංගු කළ නොහැක.
ආරොනොට්
16
+1 සීඩබ්ලිව්ඊ -257 සඳහා උමතුවෙන් අවධාරනය කිරීමේ කාරණය කුමක්ද? එය දුර්වලතාවයක් (CWE) මිස අනාරක්ෂිත බවක් (CVE) නොවේ. අයකර ගත හැකි මුරපද ස්වාරක්ෂක පිටාර ගැලීම් සමඟ සංසන්දනය කිරීම ඇපල් හා දොඩම් සංසන්දනය කරයි. සේවාදායකයා ගැටලුව තේරුම් ගෙන ඇති බවට වග බලා ගන්න (එසේ පවසන දෙයකට අත්සන් කිරීමට ඔහුට ඉඩ දෙන්න - එසේ නොමැතිනම් ඔහුට කිසිවක් මතක නැති විය හැක) සහ ඉදිරියට යන්න. මීට අමතරව, අවශ්‍ය ආරක්ෂක පියවරයන් පද්ධතියේ වටිනාකම සහ ප්‍රහාරයක අවදානම මත රඳා පවතී. සාර්ථක ප්‍රහාරකයෙකුට සමහර ප්‍රවෘත්ති පත්‍ර දායකත්වයන් පමණක් අවලංගු කළ හැකි නම්, කිසිදු ගැටළුවක් ගැන තර්ක කිරීමට හේතුවක් නැත.
sfussenegger
133

අත්හරින්න එපා. ඔබේ ගනුදෙනුකරුවන්ට ඒත්තු ගැන්වීමට ඔබට භාවිතා කළ හැකි ආයුධය ප්‍රතික්ෂේප නොකිරීමයි. ඔබට ඕනෑම යාන්ත්‍රණයක් හරහා පරිශීලක මුරපද ප්‍රතිනිර්මාණය කළ හැකි නම්, ඔබ ඔවුන්ගේ සේවාදායකයින්ට නෛතික ප්‍රතික්ෂේප කිරීමේ යාන්ත්‍රණයක් ලබා දී ඇති අතර ඔවුන්ට එම මුරපදය මත රඳා පවතින ඕනෑම ගනුදෙනුවක් ප්‍රතික්ෂේප කළ හැකිය, මන්ද ඔවුන් මුරපදය ප්‍රතිනිර්මාණය නොකළ බව සැපයුම්කරුට ඔප්පු කළ හැකි ක්‍රමයක් නොමැති බැවිනි. ගනුදෙනුව තමන් විසින්ම තබන්න. මුරපද කේතාංකයට වඩා නිවැරදිව ඩයිජෙස්ට් ලෙස ගබඩා කර තිබේ නම්, මෙය කළ නොහැකි ය, එර්ගෝ එක්කෝ අවසාන සේවාදායකයා විසින්ම ගනුදෙනුව සිදු කරන ලදී. කෙසේ වෙතත්, ඔහු සමඟ වගකීම පැහැර හැරේ. එය ඩොලර් මිලියන සිය ගණනක් වන අවස්ථා වලදී මම වැඩ කර ඇත්තෙමි. ඔබට වැරදි වීමට අවශ්‍ය දෙයක් නොවේ.

ලෝර්න් හි මාක්විස්
source
2
වෙබ්සර්වර් ලොග් උසාවියක ගණන් නොගනීද? එසේත් නැතිනම් ඒවා ව්‍යාජ ඒවා යැයි උපකල්පනය කෙරේද?
වින්කෝ වර්සාලොවික්
10
Ink වින්කෝ වර්සාලොවික්, වෙබ් සේවාදායක ලොග් උසාවියේදී ගණන් කළ යුතුය, එසේ කිරීම සඳහා ඔබ ප්‍රතික්ෂේප නොකිරීම, අව්‍යාජභාවය සනාථ කිරීම, සාක්ෂි දාමය යනාදිය ඔප්පු කළ යුතුය.
AviD
7
හරියටම. එම ගනුදෙනුව සිදු කළ හැක්කේ සේවාදායකයාට පමණක් බව සැපයුම්කරු විසින් ඔප්පු කළ යුතුය. වෙබ් සේවාදායක ලොගයක් එය නොකරයි.
මාර්ක්විස් ඔෆ් ලෝර්න්
සෑම මුරපදයක්ම ඇත්ත වශයෙන්ම "ගනුදෙනු" සඳහා අවශ්‍ය නොවේ. වෙබ් අඩවිය වෙබ් පිටු පොත් සලකුණු ලැයිස්තුවක් සංවර්ධනය කිරීම සඳහා යැයි පවසන්න. මෙම අවස්ථාවේ දී වගකීම් සීමාව (වෙබ් අඩවියට ලියාපදිංචි වන විට සාමාන්‍යයෙන් ටී ඇන්ඩ් සී හි සඳහන් වේ) ශුන්‍ය වේ, මන්ද මූල්‍ය ගනුදෙනුවක් නොමැති බැවිනි. වෙබ් අඩවියට අන් අයට බලපාන කිසිදු ක්‍රියාමාර්ගයක් නොමැති නම්, බොහෝ විට, දත්ත අනවසරයෙන් පරිශීලකයාට අහිමි වේ. සමාගම ටී ඇන්ඩ් සී විසින් ආරක්ෂා කර ඇත.
Sablefoste
1
AbleSablefoste එම වෙබ් අඩවියේ. පරිශීලකයා වෙනත් තැනක එකම මුරපදය භාවිතා කරන්නේ නම්, ඔබ ඔහුගේ පුද්ගලික අක්තපත්‍ර කාන්දු වීමේ අවදානමක් නිර්මාණය කරයි. ඔබ කිසි විටෙකත් පුහුණුවීම්වල නිරත නොවන්නේ නම් ඔබට ගැටලුව ඇති කළ නොහැක.
ලෝර්න් හි මාක්විස්
94

පසුකාලීනව නැවත ලබා ගැනීම සඳහා ඔබට මුරපද සදාචාරාත්මකව ගබඩා කළ නොහැක. එය එතරම්ම සරල ය. ජෝන් ස්කීට පවා පසුකාලීනව නැවත ලබා ගැනීම සඳහා මුරපද සදාචාරාත්මකව ගබඩා කළ නොහැක. ඔබේ පරිශීලකයින්ට කෙසේ හෝ වෙනත් ආකාරයකින් සරල පෙළකින් මුරපද ලබා ගත හැකි නම්, ඔබේ කේතයේ ආරක්ෂක අවදානමක් ඇති හැකර්වරයෙකුට ද එසේ කළ හැකිය. එය එක් පරිශීලකයෙකුගේ මුරපදයක් පාවාදීම පමණක් නොව, ඒවා සියල්ලම වේ.

ඔබේ සේවාදායකයින්ට ඒ පිළිබඳ ගැටළුවක් ඇත්නම්, මුරපද නැවත අයකර ගැනීම නීතියට පටහැනි බව ඔවුන්ට කියන්න. මෙහිදී එක්සත් රාජධානියේ ඕනෑම අවස්ථාවක, දත්ත ආරක්ෂණ පනත 1998 (විශේෂයෙන්, උපලේඛනය 1, II කොටස, 9 වන ඡේදය) පුද්ගලික දත්ත සුරක්ෂිතව තබා ගැනීම සඳහා සුදුසු තාක්ෂණික පියවරයන් භාවිතා කිරීමට දත්ත පාලකයන්ට අවශ්‍ය වේ. දත්ත සම්මුතියකට ලක් වුවහොත් සිදුවිය හැකි හානිය - අඩවි අතර මුරපද බෙදාගන්නා පරිශීලකයින්ට එය සැලකිය යුතු ය. ඔවුන් තවමත් කරදර එය ප්රශ්නයක් බව grokking තිබේ නම්, වැනි, ඇතැම් සැබෑ ලෝකය උදාහරණ ඔවුන් පෙන්වා මේ එක .

පුරනය වීමක් නැවත ලබා ගැනීමට පරිශීලකයින්ට ඉඩ දිය හැකි සරලම ක්‍රමය නම්, ඒවා ස්වයංක්‍රීයව ලොග් වී ඔවුන්ට නව මුරපදයක් තෝරා ගත හැකි පිටුවකට කෙලින්ම ගෙන යන එක් වරක් සබැඳියක් විද්‍යුත් තැපෑලෙන් යැවීමයි. මූලාකෘතියක් සාදා එය ඔවුන්ට ක්‍රියාවෙන් පෙන්වන්න.

මෙන්න මම මාතෘකාව ගැන ලියූ බ්ලොග් සටහන් කිහිපයක්:

යාවත්කාලීන කිරීම: අපි දැන් ඔවුන්ගේ පරිශීලකයින්ගේ මුරපද නිසියාකාරව සුරක්ෂිත කිරීමට අපොහොසත් වන සමාගම්වලට එරෙහිව නඩු සහ නඩු පැවරීමට පටන් ගනිමු. උදාහරණය: LinkedIn ඩොලර් මිලියන 5 ක පන්ති ක්‍රියා නඩුවකින් පහර දී ඇත ; ප්ලේස්ටේෂන් දත්ත හැක් කිරීම සම්බන්ධයෙන් සෝනි ඩොලර් 250,000 ක දඩයක් නියම කළේය . මා නිවැරදිව සිහිපත් කළහොත්, LinkedIn ඇත්ත වශයෙන්ම එහි පරිශීලකයින්ගේ මුරපද සංකේතනය කරමින් සිටියි, නමුත් එය භාවිතා කරන සංකේතනය effective ලදායී වීමට තරම් දුර්වල විය.

jammycakes
source
8
im ජිමීකේක්ස් - මෙය අඩු ආරක්ෂණ පද්ධතියක කිරීම හොඳ දෙයකි, නමුත් ඔබ ඉහළ වටිනාකමක් ඇති දත්ත ගබඩා කරන්නේ නම් පුද්ගලයන්ගේ ඊමේල් දැනටමත් සම්මුතියකට ලක්ව ඇති බවත් ඔවුන්ට සෘජු පිවිසුම් සබැඳියක් යැවීමෙන් ඔබේ පද්ධතිය අඩාල වන බවත් උපකල්පනය කළ යුතුය. මගේ ප්‍රශ්නයට ශක්‍ය විකල්පයකින් පිළිතුරු සැපයීම සඳහා +1, නමුත් සමස්තයක් ලෙස තර්කනයේ අඩුපාඩුවක් පෙන්වා දීම. පේපෑල් සෘජු පිවිසුම් සබැඳියක් එවීමට මට අවශ්‍ය නැත. එය ව්‍යාකූල බවක් පෙනෙන්නට තිබුණත් මම නිතරම උපකල්පනය කරන්නේ මගේ විද්‍යුත් තැපැල් ගිණුම දූෂිත බවයි - එය මා අවංකව තබා ගනී. ;)
ෂේන්
පරම - මම අවම වශයෙන් මගේ බැංකු බලාපොරොත්තු කියලා මට දුරකථන ඇමතුමක් දෙන්න, මට නැවත සකස් ඉඩ පෙර මගේ අනන්යතාවය තහවුරු ( නොවන අය) මගේ මුරපදය. මා මෙහි දක්වා ඇති දෙය ඕනෑම වෙබ් අඩවියකින්, ඕනෑම තැනකින් මම බලාපොරොත්තු වන මුරපද සුරක්‍ෂිතතාවයේ අවම ප්‍රමිතියයි.
jammycakes
1
කෙසේ හෝ ඔබ විසින් පනවා ඇති සීමාව නොමැති බැංකුව හෝ පේපෑල් නොසලකා හැරීම; ඔවුන්ගේ විද්‍යුත් තැපැල් ලිපිනයට පටහැනි යැයි ඔබ සිතන්නේ නම්, ඕනෑම මාර්ගගත ක්‍රමයක් කළ හැක්කේ කෙසේද? ඔබ ජනනය කළ මුරපදයක් ඊ-තැපැල් කරන්නේ නම්, එය තවත් ආරක්ෂිත වන්නේ කෙසේද?
පීටර් කොල්ටන්
මම තනි පුද්ගලයෙකුගේ මුරපදයක් ලබා ගැනීම ගැන කතා නොකරමි, දත්ත සමුදායකින් මුරපද කිහිපයක් ලබා ගැනීම ගැන කතා කරමි. පද්ධතියක් මුරපද අයකර ගත හැකි ලෙස සරල පෙළට ගබඩා කරන්නේ නම්, ඔබේ දත්ත ගබඩාවෙන් සියලුම මුරපද උකහා ගැනීමට හැකර්වරයෙකුට පිටපතක් ලිවිය හැකිය.
jammycakes
මම කල්පනා කරන්නේ විද්‍යුත් තැපෑලෙන් සබැඳිය / මුරපදය යැවීම, නොදන්නා ජාල නෝඩ් හරහා සරල ස්වරූපයෙන් ජාලය හරහා යාම ...
Jakub
55

මෙම කොටස කියවීමෙන් පසු:

වෙබ් අඩවි බොහෝ දුරට වැඩිහිටියන්, මානසික ආබාධිතයන් හෝ ඉතා තරුණ අය වෙත යොමු කර ඇති බව මම පහත සටහනක සඳහන් කළෙමි. ආරක්ෂිත මුරපද ප්‍රතිසාධන ක්‍රියාවලියක් සිදු කරන ලෙස ජනතාවගෙන් ඉල්ලා සිටින විට ඔවුන් ව්‍යාකූල විය හැකිය. එවැනි අවස්ථාවන්හිදී අපට එය සරල හා ලෞකික යැයි පෙනෙන්නට තිබුණද, සමහර පරිශීලකයින්ට සේවා තාක්‍ෂණයක් තිබීම පද්ධතියට උදව් කිරීම හෝ එය විද්‍යුත් තැපෑලෙන් / සෘජුවම ඔවුන්ට ප්‍රදර්ශනය කිරීම සඳහා අමතර සහාය අවශ්‍ය වේ.

එවැනි පද්ධති වලදී පරිශීලකයින්ට මෙම මට්ටමේ ප්‍රවේශ සහය ලබා නොදුනහොත් මෙම සංඛ්‍යාලේඛනවල ආරෝපණ අනුපාතය යෙදුමට බාධා පමුණුවනු ඇත, එබැවින් කරුණාකර එවැනි සැකසුමක් මනසේ තබා පිළිතුරු දෙන්න.

මෙම අවශ්‍යතාවයන්ගෙන් කිසිවක් ලබා ගත හැකි මුරපද පද්ධතියක් අවශ්‍ය දැයි මම කල්පනා කරමි. උදාහරණයක් ලෙස: මේබල් නැන්දා අමතා "ඔබේ අන්තර්ජාල වැඩසටහන ක්‍රියාත්මක නොවේ, මගේ මුරපදය මම නොදනිමි" යනුවෙන් පවසයි. "හරි" පාරිභෝගික සේවා ඩ්‍රෝන් "මට විස්තර කිහිපයක් පරික්ෂා කර බලන්නම්, පසුව මම ඔබට නව මුරපදයක් ලබා දෙන්නෙමි . ඔබ ඊළඟට ලොග් වූ විට එම මුරපදය තබා ගැනීමට හෝ ඔබට මතක ඇති දෙයකට එය වෙනස් කිරීමට අවශ්‍ය දැයි ඔබෙන් අසනු ඇත. වඩාත් පහසුවෙන්. ”

මුරපද යළි පිහිටුවීම සිදු වූයේ කවදාදැයි දැන ගැනීමට පද්ධතිය සකසා ඇති අතර "නව මුරපදය තබා ගැනීමට හෝ නව එකක් තෝරා ගැනීමට ඔබ කැමතිද" පණිවිඩයක් පෙන්වන්න.

පළාත් සභා සාක්ෂරතාව අඩු අයට ඔවුන්ගේ පැරණි මුරපදය පැවසීමට වඩා මෙය නරක වන්නේ කෙසේද? පාරිභෝගික සේවා පුද්ගලයාට අක්‍රමිකතා දක්වා නැගී සිටිය හැකි අතර, දත්ත ගබඩාව උල්ලං is නය වුවහොත් එය වඩාත් සුරක්‍ෂිත වේ.

මගේ යෝජනාවේ නරක දේ ගැන අදහස් දක්වන්න, මම ඔබට මුලින් අවශ්‍ය දේ කරන විසඳුමක් යෝජනා කරමි.

බෝයි මහතා
source
4
ජෝන් - මම හිතන්නේ එය පරිපූර්ණ ශක්‍ය විසඳුමක්. අභ්‍යන්තර තර්ජන මැඩපවත්වා ගැනීමට සූදානම් වන්න! ඔබ දන්නවා, මම මෙය අතරමැදි මුරපද යළි පිහිටුවීමකින් කළහොත් (තාක්‍ෂණය මුරපදය තාවකාලිකව සකසනු ලබන අතර මේබල්ට ඇගේ මුරපදය ලෙස 1234 ටයිප් කරන්නැයි කියයි) එවිට වැදගත් දත්ත අඩංගු නොවන පද්ධතියක එය හොඳින් ක්‍රියාත්මක වනු ඇත. එය අධි ආරක්‍ෂිත පරිසරයක් නම් අපට භාරකාර සේවයට ප්‍රධාන විධායක නිලධාරියාගේ මුරපදය 1234 ලෙස සකසා කෙලින්ම ලොග් විය හැකි ගැටළුවක් තිබේ. පරිපූර්ණ විසඳුමක් නොමැති නමුත් මෙය අවස්ථා ගණනාවකදී ක්‍රියාත්මක වේ. (+1)
ෂේන්
5
මම මේ පිළිතුර දැක්කා. Han ෂේන්, "අභ්‍යන්තර තර්ජන" ගැන ගිනිදැල් ගැන ඔබ පුරෝකථනය කළේ ඇයිදැයි මට තේරෙන්නේ නැත. මුරපදයක් වෙනස් කිරීමේ හැකියාව සැලකිය යුතු දුර්වලතාවයක් නොවේ; ගැටළුව වන්නේ වෙනත් සේවාවන් සඳහා භාවිතා කළ හැකි මුරපදයක් සොයා ගැනීමට ඇති හැකියාවයි - ඇගේ විද්‍යුත් තැපෑල, ඇගේ බැංකුව, ඇගේ CC තොරතුරු ගබඩා කර ඇති අන්තර්ජාල සාප්පු සවාරි. එම දුර්වලතාවය මෙහි ප්‍රකාශ නොවේ. බොබ් මේබල්ගේ මුරපදය නැවත සකසා දුරකථනයෙන් ඇයට පැවසුවහොත්, එය ඇයට වෙනත් ගිණුම් වලට ප්‍රවේශය ලබා නොදේ. කෙසේ වෙතත්, මම ප්‍රවේශවීමේදී මුරපද යළි පිහිටුවීම "යෝජනා" කරනවාට වඩා බල කරමි .
ආරොනොට්
Aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa] a [a a a a a a a a a a a a a a a a a a a a a a a a a a a a a the ආරක්ෂක ප්‍රශ්නයක්. ඔබේ ප්‍රශ්නය මා දකින නමුත් මා මෙම ප්‍රශ්නය ඇසූ ක්‍රමය බොහෝ දුරට අභ්‍යන්තර ගිණුම්කරණ පද්ධතියකට වඩා වෙනස් ය. හිමිකාර අභ්‍යන්තර පද්ධති සහ එහි මුරපද ආරක්ෂාව පිළිබඳව අපට සම්පූර්ණයෙන්ම වෙනස් සාකච්ඡාවක් තිබිය හැකිය.
ෂේන්
1
ෂේන්: එවිට ප්‍රශ්නය ඊටත් වඩා අර්ථවත් කරයි. මම හිතුවේ ඔබට යමෙකු දුරකථනයෙන් මුරපදයක් කියවීමට අවශ්‍ය බවයි. කිසියම් ස්වයංක්‍රීය ස්වයං සේවා පද්ධතියක් හරහා පරිශීලකයින්ට ඔවුන්ගේ මුරපද විද්‍යුත් තැපෑලෙන් යැවීමට අවශ්‍ය නම්, මුරපදය සම්පූර්ණයෙන්ම දුර්වල ලෙස “ආරක්‍ෂා” කර ඇති නිසා එය සම්පූර්ණයෙන්ම බෙදා හැරිය හැකිය. සමහර විට ඔබ සහාය දැක්වීමට උත්සාහ කරන්නේ හරියටම කුමන ආකාරයේ උපයෝගීතා තත්වයන් පිළිබඳවද යන්න පිළිබඳව ඔබ වඩාත් නිශ්චිත විය යුතුය. නැවත ලබා ගත හැකි මුරපද පවා අවශ්‍ය නොවන බව එම විශ්ලේෂණය පසුව ඔබට පෙන්වනු ඇත.
ආරොනොට්
4
සහායක පුද්ගලයා විසින් සපයන ලද කේතය වචනාර්ථයෙන් නව මුරපදය විය යුතු නැත. එය මුරපදය යළි පිහිටුවීමේ කාර්යය අගුළු හරින එක් වරක් කේතයක් විය හැකිය.
kgilpin
42

CWE-257 ගැන මයිකල් බ ok ක්ස් තරමක් හ al නගා ඇත - ඔබ කුමන ක්‍රමයක් භාවිතා කළත් ඔබට (පරිපාලකයාට) තවමත් මුරපදය ලබා ගත හැකිය. ඉතින් මෙම විකල්ප ගැන කෙසේද:

  1. වෙනත් කෙනෙකුගේ පොදු යතුරක් සමඟ මුරපදය සංකේතනය කරන්න - යම් බාහිර අධිකාරියක්. එමඟින් ඔබට එය පෞද්ගලිකව ප්‍රතිනිර්මාණය කළ නොහැකි අතර පරිශීලකයාට එම බාහිර අධිකාරිය වෙත ගොස් ඔවුන්ගේ මුරපදය නැවත ලබා ගැනීමට ඉල්ලා සිටිය යුතුය.
  2. දෙවන මුරපදයකින් ජනනය කරන ලද යතුරක් භාවිතා කර මුරපදය සංකේතනය කරන්න. මෙම සංකේතාංකන සේවාදායකයාගේ පැත්තෙන් කරන්න, එය කිසි විටෙකත් සේවාදායකයට පැහැදිලිව සම්ප්‍රේෂණය නොකරන්න. නැවත යථා තත්ත්වයට පත් කිරීම සඳහා, ඔවුන්ගේ ආදානයෙන් යතුර නැවත උත්පාදනය කිරීමෙන් විකේතන සේවාදායකයාගේ පැත්ත නැවත කරන්න. මෙම ප්‍රවේශය මූලික වශයෙන් දෙවන මුරපදයක් භාවිතා කරන බව පිළිගත යුතුය, නමුත් ඔබට එය ලිවීමට සෑම විටම ඔවුන්ට පැවසිය හැකිය, නැතහොත් පැරණි ආරක්ෂක ප්‍රශ්න ප්‍රවේශය භාවිතා කරන්න.

මම හිතන්නේ 1. වඩා හොඳ තේරීම, එය පුද්ගලික යතුර රඳවා තබා ගැනීම සඳහා සේවාදායකයාගේ සමාගම තුළ සිටින අයෙකු නම් කිරීමට ඔබට ඉඩ සලසන බැවිනි. ඔවුන් විසින්ම යතුර ජනනය කරන බවට වග බලා ගන්න, එය ආරක්ෂිතව උපදෙස් වලින් ගබඩා කර තබන්න. මුරපදයේ සිට අභ්‍යන්තර තෙවන පාර්ශවයට ඇතැම් අක්ෂර සංකේතනය කර සැපයීමට පමණක් තෝරා ගැනීමෙන් ඔබට ආරක්ෂාව එකතු කළ හැකිය, එවිට ඔවුන්ට අනුමාන කිරීමට මුරපදය බිඳ දැමිය යුතුය. එය. මෙම අක්ෂර පරිශීලකයාට සැපයීම, එය බොහෝ විට ඔවුන්ට මතක ඇති!

ෆිල් එච්
source
8
ඇත්ත වශයෙන්ම, විකේතනය සඳහා ඔබේ සමාගමෙන් කිහිප දෙනෙකු අවශ්‍ය කිරීමට ඔබට ඕනෑම රහස් බෙදීමේ ක්‍රමයක් භාවිතා කළ හැකිය. එහෙත් ඒ කිසිවක් පරිශීලකයාට ඔවුන්ගේ මුරපද තැපැල් කිරීමට හෝ පළමු මට්ටමේ දුරකථන ආධාරකරුවෙකු වෙත පිවිසීමේ
අවශ්‍යතාවයන් සපුරාලන්නේ නැත
27

මෙම ප්‍රශ්නයට ප්‍රතිචාර වශයෙන් පරිශීලකයාගේ ආරක්ෂක අවශ්‍යතා පිළිබඳව විශාල වශයෙන් සාකච්ඡා කර ඇත, නමුත් ප්‍රතිලාභ පිළිබඳ සඳහනක් එක් කිරීමට මම කැමතියි. නැවත ලබා ගත හැකි මුරපදයක් පද්ධතිය තුළ ගබඩා කර තිබීම ගැන සඳහන් කර ඇති එක් නීත්‍යානුකූල ප්‍රතිලාභයක් මෙතෙක් මා දැක නැත . මෙය සලකා බලන්න:

  • ඔවුන්ගේ මුරපදය විද්‍යුත් තැපෑලෙන් යැවීමෙන් පරිශීලකයාට ප්‍රතිලාභ ලැබේද? එක් වරක් භාවිතා කරන මුරපද යළි පිහිටුවීමේ සබැඳියකින් ඔවුන්ට වැඩි ප්‍රතිලාභයක් ලැබෙනු ඇත, එමඟින් ඔවුන්ට මතක ඇති මුරපදයක් තෝරා ගැනීමට ඉඩ දෙනු ඇත .
  • මුරපදය තිරය මත ප්‍රදර්ශනය කිරීමෙන් පරිශීලකයාට ප්‍රතිලාභ ලැබේද? නැත, ඉහත සඳහන් එකම හේතුව නිසා; ඔවුන් නව මුරපදයක් තෝරා ගත යුතුය.
  • සහායකයකු මුරපදය පරිශීලකයාට කථා කිරීමෙන් පරිශීලකයාට ප්‍රතිලාභ ලැබේද? නැත; නැවතත්, සහායකයා තම මුරපදය සඳහා පරිශීලකයාගේ ඉල්ලීම නිසියාකාරව සත්‍යාපනය කර ඇති බව සලකන්නේ නම්, එය නව මුරපදයක් ලබා දීම සහ එය වෙනස් කිරීමට අවස්ථාව ලබා දීම පරිශීලකයාගේ ප්‍රයෝජනය සඳහා වැඩි ය. තවද, ස්වයංක්‍රීය මුරපද යළි පිහිටුවීමට වඩා දුරකථන සහාය මිල අධික බැවින් සමාගමටද ප්‍රතිලාභ නොලැබේ.

තෙවන පාර්ශවීය මුරපද හුවමාරුවක් අවශ්‍ය වන අනිෂ්ට අභිප්‍රාය ඇති හෝ දුර්වල API වලට සහය දක්වන අය පමණක් අයකර ගත හැකි මුරපද වලින් ප්‍රයෝජන ගත හැකි බව පෙනේ (කරුණාකර එම API භාවිතා නොකරන්න!). ආපසු ලබා ගත හැකි මුරපද ගබඩා කිරීමෙන් සමාගමට කිසිදු ප්‍රතිලාභයක් සහ වගකීම් පමණක් නොලැබෙන බව ඔබේ ගනුදෙනුකරුවන්ට සත්‍ය ලෙස පැවසීමෙන් ඔබට ඔබේ තර්කය ජය ගත හැකිය .

මෙම ආකාරයේ ඉල්ලීම්වල රේඛා අතර කියවන විට, ඔබේ සේවාදායකයින්ට බොහෝ විට මුරපද කළමනාකරණය කරන්නේ කෙසේද යන්න ගැන අවබෝධයක් හෝ සැලකිල්ලක් නොදක්වන බව ඔබට පෙනෙනු ඇත. ඔවුන්ට සැබවින්ම අවශ්‍ය වන්නේ ඔවුන්ගේ පරිශීලකයින්ට එතරම් අපහසු නොවන සත්‍යාපන පද්ධතියකි . එබැවින් ඔවුන්ට නැවත අයකර ගත හැකි මුරපද අවශ්‍ය නොවන්නේ කෙසේදැයි ඔවුන්ට පැවසීමට අමතරව, සත්‍යාපන ක්‍රියාවලිය අඩු වේදනාකාරී කිරීමට ඔබ ඔවුන්ට ක්‍රම ඉදිරිපත් කළ යුතුය, විශේෂයෙන් ඔබට බැංකුවේ දැඩි ආරක්ෂක මට්ටම් අවශ්‍ය නොවන්නේ නම්:

  • ඔවුන්ගේ පරිශීලක නාමය සඳහා ඔවුන්ගේ විද්‍යුත් තැපැල් ලිපිනය භාවිතා කිරීමට පරිශීලකයාට ඉඩ දෙන්න. පරිශීලකයාට ඔවුන්ගේ පරිශීලක නාමය අමතක වූ අවස්ථා ගණනක් මම දැක ඇත්තෙමි, නමුත් ස්වල්ප දෙනෙකුට ඔවුන්ගේ විද්‍යුත් තැපැල් ලිපිනය අමතක වේ.
  • OpenID පිරිනැමීම සහ පරිශීලක අමතක වීමේ පිරිවැය සඳහා තෙවන පාර්ශවයකට ගෙවීමට ඉඩ දෙන්න.
  • මුරපද සීමාවන් ඉවත් කරන්න. "ඔබට විශේෂ අක්ෂර භාවිතා කළ නොහැක" හෝ "ඔබගේ මුරපදය දිග වැඩිය" හෝ "ඔබගේ මුරපදය ආරම්භ විය යුතුය" වැනි නිෂ් less ල අවශ්‍යතා නිසා සමහර වෙබ් අඩවි ඔබ කැමති මුරපදයට ඉඩ නොදෙන විට අප සියල්ලන්ම ඇදහිය නොහැකි තරම් කෝපයට පත් වී ඇති බව මට විශ්වාසයි. ලිපියක් සමඟ. එසේම, භාවිතයේ පහසුව මුරපදයේ ශක්තියට වඩා විශාල සැලකිල්ලක් නම්, කෙටි මුරපද වලට ඉඩ දීමෙන් හෝ අක්ෂර පංතිවල මිශ්‍රණයක් අවශ්‍ය නොවී මෝඩ නොවන අවශ්‍යතා පවා ඔබට ලිහිල් කළ හැකිය. ලිහිල් කළ සීමාවන් සමඟ, පරිශීලකයින්ට අමතක නොවන මුරපදයක් භාවිතා කිරීමට වැඩි ඉඩක් ඇත.
  • මුරපද කල් ඉකුත් නොවන්න.
  • පැරණි මුරපදයක් නැවත භාවිතා කිරීමට පරිශීලකයාට ඉඩ දෙන්න.
  • තමන්ගේම මුරපද යළි පිහිටුවීමේ ප්‍රශ්නය තෝරා ගැනීමට පරිශීලකයාට ඉඩ දෙන්න.

නමුත් ඔබ, කිසියම් හේතුවක් නිසා (සහ කරුණාකර අපට හේතුව කියන්න) ඇත්ත වශයෙන්ම, සැබවින්ම අයකර ගත හැකි මුරපදයක් ලබා ගැනීමට අවශ්‍ය නම්, පරිශීලකයාට මුරපදයක් ලබා නොදී ඔවුන්ගේ වෙනත් සබැඳි ගිණුම් සමඟ සම්මුතියක් ඇති කර ගැනීමෙන් වළක්වා ගත හැකිය. පදනම් කරගත් සත්‍යාපන පද්ධතිය. මිනිසුන් දැනටමත් පරිශීලක නාමය / මුරපද පද්ධති පිළිබඳව හුරුපුරුදු වී ඇති අතර ඒවා හොඳින් ක්‍රියාත්මක කළ විසඳුමක් වන බැවින් මෙය අවසාන පියවරක් වනු ඇත, නමුත් මුරපද සඳහා නිර්මාණාත්මක විකල්ප ඕනෑ තරම් තිබේ:

  • අංක 4 ක් නොව සංඛ්‍යාත්මක පින් එකක් තෝරා ගැනීමට පරිශීලකයාට ඉඩ දෙන්න, වඩාත් සුදුසු වන්නේ තිරිසන් බලවේග උත්සාහයන්ගෙන් ආරක්ෂා වුවහොත් පමණි.
  • කෙටි පිළිතුරක් සහිත ප්‍රශ්නයක් තෝරා ගැනීමට පරිශීලකයාට ඉඩ දෙන්න, ඔවුන් පිළිතුර දන්නා, කිසි විටෙකත් වෙනස් නොවනු ඇත, ඔවුන් සැමවිටම මතක තබා ගනු ඇත, සහ අනෙක් පුද්ගලයින් සොයා ගැනීමට ඔවුන් සිතන්නේ නැත.
  • පරිශීලකයාට පරිශීලක නාමයක් ඇතුළත් කර අනුමාන කිරීමෙන් ආරක්ෂා වීමට ප්‍රමාණවත් ප්‍රේරණයන් සමඟ පහසුවෙන් මතක තබා ගත හැකි හැඩයක් අඳින්න ( දුරකථනය අගුළු ඇරීම සඳහා G1 මෙය කරන්නේ කෙසේද යන්න පිළිබඳ මෙම ඡායාරූපය බලන්න ).
  • ළමා වෙබ් අඩවියක් සඳහා, ඔබට පරිශීලක නාමය මත පදනම්ව නොපැහැදිලි සත්වයෙකු ස්වයංක්‍රීයව ජනනය කළ හැකිය (හැඳුනුම්පතක් වැනි) සහ සත්වයාට රහස් නමක් ලබා දෙන ලෙස පරිශීලකයාගෙන් ඉල්ලා සිටින්න. එවිට ඔවුන්ට ලොග් වීම සඳහා සත්වයාගේ රහස් නාමය ඇතුළත් කිරීමට විමසනු ඇත.
යාකොබ්
source
මම මෙහි අදහස් දැක්වීම් වලට ප්‍රතිචාර දැක්වූයේ, මගේ ප්‍රතිචාරයේ දී, එය තරමක් දිගු බැවින් - විශ්ලේෂණය සමාලෝචනය කිරීම සහ මතු කරන ලද කරුණු සාකච්ඡා කිරීම වැදගත් යැයි මම සිතමි. stackoverflow.com/questions/2283937/…
AviD
මුරපදය තිරය මත ප්‍රදර්ශනය කිරීමෙන් පරිශීලකයාට ප්‍රතිලාභ ලැබේද? මගේ මතය අනුව - අනිවාර්යයෙන්ම ඔව්! අන්තර්ජාලයෙන් අපැහැදිලි මුරපදයක් ලබා දෙන සෑම අවස්ථාවකම, මම එය දෘශ්‍යමාන කිරීමට හැකි වන පරිදි ඇපල් සමාගමට ස්තූතිවන්ත වෙමි. ආබාධිත පුද්ගලයාට කෙසේ හැඟෙනු ඇත්දැයි මට සිතාගත හැකිය.
දිමිත්‍රි සයිට්සෙව්
1
ඔබට මතක තබා ගත හැකි නව මුරපදයක් තෝරා ගැනීමට ඉඩ හැරීමට වඩා අපැහැදිලි මුරපදයක් පෙන්වීම වඩා හොඳ ඇයි?
ජාකොබ්
A ජාකොබ්: තවත් එන්ට්‍රොපි?
ඇලෙක්සැන්ඩර් ෂ්චෙබ්ලිකින්
25

මෙම ප්‍රශ්නයට මා කළ අදහස් දැක්වීමට අනුව:
එක් වැදගත් කරුණක් සෑම දෙනාටම පාහේ පැහැදිලි කර ඇත ... මගේ ආරම්භක ප්‍රතිචාරය @ මයිකල් බ ok ක්ස් හා සමාන විය. , නමුත් මේවා ඒවාය.
නමුත් එසේ වූ විට මට එය සිදුවිය. මෙහි නැතිවූ ස්ථානය, යෙදුමේ වත්කම්වල නොකියූ වටිනාකමයි . සරලව කිවහොත්, අඩු වටිනාකම් සහිත පද්ධතියක් සඳහා, සියලු ක්‍රියාදාමයන් ඇතුළත් පූර්ණ ආරක්‍ෂිත සත්‍යාපන යාන්ත්‍රණයක් අධික ලෙස මරණයට පත්වන අතර වැරදි ආරක්ෂක තේරීමක් වනු ඇත.
නිසැකවම, බැංකුවක් සඳහා, "හොඳම භාවිතයන්" අත්‍යවශ්‍ය වන අතර, සීඩබ්ලිව්ඊ -257 සදාචාරාත්මකව උල්ලං to නය කිරීමට ක්‍රමයක් නොමැත. නමුත් එය වටින්නේ නැති අඩු වටිනාකම් සහිත පද්ධති ගැන සිතීම පහසුය (නමුත් සරල මුරපදයක් තවමත් අවශ්‍ය වේ).

මතක තබා ගැනීම වැදගත්ය, සැබෑ ආරක්ෂණ විශේෂ ise තාව යනු සුදුසු වෙළඳාම් සොයා ගැනීමයි, ඕනෑම කෙනෙකුට අන්තර්ජාලය හරහා කියවිය හැකි “හොඳම පිළිවෙත්” ප්‍රබන්ධ ලෙස ප්‍රකාශ කිරීම නොවේ.

එසේ හෙයින් මම තවත් විසඳුමක් යෝජනා:
මෙම පද්ධතිය වටිනාකම මත පදනම් වන ක්රියා මත, සහ පමණක් නම් පද්ධතිය කිසිදු "මිල අධික" වත්කම් (අනන්යතාව ම, ඇතුළත්) වේගයට අඩු අගය වන අතර, සහ නිසි ක්රියාවලියක් සිදු වන බව විශ්වාස කිරීමට වලංගු ව්යාපාරික අවශ්යතා ඇත කළ නොහැකි (හෝ ප්‍රමාණවත් තරම් දුෂ්කර / මිල අධික), සහ සේවාදායකයා සියළුම අවවාදයන් පිළිබඳව දැනුවත් කරනු ලැබේ ...
එවිට ආපසු හැරවිය හැකි සංකේතනයකට ඉඩ දීම සුදුසු විය හැකිය.
ගුප්තකේතනයට කරදර නොවන්නැයි කීම මම නතර කරමි, මන්ද එය ක්‍රියාත්මක කිරීම ඉතා සරල / ලාභදායී වන හෙයින් (ක්‍රියාත්මක කළ හැකි ප්‍රධාන කළමනාකරණය සලකා බැලුවද), එය යම් ආරක්ෂාවක් සපයයි (එය ක්‍රියාත්මක කිරීමේ පිරිවැයට වඩා වැඩි). එසේම, පරිශීලකයාට මුල් මුරපදය විද්‍යුත් තැපෑලෙන්, තිරය මත ප්‍රදර්ශනය කිරීම වැනි දේ ලබා දෙන්නේ කෙසේද යන්න සොයා බැලීම වටී.
මෙහි උපකල්පනය වන්නේ සොරකම් කරන ලද මුරපදයේ වටිනාකම (සමස්තයක් ලෙස වුවද) තරමක් අඩු බැවින් ඕනෑම එකක් මෙම විසඳුම් වලංගු විය හැකිය.

සජීවී සාකච්ඡාවක් පවතින බැවින්, සැබවින්ම SEVERAL සජීවී සාකච්ඡා, විවිධ තනතුරු සහ වෙනම අදහස් දැක්වීම් නූල් වල, මම පැහැදිලි කිරීම් කිහිපයක් එකතු කර, මෙහි වෙනත් තැනක මතු කර ඇති ඉතා හොඳ කරුණු කිහිපයකට ප්‍රතිචාර දක්වන්නෙමි.

ආරම්භ කිරීම සඳහා, පරිශීලකයාගේ මුල් මුරපදය ලබා ගැනීමට ඉඩ දීම නරක පුරුදු සහ සාමාන්‍යයෙන් හොඳ අදහසක් නොවන බව මෙහි සිටින සෑම කෙනෙකුටම පැහැදිලි යැයි මම සිතමි. එය කිසිසේත්ම ආරවුලක් නොවේ ...
තව දුරටත්, බොහෝ අවස්ථාවන්හිදී, බොහෝ අවස්ථාවන්හිදී - එය ඇත්තෙන්ම වැරදියි, අසභ්‍ය, නපුරු හා කැත බව මම අවධාරණය කරමි .

කෙසේ වෙතත්, එම ප්රශ්නය අතිශය වැදගත් ක් පමණ වේ මූලධර්මය , එය අවශ්ය විය නොහැකි විය ඕනෑම පවතිනුයේ මෙම තහනම් කිරීමට ද, එසේ නම්, ඒ කෙසේ ද එසේ කිරීම තත්ත්වය වඩාත් නිවැරදි ආකාරයට සුදුසු .

දැන්, තෝමස්, f ස්ෆුසෙනෙගර් සහ තවත් කිහිප දෙනෙකු සඳහන් කළ පරිදි, එම ප්‍රශ්නයට පිළිතුරු දීමට ඇති එකම සුදුසු ක්‍රමය නම්, ඕනෑම (හෝ උපකල්පිත) තත්වයක් පිළිබඳ ගැඹුරු අවදානම් විශ්ලේෂණයක් කිරීම, අවදානමට ලක්ව ඇති දේ තේරුම් ගැනීම, ආරක්ෂා කිරීම කොතරම් වටිනවාද යන්නයි. , සහ එම ආරක්ෂාව ලබා දීම සඳහා වෙනත් අඩුකිරීම් මොනවාද?
නැත, එය ප්‍රහේලිකාවක් නොවේ, මෙය සැබෑ සජීවී ආරක්ෂක වෘත්තිකයෙකු සඳහා වන මූලික, වැදගත්ම මෙවලම්වලින් එකකි. හොඳම පරිචයන් යම් තාක් දුරට හොඳයි (සාමාන්‍යයෙන් අද්දැකීම් අඩු සහ හක්ක සඳහා මාර්ගෝපදේශ ලෙස), එම අවස්ථාවෙන් පසු කල්පනාකාරී අවදානම් විශ්ලේෂණය භාර ගනී.

ඔව්, එය විහිලුවක් - මම සැමවිටම මා ආරක්ෂක උමතුවෙන් කෙනෙකු ලෙස සැලකුවෙමි, කෙසේ හෝ මම ඊනියා "ආරක්ෂක විශේෂ erts යින්" ගේ විරුද්ධ පැත්තේ සිටිමි ... හොඳයි, සත්‍යය නම් - මම උමතුවෙන් සිටින නිසා, සහ සැබෑ සැබෑ ජීවිත ආරක්ෂණ විශේෂ expert යෙක් - සියලු වැදගත් අවදානම් විශ්ලේෂණයන් නොමැතිව “හොඳම පුහුණුවීම්” ප්‍රවාදය (හෝ සීඩබ්ලිව්ඊ) ප්‍රකාශ කිරීම ගැන මම විශ්වාස නොකරමි .
"ආරක්ෂක ජ්වලිතයා පරෙස්සම් වන්න, ඔවුන් ආරක්ෂා කරන සැබෑ ගැටළුව කුමක්දැයි නොදැන ඔවුන්ගේ මෙවලම් තීරයේ සෑම දෙයක්ම යෙදීමට ඉක්මන් වේ. වැඩි ආරක්ෂාවක් අනිවාර්යයෙන්ම හොඳ ආරක්ෂාවට සමාන නොවේ."
අවදානම් විශ්ලේෂණය, සහ සැබෑ ආරක්ෂක උමතුව, අවදානම, විභව අලාභය, සිදුවිය හැකි තර්ජන, අනුපූරක අවම කිරීම් ආදිය මත පදනම් වූ වඩා හොඳ, වටිනාකම් / අවදානම් පදනම් කරගත් වෙළඳාමක් වෙත යොමු වේ. හොඳ අවදානම් විශ්ලේෂණයක් ලෙස පෙන්වා දිය නොහැකි ඕනෑම "ආරක්ෂක විශේෂ ert යෙක්" ඔවුන්ගේ නිර්දේශ සඳහා පදනම, හෝ තාර්කික වෙළඳාමට සහාය වීම, නමුත් ඒ වෙනුවට අවදානම් විශ්ලේෂණයක් සිදු කරන්නේ කෙසේද යන්න පවා තේරුම් නොගෙන ප්‍රවාද සහ සීඩබ්ලිව්ඊ වලට විරුද්ධ වීමට කැමැත්තක් දක්වන්නේ ආරක්ෂක වැටලීම් මිස වෙන කිසිවක් නොවේ. ඔවුන්ගේ විශේෂ ert තාව ඔවුන් මුද්‍රණය කළ වැසිකිලි කඩදාසි වටින්නේ නැත.

ඇත්ත වශයෙන්ම, ගුවන්තොටුපල ආරක්ෂාව නම් හාස්‍යජනක බව අපට ලැබෙන්නේ එලෙසිනි.

නමුත් මෙම තත්වය තුළ සිදු කිරීමට සුදුසු වෙළඳාම් ගැන කතා කිරීමට පෙර, පෙනෙන අවදානම් දෙස බලමු (පෙනෙන හැටියට, මෙම තත්වය පිළිබඳ සියලු පසුබිම් තොරතුරු අප සතුව නොමැති හෙයින්, අපි සියල්ලෝම උපකල්පනය කරමු - ප්‍රශ්නය වන්නේ උපකල්පිත කුමක්ද යන්නයි. තත්වය තිබිය හැකිය ...)
අඩු අගයක් සහිත පද්ධතියක් උපකල්පනය කරමු, නමුත් එය මහජන ප්‍රවේශය තරම් සුළු දෙයක් නොවේ - පද්ධති හිමිකරුට අනියම් ලෙස පෙනී සිටීම වැළැක්වීමට අවශ්‍ය වුවද, “ඉහළ” ආරක්ෂාව භාවිතයේ පහසුව තරම්ම වැදගත් නොවේ. (ඔව්, ඕනෑම ප්‍රවීණ ස්ක්‍රිප්ට්-කිඩ්ඩි කෙනෙකුට වෙබ් අඩවිය හැක් කළ හැකි අවදානම පිළිගැනීම නීත්‍යානුකූල වෙළඳාමකි ... ඉන්න, දැන් APT ප්‍රචලිත නොවේද ...?)
නිදසුනක් වශයෙන්, විශාල පවුල් රැස්වීමක් සඳහා මම සරල වෙබ් අඩවියක් පිළියෙළ කරමි යැයි කියමු, මේ වසරේ අපගේ කඳවුරු ගමනට යාමට අපට අවශ්‍ය තැන ගැන සිතීමට සෑම කෙනෙකුටම ඉඩ සලසයි. සමහර නිර්නාමික හැකර් කෙනෙකු ගැන හෝ කසින් ෆ්‍රෙඩ් පවා නැවත නැවත වන්ටනමනාබිකිලිකි විල වෙත යෑමට යෝජනා කිරීම ගැන මම කනස්සල්ලට පත්ව සිටිමි. දැන්, අර්මා නැන්දා, න්‍යෂ්ටික භෞතික විද්‍යා ist යෙකු වන අතර, මුරපද මතක තබා ගැනීමට හෝ පරිගණක භාවිතා කිරීමට පවා එතරම් හොඳ නැත ... එබැවින් මට හැකි සෑම iction ර්ෂණයක්ම ඉවත් කිරීමට මට අවශ්‍යය. නැවතත්, මම හක්ක ගැන කරදර නොවෙමි, වැරදි පිවිසුමේ මෝඩ වැරදි මට අවශ්‍ය නැත - මට පැමිණෙන්නේ කවුරුන්ද සහ ඔවුන්ට අවශ්‍ය දේ දැන ගැනීමට අවශ්‍යය.

කෙසේ හෝ වේවා.
ඉතින් අපි මෙහි ඇති ප්‍රධාන අවදානම් මොනවාද, අපි මුරපද සමමිතිකව සංකේතනය කරන්නේ නම්, ඒකපාර්ශ්වික හැෂ් එකක් භාවිතා කරනවා වෙනුවට?

  • පරිශීලකයින් ලෙස පෙනී සිටිනවාද? නැත, මම දැනටමත් එම අවදානම පිළිගෙන ඇත, සිත්ගන්නා සුළු නොවේ.
  • නපුරු පරිපාලක? හොඳයි, සමහර විට ... නමුත් නැවතත්, යමෙකුට වෙනත් පරිශීලකයෙකු ලෙස පෙනී සිටිය හැකිදැයි මට ප්‍රශ්නයක් නැත , අභ්‍යන්තර හෝ නැත ... කෙසේ වෙතත් අනිෂ්ට පරිපාලකයෙකු ඔබගේ මුරපදය කුමක් වුවත් ලබා ගනීවි - ඔබේ පරිපාලකයා නරක අතට හැරී ඇත්නම්, කෙසේ හෝ එහි ක්‍රීඩාව අවසන් වේ.
  • මතු වී ඇති තවත් ගැටළුවක් නම් අනන්‍යතාවය ඇත්ත වශයෙන්ම පද්ධති කිහිපයක් අතර බෙදා ගැනීමයි. ආ! මෙය ඉතා සිත්ගන්නා අවදානමකි, ඒ සඳහා සමීප බැල්මක් අවශ්‍ය වේ. බෙදාහදා ගත්
    සත්‍ය අනන්‍යතාවය , ඒ වෙනුවට සාධනය හෝ සත්‍යාපන අක්තපත්‍ර නොවන බව ප්‍රකාශ කිරීමෙන් මට ආරම්භ කිරීමට ඉඩ දෙන්න . හරි, හවුල් මුරපදයක් මඟින් වෙනත් පද්ධතියකට (මගේ බැංකු ගිණුම, හෝ ජීමේල්) පිවිසීමට effectively ලදායී ලෙස ඉඩ ලබා දෙන බැවින්, මෙය effectively ලදායී ලෙස එකම අනන්‍යතාවයයි, එබැවින් එය අර්ථ නිරූපණයන් පමණි ... හැර එය එසේ නොවේ . අනන්‍යතාවය එක් එක් පද්ධතිය විසින් වෙන වෙනම කළමනාකරණය කරනු ලැබේ, මෙම තත්වය තුළ (OAuth වැනි තෙවන පාර්ශවීය හැඳුනුම් පද්ධති තිබිය හැකි වුවද - තවමත්, මෙම පද්ධතියේ අනන්‍යතාවයෙන් එය වෙන් වී ඇත - පසුව වැඩි විස්තර).
    එනිසා මෙහි අවදානමේ මූලික කරුණ නම්, පරිශීලකයා සිය (එකම) මුරපදය විවිධ පද්ධති කිහිපයකට කැමැත්තෙන් ඇතුළත් කිරීමයි - දැන්, මට (පරිපාලක) හෝ මගේ වෙබ් අඩවියේ වෙනත් ඕනෑම හැකර්වරයකුට අර්මා නැන්දාගේ මුරපද සඳහා ප්‍රවේශය ඇත. න්‍යෂ්ටික මිසයිල අඩවිය.

හ්ම්ම්.

මෙහි කිසිවක් ඔබට නොපෙනේද?

එය විය යුතුයි.

න්‍යෂ්ටික මිසයිල පද්ධතිය ආරක්ෂා කිරීම මගේ වගකීම නොවන බව පටන් ගනිමු , මම හුදෙක් පවුල් පිටවන ස්ථානයක් (මගේ පවුල සඳහා) ගොඩනඟමි. ඉතින් එය කාගේ වගකීමක්ද? ම් ... න්‍යෂ්ටික මිසයිල පද්ධතිය ගැන කුමක් කිව හැකිද? ඩු.
දෙවනුව, මට යමෙකුගේ මුරපදය සොරකම් කිරීමට අවශ්‍ය නම් (ආරක්ෂිත වෙබ් අඩවි අතර එකම මුරපදය නැවත නැවත භාවිතා කරන බව දන්නා අයෙක් සහ එතරම් ආරක්ෂිත නොවන අය) - ඔබේ වෙබ් අඩවිය අනවසරයෙන් ඇතුළුවීමට මා කරදර වන්නේ ඇයි? නැතහොත් ඔබේ සමමිතික ගුප්තකේතනය සමඟ පොරබදමින් සිටිනවාද? ගොෂ්ඩර්නිටාල්, මට මගේම සරල වෙබ් අඩවියක් සැකසිය හැකිය , පරිශීලකයින්ට අවශ්‍ය ඕනෑම දෙයක් පිළිබඳව ඉතා වැදගත් ප්‍රවෘත්ති ලබා ගැනීමට ලියාපදිංචි වන්න ... පෆෝ ප්‍රෙස්ටෝ, මම ඔවුන්ගේ මුරපද "සොරකම්" කළෙමි.

ඔව්, පරිශීලක අධ්‍යාපනය සෑම විටම අපව හයිනියේ දෂ්ට කිරීමට නැවත පැමිණේ, එසේ නොවේ ද?
ඒ සඳහා ඔබට කළ හැකි කිසිවක් නැත ... ඔබ ඔවුන්ගේ මුරපද ඔබේ වෙබ් අඩවියේ හැෂ් කිරීමටත්, ටීඑස්ඒ ගැන සිතිය හැකි අනෙක් සියල්ල කිරීමටත් ඔබ උත්සාහ කළත්, ඔබ ඔවුන්ගේ මුරපදයට ආරක්ෂාව එක් කළේ නැත , ඔවුන් තබා ගැනීමට යන්නේ නම් ඔවුන් මුරපද සෑම වෙබ් අඩවියකටම ඇලවීම. උත්සාහ කිරීමට කරදර නොවන්න.

වෙනත් ක්‍රමයක් තබන්න, ඔබට ඔවුන්ගේ මුරපද අයිති නැත , එබැවින් ඔබ මෙන් ක්‍රියා කිරීමට උත්සාහ කිරීම නවත්වන්න.

ඉතින්, මගේ ආදරණීය ආරක්ෂක විශේෂ erts යන්, මහලු කාන්තාවක් ලෙස වෙන්ඩිගෙන් ඇසුවේ, "අවදානම කොහේද?"

ඉහත කරුණු කිහිපයක් සඳහා පිළිතුරු වශයෙන් තවත් කරුණු කිහිපයක්:

  • සීඩබ්ලිව්ඊ යනු නීතියක්, රෙගුලාසියක් හෝ ප්‍රමිතියක් නොවේ. එය පොදු දුර්වලතා එකතුවකි , එනම් “හොඳම පිළිවෙත්” වල ප්‍රතිලෝමය.
  • හවුල් අනන්‍යතාවය පිළිබඳ ගැටළුව සත්‍ය ගැටළුවක් වන නමුත් මෙහි සිටින නයිසේයර්වරුන් විසින් වරදවා වටහාගෙන ඇත (හෝ වැරදි ලෙස නිරූපණය කර ඇත). එය අඩු වටිනාකම් සහිත පද්ධතිවල මුරපද බිඳ දැමීම ගැන නොව, තමා තුළම අනන්‍යතාවය බෙදා ගැනීමේ ගැටළුවකි (!). ඔබ අඩු වටිනාකමක් සහ ඉහළ වටිනාකමක් ඇති පද්ධතියක් අතර මුරපදයක් බෙදා ගන්නේ නම්, ගැටලුව දැනටමත් තිබේ!
  • විසින් වන විට, මීට පෙර අවස්ථාවක ඇත්තටම පෙන්වා ඇත එෙරහිව OAuth භාවිතා කිරීම සහ මෙම අඩු වටිනාකම් පද්ධතීන්, සහ ඉහළ-අගය බැංකු ක්රම දෙකම සඳහා මෙන්.
  • එය උදාහරණයක් පමණක් බව මම දනිමි, නමුත් (කනගාටුවට කරුණක් නම්) එෆ්බීඅයි පද්ධති සැබවින්ම වඩාත්ම ආරක්‍ෂිත නොවේ. ඔබේ බළලුන්ගේ බ්ලොග් සේවාදායකයට සමාන නැත, නමුත් ඒවා වඩාත් ආරක්ෂිත බැංකු සමහරක් ඉක්මවා යන්නේද නැත.
  • ගුප්තකේතන යතුරු බෙදීමේ දැනුම හෝ ද්විත්ව පාලනය මිලිටරියේ පමණක් සිදු නොවේ, ඇත්ත වශයෙන්ම PCI-DSS සඳහා දැන් අවශ්‍ය වන්නේ මූලික වශයෙන් සියලුම වෙළෙන්දන්ගෙන්ය, එබැවින් එය එතරම් දුරට එතැනින් එහාට නොවේ (වටිනාකම එය සාධාරණීකරණය කරන්නේ නම්).
  • සංවර්ධක වෘත්තිය මෙතරම් නරක ලෙස පෙනෙන්නේ මෙවැනි ප්‍රශ්න යැයි පැමිණිලි කරන සියලු දෙනාටම: එය වැනි පිළිතුරු නිසා ආරක්ෂක වෘත්තිය වඩාත් නරක අතට හැරේ. නැවතත්, ව්‍යාපාර ඉලක්ක කරගත් අවදානම් විශ්ලේෂණය අවශ්‍ය වන්නේ, එසේ නොමැතිනම් ඔබ ඔබම නිෂ් less ල කරවයි. වැරදි වීමට අමතරව.
  • වෙනස් ආකාරයකින් සිතීමට පුහුණුවක් නොමැතිව සහ නිවැරදි වෙළඳාම් සොයා බැලීම සඳහා නිත්‍ය සංවර්ධකයෙකු රැගෙන ඔහු මත වැඩි ආරක්ෂක වගකීම් පැවරීම හොඳ අදහසක් නොවන්නේ මේ නිසා යැයි මම සිතමි. වරදක් නැත, ඔබ මෙහි සිටින අයට, මම ඒ සඳහා සියල්ලෝම වෙමි - නමුත් වැඩි පුහුණුවක් පිළිවෙලට තිබේ.

තිරිඟු. මොනතරම් දිගු පෝස්ට්
එකක්ද ... නමුත් ඔබේ මුල් ප්‍රශ්නයට පිළිතුරු දීමට @ ෂේන්:

  • දේවල් කිරීමට නිසි ක්‍රමය පාරිභෝගිකයාට පැහැදිලි කරන්න.
  • ඔහු තවමත් අවධාරනය කරන්නේ නම්, තවත් කරුණු පැහැදිලි කරන්න, අවධාරනය කරන්න, තර්ක කරන්න. අවශ්ය නම්, උපහාසයක් විසි කරන්න.
  • ව්‍යාපාර අවදානම ඔහුට පැහැදිලි කරන්න. විස්තර හොඳයි, සංඛ්‍යා වඩා හොඳයි, සජීවී නිරූපණයක් සාමාන්‍යයෙන් හොඳම ය.
  • ඔහු තවමත් අවධාරනය කරන්නේ නම් සහ වලංගු ව්‍යාපාරික හේතු ඉදිරිපත් කරන්නේ නම් - ඔබට විනිශ්චය ඇමතුමක් ගැනීමට කාලයයි:
    මෙම වෙබ් අඩවිය අඩු වටිනාකමක් තිබේද? එය ඇත්ත වශයෙන්ම වලංගු ව්‍යාපාර නඩුවක්ද? එය ඔබට ප්‍රමාණවත්ද? ඔබට සලකා බැලිය හැකි වෙනත් අවදානම් නොමැතිද, එය වලංගු ව්‍යාපාරික හේතු ඉක්මවා යයිද? (ඇත්ත වශයෙන්ම, සේවාදායකයා අනිෂ්ට වෙබ් අඩවියක් නොවේ, නමුත් එය ඩුහ්).
    එසේ නම්, ඉදිරියට යන්න. අවශ්‍ය ක්‍රියාවලිය ක්‍රියාත්මක කිරීම සඳහා උත්සාහ කිරීම, iction ර්ෂණය සහ නැතිවූ භාවිතය (මෙම උපකල්පිත තත්වය තුළ) වටින්නේ නැත. වෙනත් ඕනෑම තීරණයක් (නැවතත්, මෙම තත්වය තුළ) නරක වෙළඳාමකි.

එබැවින්, පහළම තලය සහ සත්‍ය පිළිතුරක් - සරල සමමිතික ඇල්ගොරිතමයකින් එය සංකේතනය කරන්න, ශක්තිමත් ACL සමඟ සංකේතාංකන යතුර ආරක්ෂා කරන්න සහ වඩාත් සුදුසු DPAPI හෝ ඒ හා සමාන ය, එය ලේඛනගත කර සේවාදායකයා (එම තීරණය ගැනීමට තරම් ජ්‍යෙෂ් senior කෙනෙකු) අත්සන් කරන්න එය.

අවීඩ්
source
5
ඔබේ අඩු අගය අඩවිය "නැත" මිල අධික වත්කම් හා ෆේස්බුක් / ජීමේල් / ඔබේ බැංකුව සමඟ මුරපද හවුල් වේ පවා අඩු අගය අඩවි මත, මිල අධික වත්කම්.
jammycakes
3
මම හිතන්නේ මෙහි ඇති ගැටළුව නම්, ඉහත සඳහන් කළ පරිශීලකයින්ගේ කණ්ඩායම් විවිධ ආරක්ෂක මට්ටම්වල (බැංකුකරණයේ සිට වට්ටෝරු බ්ලොග් දක්වා) සියලුම යෙදුම් සඳහා එකම මුරපදය භාවිතා කිරීමට නැඹුරු වීමයි. එබැවින් ප්‍රශ්නය වන්නේ පරිශීලකයින් තමන්ගෙන් පවා ආරක්ෂා කර ගැනීම සංවර්ධකයාගේ වගකීමයි. මම අනිවාර්යයෙන්ම කියනවා, ඔව්!
ercan
7
මට කණගාටුයි, නමුත් අනන්‍යතාවය යනු ඉහළ වටිනාකමක් ඇති වත්කමක්, කාල පරිච්ඡේදයකි. ව්යතිරේක නැත, නිදහසට කරුණක් නැත. ඔබේ වෙබ් අඩවිය කෙතරම් කුඩා හා අනපේක්ෂිත වුවත් ඔබ සිතන්නේ නැත. හවුල් මුරපදයක් යනු ඔබගේ පරිශීලකයින්ගේ ෆේස්බුක් ගිණුම්, ජීමේල් ගිණුම්, බැංකු ගිණුම් යනාදිය තුළට හැකර්ට ඉඩ දෙන්නේ නම් අනන්‍යතාවයයි. එය අර්ථ නිරූපණයන් සමඟ කළ යුතු කිසිවක් නොවේ, නමුත් ප්‍රතිවිපාක සමඟ කළ යුතු සියල්ල එයයි. මේ වගේ හැකර් ප්‍රහාරයකින් පීඩාවට පත් ඕනෑම අයෙකුගෙන් විමසන්න
jammycakes
2
Ac ජාකොබ්, වෙනත් පද්ධතිවල අර්මාගේ ගිණුම් අඩපණ වී ඇති නිසා ඔබේ සේවාදායකයාට එරෙහිව නඩු පවරන්නේ කුමන ලෝකයේද? ඔබේ සේවාදායකයාගේ පැත්තෙන් දැඩි නොසැලකිල්ලක් ලබා දී ඇතත් (එය මා විස්තාරනය කළ පරිදි ලබා දී නැත), සහ ඔබ නිසා අනෙක් පද්ධතිය උල්ලං was නය වී ඇති බව සනාථ කිරීමට ක්‍රමයක් නොමැති බව හැර, නීතිමය ස්ථාවරයක් තිබිය නොහැක එක් පද්ධතියකින් වෙනත් පද්ධතියකට සිදුවන ඕනෑම හානියක් ඉල්ලා සිටින්න. එය අගතියෙන් උසාවියෙන් ඉවතට විසි කරනු ඇති අතර පැමිණිලිකරු අපහාසයට ලක් කරයි. කෙසේ වෙතත්, බොහෝ සේවා කොන්දේසි
උල්ලං for නය
5
A ජාකොබ්, ඒක හරිම වැරදියි. මුරපදය එක හා සමාන වූ පමණින් (එය ඔබගේ සේවා නියුක්ති කාර්යාංශය සහ ඔවුන්ගේ ආරක්ෂක ප්‍රතිපත්තිය පැහැදිලිවම උල්ලං would නය කරයි), ඒවා දෙක විඛාදනය කිරීමේ නීතිමය ස්ථාවරයක් නොවේ. එය ඔප්පු කිරීම කළ නොහැක්කකට ආසන්න වනු ඇත. එක් අතකින්, නිශ්චිත රෙගුලාසි අදාළ නොවන්නේ නම්, අහඹු සමාගමකට සැහැල්ලු ආරක්ෂණ පිළිවෙත් නොතිබිය යුතු නීතියක් නොමැති බව මම පෙන්වා දෙමි. ඊට ඉහළින්, මුරපද සංකේතනය කර ඇත (!), එබැවින් ලිහිල්කම සමාව දුන් නිගමනයකට වඩා බොහෝ සෙයින් වෙනස් ය.
AviD
21

බාගෙට ගෙයක් ගැන කොහොමද?

මුරපද ශක්තිමත් සංකේතනයකින් ගබඩා කරන්න, නැවත සැකසීම් සක්‍රීය නොකරන්න.

මුරපද යළි පිහිටුවීම වෙනුවට, එක් වරක් මුරපදයක් යැවීමට ඉඩ දෙන්න (පළමු පිවිසුම සිදු වූ වහාම එය වෙනස් කළ යුතුය). පරිශීලකයාට අවශ්‍ය ඕනෑම මුරපදයකට වෙනස් කිරීමට ඉඩ දෙන්න (පෙර එක, ඔවුන් තෝරා ගන්නේ නම්).

මුරපද නැවත සැකසීමේ ආරක්ෂිත යාන්ත්‍රණයක් ලෙස ඔබට මෙය "විකිණීමට" හැකිය.

ඔඩෙඩ්
source
ඔබ දන්නවා, මම එය අවස්ථා කිහිපයකදී භාවිතා කර ඇත්තෙමි (සාමාන්‍යයෙන් මෙය මගේ මැද පිටියයි), නමුත් අවසාන පරිශීලකයා අන්තර්ක්‍රියාකාරිත්වයට නොපැමිණෙන බවත්, එම සහයෝගය 'ඔවුන්ට පැවසීමට' අවශ්‍ය බවත් මට බොහෝ අය පැවසූහ. මුරපදය 'එම ව්‍යාපාරයේ තත්වයන් නිසා'. හැකි සෑම විටම මෙය වඩාත් සුදුසු බව මම එකඟ වෙමි.
ෂේන්
ඔබේ සේවාදායකයාට ඔවුන්ගේ ඩීබී නපුරු අතට වැටීමේ අවදානම සහ ඔවුන් සොරකම් කළ මුරපද පිළිබඳ ප්‍රසිද්ධිය ලබා ගැනීම ගැන ඔබට සැමවිටම පැවසිය හැකිය ... අවට උදාහරණ ඕනෑ තරම් තිබේ.
Oded
6
"සැලසුම" අත්සන් කිරීමට ඔවුන්ගෙන් ඉල්ලා සිටින්න, අමතර වගන්තියක් සමඟ ඔබ ඔවුන්ට අනතුරු ඇඟවූ දේ ඇත්ත වශයෙන්ම සිදුවුවහොත් ඔවුන්ට නඩු පැවරිය නොහැක ... අවම වශයෙන් ඔබ ඔබම ආවරණය කරයි.
Oded
4
-1 මුරපද එය සතොස-257 උල්ලංඝනය කිරීමක් "ගුප්තකේතිත" නොකළ යුතු cwe.mitre.org/data/definitions/257.html
rook
34
Ic මයිකල් බ ok ක්ස්: එකම ප්‍රකාශය නැවත නැවතත් පහත් කොට පිටපත් කිරීම අවශ්‍ය නොවේ; එය නරක පුරුද්දක් බව අපි කවුරුත් දනිමු. ෂේන් ​​කියා සිටියේ තමාට මේ කාරණය සම්බන්ධයෙන් උත්තේජනයක් නොමැති බවත්, එබැවින් ඊළඟ හොඳම දේ (ය) යෝජනා කරන බවත්ය.
ජොහැන්නස් ගොර්සෙට්
13

පරිශීලකයාට ඔවුන්ගේ මුල් මුරපදය ලබා ගැනීමට ඉඩ දිය හැකි එකම ක්‍රමය එය පරිශීලකයාගේම පොදු යතුර සමඟ සංකේතනය කිරීමයි. ඔවුන්ගේ මුරපදය විකේතනය කළ හැක්කේ එම පරිශීලකයාට පමණි.

එබැවින් පියවර වනුයේ:

  1. මුරපදයක් සැකසීමකින් තොරව පරිශීලක ඔබේ වෙබ් අඩවියේ (ඇත්ත වශයෙන්ම SSL හරහා) ලියාපදිංචි වේ. ඒවා ස්වයංක්‍රීයව පුරනය වන්න හෝ තාවකාලික මුරපදයක් ලබා දෙන්න.
  2. අනාගත මුරපද ලබා ගැනීම සඳහා ඔවුන්ගේ පොදු පීජීපී යතුර ගබඩා කිරීමට ඔබ ඉදිරිපත් වේ.
  3. ඔවුන් ඔවුන්ගේ පොදු පීජීපී යතුර උඩුගත කරයි.
  4. නව මුරපදයක් සැකසීමට ඔබ ඔවුන්ගෙන් ඉල්ලා සිටී.
  5. ඔවුන් මුරපදය ඉදිරිපත් කරයි.
  6. ලබා ගත හැකි හොඳම මුරපද හැෂිං ඇල්ගොරිතම භාවිතා කරමින් ඔබ මුරපදය හෑෂ් කරයි (උදා: bcrypt). ඊළඟ පිවිසුම වලංගු කිරීමේදී මෙය භාවිතා කරන්න.
  7. ඔබ මුරපදය පොදු යතුර සමඟ සංකේතනය කර වෙන වෙනම ගබඩා කරන්න.

පරිශීලකයා ඔවුන්ගේ මුරපදය ඉල්ලා සිටියහොත්, ඔබ සංකේතාත්මක (හැෂ් නොකළ) මුරපදය සමඟ ප්‍රතිචාර දක්වයි. අනාගතයේදී ඔවුන්ගේ මුරපදය ලබා ගැනීමට පරිශීලකයා අකමැති නම් (ඔවුන්ට එය සේවා උත්පාදනය කළ එකක් වෙත නැවත සැකසීමට හැකි වනු ඇත), පියවර 3 සහ 7 මඟ හැරිය හැක.

නිකලස් ෂෑන්ක්ස්
source
5
බොහෝ පරිශීලකයින්ට PGP යතුරක් නොමැත (මට තවමත් එකක් නැත; කර්මාන්තයේ වසර 20 කට පසු, මට කිසි විටෙකත් අවශ්‍යතාවය දැනුනේ නැත), එය එකක් ලබා ගැනීමේ iction ර්ෂණ රහිත ක්‍රියාවලියක් නොවේ. තවද, පුද්ගලික යතුර ඇත්ත වශයෙන්ම මුරපදයක් සඳහා වන ප්‍රොක්සියකි. එය මුරපදයක් සඳහා මුරපදයකි, වෙනත් වචන වලින්; කැස්බෑවන් හැම අතින්ම.
රොබට් හාවි
1
O රොබට් හාර්වි ඉලක්කය වන්නේ වෙබ් අඩවි සේවකයින්ට හෝ හැකර්වරුන්ට එය ලබා ගැනීමට ඉඩ නොදී පරිශීලකයාට ඔවුන්ගේ මුරපදය ලබා ගැනීමට ඉඩ දීමයි. නැවත ලබා ගැනීමේ ක්‍රියාවලිය පරිශීලකයාගේම පරිගණකයෙන් සිදුවිය යුතු යැයි නියම කිරීමෙන්, ඔබ මෙය බලාත්මක කරයි. පීපීපීයට එය සාක්ෂාත් කරගත හැකි විකල්ප තිබිය හැකිය. කැස්බෑවන් පහළට වන්නට ඇත (සමහර විට අලි ඇතුන් සමහර විට), නමුත් මට වෙනත් මාර්ගයක් නොපෙනේ. සාමාන්‍ය ජනතාවට (තනි තනිව ඉලක්ක වීමට ඉඩක් නැත) ඔබේ මුරපද ටිකක් කඩදාසි මත තබා තිබීම සහ ඒවා සේවයෙන් ලබා ගැනීමට නොහැකි වීම, අප දැනට සිටින තත්වයට වඩා ආරක්ෂිත වනු ඇත
නිකලස් ෂෑන්ක්ස්
මම එයට කැමතියි එය සෑම කෙනෙකුටම පීජීපී පොදු යතුරක් ලබා ගැනීමට බල කරන නිසා, එය පුදුම සහගත ලෙස කළ යුතු සදාචාරාත්මක දෙයකි.
ලොඩ්විජ්ක්
ඔබට එකක් ජනනය කර එය පරිශීලකයාට ලබා දිය හැකිය.
My1
O රොබට් හාර්වි මෙය “iction ර්ෂණ රහිත ක්‍රියාවලියක්” නොවන බව ඔබ නිවැරදියි, නමුත් එය බලශක්තිය භාවිතා කරන්නන් සඳහා අතිරේක සේවාවක් විය හැකි අතර සාමාන්‍ය පරිශීලකයින්ට එය නොසලකා හැරිය හැකිය. PK “මුරපදයක් සඳහා මුරපදයක්” වීම පිළිබඳ තර්කය සම්බන්ධයෙන් ගත් කල, එය බොහෝ මුරපද සඳහා න්‍යායිකව එසේ විය හැකි බව මතක තබා ගන්න ; ඔබට විවිධ සේවාවන් සඳහා විවිධ මුරපද භාවිතා කළ හැකි අතර ඒවා සියල්ලම එකම යතුරකින් සංකේතනය කරන්න. එවිට එක් මුරපදයකට වඩා PK වඩා වටිනා වනු ඇත. සමහර විට එය මුරපද කළමනාකරුවෙකු (?) හා සැසඳිය හැකි වියුක්ත ආකාරයකින් විය හැකිය. මෙය කෙසේ වෙතත් කුමන ප්‍රතිවිපාක ඇතිවිය හැකිදැයි මට වහාම පැහැදිලි නැත ...
Kjartan
12

මම හිතන්නේ ඔබ ඔබෙන්ම ඇසිය යුතු සැබෑ ප්‍රශ්නය මෙයයි: 'මිනිසුන්ට ඒත්තු ගැන්වීමට මට වඩා හොඳ විය හැක්කේ කෙසේද?'

z- ලොක්කා
source
4
ne ස්නෙග් - හොඳයි, මම තරයේ විශ්වාස කරන පුද්ගලයෙක්, නමුත් සමහර විට එය ලොක්කා සහ සමහර විට ගනුදෙනුකරුවෙකි, එබැවින් මට සෑම විටම ඔවුන්ට එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් ඒත්තු ගැන්වීමට අවශ්‍ය උත්තේජනය නොමැත. මම තව ටිකක් කණ්නාඩියේ පුහුණුවීම් කරමි ..;)
ෂේන්
ඒත්තු ගැන්වීමට ඔබට ඔබේ නිපුණතාවය සහ සන්නිවේදන කුසලතාව හැර වෙනත් කිසිදු උත්තේජනයක් අවශ්‍ය නොවේ. ඔබ යමක් කිරීමට වඩා හොඳ ක්‍රමයක් දන්නා නමුත් මිනිසුන් සවන් නොදෙන්නේ නම් ... ඒ ගැන සිතන්න.
z- ලොක්කා
7
@ z- ලොක්කා - පෙනෙන විදිහට ඔබ මා සමඟ වැඩ කිරීමේ සතුට ලබා ඇති සමහර දැඩි හිස් සමඟ වැඩ කර නැත. සමහර විට ඔබේ දිව රන්වන් පැහැයෙන් ආලේප කර තිබීමත්, ඔබට දිනකට ගූගල් ක්‍රෝම් නැවත ප්‍රජනනය කළ හැකි වීමත් වැදගත් නැත (එය ඇත්ත වශයෙන්ම එය ප්‍රයෝජනවත් වනු ඇත) ඒවා තවමත් අයවැය නොවනු ඇත.
ෂේන්
11

මට ඇත්තේ එකම ප්‍රශ්නයකි. ඒ හා සමානව මම නිතරම සිතන්නේ කවුරුහරි මගේ පද්ධතිය හැක් කළහොත් එය "නම්" නොව "කවදාද" යන්න නොවේ.

එබැවින්, ක්‍රෙඩිට් කාඩ්පතක් හෝ මුරපදයක් වැනි ආපසු අයකර ගත හැකි රහස්‍ය තොරතුරු ගබඩා කිරීමට අවශ්‍ය වෙබ් අඩවියක් මා විසින් කළ යුතු විට, මම එය කරන්නේ:

  • සමඟ සංකේතනය කරන්න: openssl_encrypt (string $ data, string $ method, string $ password)
  • දත්ත ආග් :
    • සංවේදී තොරතුරු (උදා: පරිශීලක මුරපදය)
    • අවශ්‍ය නම් අනුක්‍රමික කරන්න, උදා: තොරතුරු බහු සංවේදී තොරතුරු වැනි දත්ත සමූහයක් නම්
  • මුරපදය arg : පරිශීලකයා පමණක් දන්නා තොරතුරු භාවිතා කරන්න:
    • පරිශීලක බලපත්‍ර තහඩුව
    • සමාජ ආරක්ෂණ අංකය
    • පරිශීලක දුරකථන අංකය
    • පරිශීලක මවගේ නම
    • අහඹු නූලක් විද්‍යුත් තැපෑලෙන් සහ / හෝ ලියාපදිංචි වේලාවේ කෙටි පණිවුඩ මගින් යවනු ලැබේ
  • ක්‍රමය arg :
    • "aes-256-cbc" වැනි එක් කේතාංක ක්‍රමයක් තෝරන්න
  • කවදාවත්"මුරපදය" තර්කයේ භාවිතා වන තොරතුරු දත්ත ගබඩාවේ ගබඩා (හෝ පද්ධතියේ ඕනෑම ස්ථානයක්)

මෙම දත්ත නැවත ලබා ගැනීමට අවශ්‍ය වූ විට "openssl_decrypt ()" ශ්‍රිතය භාවිතා කර පරිශීලකයාගෙන් පිළිතුර විමසන්න. උදා: "ඔබගේ මුරපදය ලබා ගැනීම සඳහා ඔබේ ජංගම දුරකථන අංකය කුමක්ද?"

PS 1 : දත්ත සමුදායේ ගබඩා කර ඇති දත්ත කිසි විටෙක මුරපදයක් ලෙස භාවිතා නොකරන්න. ඔබට පරිශීලක ජංගම දුරකථන අංකය ගබඩා කිරීමට අවශ්‍ය නම්, දත්ත කේතනය කිරීමට මෙම තොරතුරු කිසි විටෙකත් භාවිතා නොකරන්න. පරිශීලකයා පමණක් දන්නා හෝ relative ාතියෙකු නොවන කෙනෙකුට එය දුෂ්කර බව සෑම විටම භාවිතා කරන්න.

PS 2 : ක්‍රෙඩිට් කාඩ් තොරතුරු සඳහා, “එක ක්ලික් කිරීමක්” වැනි, මම කරන්නේ පිවිසුම් මුරපදය භාවිතා කිරීමයි. මෙම මුරපදය දත්ත සමුදායේ (sha1, md5, ආදිය) හෑෂ් කර ඇත, නමුත් පිවිසුම් වේලාවේදී මම සරල පෙළ මුරපදය සැසිය තුළ හෝ නොනවතින (එනම් මතකයේ) ආරක්ෂිත කුකියක ගබඩා කරමි. මෙම සරල මුරපදය කිසි විටෙකත් දත්ත ගබඩාවේ නොපවතින අතර ඇත්ත වශයෙන්ම එය සැමවිටම මතකයේ රැඳේ. පරිශීලකයා "එක් ක්ලික් කිරීමක්" බොත්තම ක්ලික් කළ විට පද්ධතිය මෙම මුරපදය භාවිතා කරයි. ෆේස්බුක්, ට්විටර් වැනි සේවාවක් සමඟ පරිශීලකයා ලොග් වී ඇත්නම්, මිලදී ගැනීමේ වේලාවේදී මම මුරපදය නැවත විමසමි (හරි, එය සම්පුර්ණයෙන්ම “ක්ලික් කිරීම” නොවේ) නැතහොත් පරිශීලකයා පිවිසීමට භාවිතා කළ සේවාවේ සමහර දත්ත භාවිතා කරන්න. (ෆේස්බුක් හැඳුනුම්පත වැනි).

ඩැනියෙල් ලුවිරෝ
source
9

අක්තපත්‍ර සුරක්ෂිත කිරීම ද්විමය මෙහෙයුමක් නොවේ: ආරක්ෂිත / ආරක්ෂිත නොවේ. ආරක්ෂාව යනු අවදානම් තක්සේරු කිරීමක් වන අතර එය මනිනු ලබන්නේ අඛණ්ඩව ය. ආරක්ෂක අන්තවාදීන් මේ ආකාරයෙන් සිතීමට අකමැති නමුත් අවලස්සන සත්‍යය නම් කිසිවක් පරිපූර්ණ ලෙස ආරක්‍ෂිත නොවන බවයි. දැඩි මුරපද අවශ්‍යතා, ඩීඑන්ඒ සාම්පල සහ දෘෂ්ටි විතානයේ ස්කෑන් සහිත මුරපද වඩාත් ආරක්ෂිත නමුත් සංවර්ධනය හා පරිශීලක අත්දැකීම් සඳහා පිරිවැයක් දරයි. සරල පෙළ මුරපද වඩා අඩු ආරක්ෂිත නමුත් ක්‍රියාත්මක කිරීමට ලාභදායී වේ (නමුත් ඒවා වළක්වා ගත යුතුය). දවස අවසානයේදී, එය උල්ලං of නය කිරීමක පිරිවැය / ප්‍රතිලාභ විශ්ලේෂණයකට පැමිණේ. සුරක්ෂිත කර ඇති දත්තවල වටිනාකම සහ එහි කාල වටිනාකම මත පදනම්ව ඔබ ආරක්ෂාව ක්‍රියාත්මක කරයි.

යමෙකුගේ මුරපදය කැලෑවට යාමේ පිරිවැය කුමක්ද? දී ඇති ක්‍රමය තුළ පෙනී සිටීමේ පිරිවැය කුමක්ද? එෆ්බීඅයි පරිගණක සඳහා, පිරිවැය අති විශාල විය හැකිය. බොබ්ගේ පිටු පහක වෙබ් අඩවියට, පිරිවැය නොසැලකිය හැකිය. වෘත්තිකයෙකු තම ගනුදෙනුකරුවන්ට විකල්ප ලබා දෙන අතර, ආරක්ෂාව සම්බන්ධයෙන්, ඕනෑම ක්‍රියාත්මක කිරීමක වාසි සහ අවදානම් දක්වයි. කර්මාන්තයේ ප්‍රමිතීන්ට අවනත නොවීම නිසා සේවාදායකයා අවදානමට ලක්විය හැකි යමක් ඉල්ලා සිටියහොත් මෙය දෙගුණයක් වේ. සේවාදායකයකු විශේෂයෙන් ද්වි-මාර්ග සංකේතනය ඉල්ලා සිටියහොත්, ඔබේ විරෝධතා ලේඛනගත කිරීමට මම සහතික කරමි, නමුත් එය ඔබ දන්නා හොඳම ආකාරයෙන් ක්‍රියාත්මක කිරීමෙන් වලක්වනු නොලැබේ. දවස අවසානයේදී එය සේවාදායකයාගේ මුදල් වේ. ඔව්,

ඔබ ද්වි-මාර්ග සංකේතනයකින් මුරපද ගබඩා කරන්නේ නම්, ආරක්ෂාව සියල්ල ප්‍රධාන කළමනාකරණයට පැමිණේ. පරිපාලන ගිණුම් සහ මුරපද සමඟ පුද්ගලික යතුරු සහතික කිරීම සඳහා ප්‍රවේශය සීමා කිරීමට වින්ඩෝස් යාන්ත්‍රණයන් සපයයි. ඔබ වෙනත් වේදිකාවල සත්කාරකත්වය දරන්නේ නම්, ඔබට ඒවායින් ඇති විකල්ප මොනවාදැයි බැලීමට අවශ්‍ය වේ. අනෙක් අය යෝජනා කර ඇති පරිදි, ඔබට අසමමිතික සංකේතනය භාවිතා කළ හැකිය.

මුරපද එක්-මාර්ග හැෂ් භාවිතයෙන් ගබඩා කළ යුතු බව විශේෂයෙන් සඳහන් කරන නීතියක් (එක්සත් රාජධානියේ දත්ත ආරක්ෂණ පනත ද නැත) මම දනිමි. මෙම ඕනෑම නීතියක ඇති එකම අවශ්‍යතාවය එය සාධාරණ ය ආරක්ෂාව සඳහා පියවර . දත්ත සමුදායට ප්‍රවේශ වීම සීමා කර ඇත්නම්, සාමාන්‍ය පෙළ මුරපද පවා එවැනි සීමාවක් යටතේ නීත්‍යානුකූලව සුදුසුකම් ලැබිය හැකිය.

කෙසේ වෙතත්, මෙය තවත් එක් අංශයක් හෙළිදරව් කරයි: නීතිමය ප්‍රමුඛතාවය. ඔබේ පද්ධතිය ගොඩනඟන කර්මාන්තයට ලබා දී ඇති එක්-මාර්ග හැෂ් භාවිතා කළ යුතු යැයි නීතිමය පූර්වාදර්ශයක් යෝජනා කරන්නේ නම්, එය සම්පූර්ණයෙන්ම වෙනස් ය. ඔබේ ගනුදෙනුකරුට ඒත්තු ගැන්වීමට ඔබ භාවිතා කරන පතොරම් එයයි. එය හැරුණු විට, සාධාරණ අවදානම් තක්සේරුවක් සැපයීම, ඔබේ විරෝධතා ලේඛනගත කිරීම සහ පාරිභෝගිකයාගේ අවශ්‍යතා ලබා දිය හැකි වඩාත් ආරක්‍ෂිත ආකාරයකින් පද්ධතිය ක්‍රියාත්මක කිරීම සඳහා හොඳම යෝජනාව.

තෝමස්
source
10
මුරපද බහු අඩවි / සේවාවන් හරහා නැවත භාවිතා කරන බව ඔබේ පිළිතුර සම්පූර්ණයෙන්ම නොසලකා හරින අතර එය මෙම මාතෘකාවට කේන්ද්‍රීය වන අතර නැවත ලබා ගත හැකි මුරපද බරපතල දුර්වලතාවයක් ලෙස සැලකීමට හේතුව එයයි. ආරක්ෂක වෘත්තිකයෙකු තාක්ෂණික නොවන සේවාදායකයාට ආරක්ෂක තීරණ පවරන්නේ නැත; වෘත්තිකයෙකු දන්නවා ඔහුගේ වගකීම් ගෙවන සේවාදායකයාට වඩා පුළුල් වන අතර ඉහළ අවදානම් සහ ශුන්‍ය විපාක සහිත විකල්ප ලබා නොදේ . -1 වාචාලකම මත බරක් සහ කරුණු පිළිබඳව අතිශයින්ම සැහැල්ලු - සහ ඇත්ත වශයෙන්ම ප්‍රශ්නයට පිළිතුරු නොදීම සඳහා.
ආරොනොට්
4
නැවතත්, ඔබ අවදානම් තක්සේරුව සම්පූර්ණයෙන්ම නොසලකා හරියි. ඔබේ තර්කය භාවිතා කිරීම සඳහා, ඔබට 1-මාර්ග හැෂ් වලින් නතර කළ නොහැක. ඔබට සංකීර්ණ අවශ්‍යතා, මුරපදයේ දිග, මුරපද නැවත භාවිතා කිරීමේ සීමාවන් යනාදිය ඇතුළත් විය යුතුය. පරිශීලකයින් ගොළු මුරපද භාවිතා කරන බවට හෝ මුරපද නැවත භාවිතා කරන බවට තර්ක කිරීම පද්ධතිය අදාළ නොවන හා අවංකව තිබේ නම් එය ප්‍රමාණවත් ව්‍යාපාරික සාධාරණීකරණය කිරීමක් නොවේ, මම එම ප්‍රශ්නයට පිළිතුරු දුනිමි. කෙටි පිළිතුර: සම්මත ක්‍රියාත්මක කිරීමක් සඳහා තල්ලු කිරීම, ඔබ අභිබවා ගියහොත් ඔබේ විරෝධතා ලේඛනගත කර ඉදිරියට යන්න.
තෝමස්
7
අඩු වටිනාකම් පද්ධතියක් සඳහා මේ කිසිවක් වැදගත් නොවන බව ඔබ නැවත නැවතත් කියනවා! පරිශීලකයාගේ මුරපදයේ වටිනාකමට ඔබේ පද්ධතියේ පරිශීලක ගිණුමක වටිනාකමක් නැත. එය රහසක් වන අතර ඔබ සැමවිටම තබා ගත යුතු එකකි. ඔබට මෙහි ඇති ගැටළු තවමත් නොතේරෙන බව පෙන්නුම් කරමින් අදහස් දැක්වීම සඳහා තවත් -1 ක් ලබා දීමට මම ප්‍රාර්ථනා කරමි .
ආරොනොට්
5
අවදානම් තක්සේරු කිරීම මූලික ගැටළුවයි. මුරපද නැවත භාවිතා කිරීම වඩා විශාල ගැටළු සමූහයක එක් විභව ගැටලුවක් පමණි. ෆෝබ්ස් අවශ්‍ය නොවන්නේ ඇයි? ඔබේ කාර්යාලයට පිවිසීමට පුද්ගලයා රිය පැදවීම අවශ්‍ය නොවන්නේ ඇයි? අවදානම් පිළිබඳ සාධාරණ තක්සේරුවක් නොමැතිව, මෙම ප්රශ්නවලට පිළිතුරු දීමට ක්රමයක් නොමැත. ඔබගේ ලෝකයේ, සෑම දෙයක්ම අවදානමක් ඇති බැවින් සෑම පද්ධතියකටම FBI මට්ටමේ පිවිසුම් ආරක්ෂාව අවශ්‍ය වේ. සැබෑ ලෝකය ක්‍රියාත්මක වන්නේ එලෙස නොවේ.
තෝමස්
7
මෙහි පැහැදිලිව පෙනෙන එකම දෙය නම්, ඔබේ සමස්ත තර්කය ලිස්සන සුළු බෑවුමකට වඩා වැඩි දෙයක් නොවන අතර එම කාරණය වසන් කිරීම සඳහා “අවදානම් තක්සේරු කිරීම” වැනි බස පද සමඟ පා readers කයන්ට සොරකම් කිරීමට ඔබ උත්සාහ කරන බවයි. "FBI" භාවිතා කරන ඕනෑම පද්ධතියක් bcrypt හැෂ් හා අවම මුරපද දිගට වඩා ආරක්ෂිත වනු ඇති බවට සහතික වන්න. කර්මාන්ත මට්ටමේ සත්‍යාපන පද්ධති අවශ්‍ය නම් මාව “ආරක්ෂක උමතුවක්” බවට පත් කරන්නේ නම්, මම උමතුවක් යැයි අනුමාන කරමි; පුද්ගලිකව, මුදල් සඳහා මගේ ආරක්ෂාව කැප කිරීමට කැමති අය එහි සිටින බව දැන ගැනීම මට වේදනාවක් ගෙන දේ . එය සදාචාර විරෝධී ය .
ආරොනොට්
8

පරිශීලකයාගේ ආරක්ෂක ප්‍රශ්නයට පිළිතුර සංකේතාංකන යතුරේ කොටසක් බවට පත් කරන්න, සහ ආරක්ෂක ප්‍රශ්න පිළිතුර සරල පෙළ ලෙස ගබඩා නොකරන්න (ඒ වෙනුවට හැෂ්)

රොබ් ෆොන්සෙකා-එන්සර්
source
පරිශීලකයා ප්‍රශ්නයට වෙනස් ආකාරයකින් පිළිතුරු දිය හැකිය. සමහර ප්‍රශ්න පසුව නැවත ලිවීමට පහසු දිගු පිළිතුරු ඉල්ලයි.
මොනෝමන්
5
ආරක්ෂක ප්‍රශ්න නරක අදහසකි. තොරතුරු උල්ලං is නය වූ පසු ඔබේ මවගේ මුල් නම වෙනස් කරන්නේ කෙසේද? පීටර් ගට්මන්ගේ ඉංජිනේරු ආරක්ෂාව ද බලන්න .
jww
7

මම ජීවත්වීම සඳහා බහු-සාධක සත්‍යාපන පද්ධති ක්‍රියාත්මක කරමි, එබැවින් ඔබට මුරපදය නැවත සැකසීමට හෝ ප්‍රතිනිර්මාණය කිරීමට හැකියාවක් ඇතැයි සිතීම ස්වාභාවිකය, තාවකාලිකව එක් අඩු සාධකයක් භාවිතා කරමින් පරිශීලකයා යළි පිහිටුවීම / විනෝදාත්මක කාර්ය ප්‍රවාහය සඳහා සත්‍යාපනය කිරීම. සමහර අමතර සාධක ලෙස විශේෂයෙන් OTPs (එක් වරක් මුරපද) භාවිතා කිරීම, යෝජිත කාර්ය ප්‍රවාහය සඳහා කාල කවුළුව කෙටි නම් බොහෝ අවදානම අවම කරයි. අපි ස්මාර්ට් ෆෝන් සඳහා මෘදුකාංග OTP උත්පාදක යන්ත්‍ර ක්‍රියාත්මක කර ඇත්තෙමු. වාණිජ ප්ලග් එකක් පැමිණිලි කිරීමට පෙර, මම කියන්නේ පරිශීලකයෙකු සත්‍යාපනය කිරීමට භාවිතා කරන එකම සාධකය නොවන විට මුරපද පහසුවෙන් ලබා ගත හැකි හෝ නැවත සැකසිය හැකි ලෙස තබා ගැනීමේ අවදානම අපට අඩු කළ හැකි බවයි.

මොනෝමන්
source
බහුවිධ සාධක සත්‍යාපන පද්ධතියකින් සාධකයක් තාවකාලිකව ඉවත් කිරීම ඇත්ත වශයෙන්ම බොහෝ වෙබ් අඩවි වල දක්නට ලැබෙන කෝපාවිෂ්ට "රහස් ප්‍රශ්න" පද්ධති වලට වඩා මුරපදයක් නැවත සැකසීමට වඩා ආරක්ෂිත මාධ්‍යයකි . නමුත් නැවත ලබා ගත හැකි ආකෘතියකින් මුරපද ගබඩා කිරීම සම්බන්ධයෙන්, ඔබ කෙසේ හෝ පළමු සාධකය සංකේතනය කිරීමට හෝ අපැහැදිලි කිරීමට දෙවන සාධකය භාවිතා නොකරන්නේ නම්, එය කෙසේ උපකාරී වේදැයි මට විශ්වාස නැත, සහ SecurID වැනි දෙයක් සමඟ එය කෙසේ විය හැකිදැයි මට විශ්වාස නැත. ඔබට පැහැදිලි කළ හැකිද?
ආරොනොට්
@Aaronaught මා පවසා ඇති දෙය නම්, ඔබට නැවත ලබා ගත හැකි මුරපද තිබිය යුතු නම්, එය එකම සත්‍යාපන සාධකය නොවේ නම් සහජ අවදානම අඩු වන අතර, එම කාර්ය ප්‍රවාහයන් එම සාධක නැවත භාවිතා කරන්නේ නම් අවසාන පරිශීලකයාටද එය පහසු වේ. බොහෝ විට අමතක වී ඇති 'රහස් පිළිතුරු' මතක තබා ගැනීමට උත්සාහ කිරීම හෝ කාල සීමිත සම්බන්ධතා හෝ තාවකාලික මුරපද භාවිතා කිරීම යන දෙකම අනාරක්ෂිත නාලිකා හරහා යවනු ලැබේ (ඔබ සේවාදායක සහතික සමඟ S-MIME භාවිතා නොකරන්නේ නම් හෝ, පී.ජී.පී., විශේෂයෙන් නිවැරදි ඇසුර කළමනාකරණය සහ කල් ඉකුත්වීම / ආදේශ කිරීම යන වියදම් දෙකම දරයි)
මොනෝමන්
1
ඒ සියල්ල සත්‍ය යැයි මම සිතමි, නමුත් මහජන සම්මුතියක අවදානම අවම වශයෙන් ආරම්භ වේ; ආපසු අයකර ගත හැකි මුරපද සමඟ ඇති වඩාත් බරපතල ගැටළුව වන්නේ අභ්‍යන්තර ආරක්ෂාව සහ අපකීර්තියට පත් සේවකයෙකුට දහස් ගණන් ගනුදෙනුකරුවන්ගේ විද්‍යුත් තැපැල් මුරපද සමඟ ඉවත්ව යාමට ඉඩ දීම හෝ වංචනික ප්‍රධාන විධායක නිලධාරියෙකුට එය තතු සහ ස්පෑම්කරුවන්ට විකිණීමට ඉඩ දීමයි. අනන්‍යතා සොරකම් හා මුරපද අනුමාන කිරීම සමඟ සටන් කිරීමේදී ද්වි-සාධක සත්‍යාපනය විශිෂ්ට වන නමුත් සත්‍ය මුරපද දත්ත ගබඩාව ආරක්ෂිතව තබා ගන්නා තාක් දුරට එය මේසය වෙත ගෙන එන්නේ නැත.
ආරොනොට්
5

කණගාටුයි, නමුත් ඔබට ඔවුන්ගේ මුරපදය විකේතනය කිරීමට යම් ක්‍රමයක් ඇති තාක් කල්, එය ආරක්ෂිත වීමට ක්‍රමයක් නොමැත. එය දරුණු ලෙස සටන් කරන්න, ඔබට අහිමි වුවහොත්, CYA.

ස්ටීවන් සුදිත්
source
5

මෙම සිත්ගන්නාසුළු හා උණුසුම් සාකච්ඡාව හමු විය. මා වඩාත් පුදුමයට පත් කළ කාරණය නම්, පහත සඳහන් මූලික ප්‍රශ්නයට කෙතරම් අවධානය යොමු වී ඇත්ද යන්නයි.

  • Q1. සරල පෙළ ගබඩා කළ මුරපදයට ප්‍රවේශ වීමට පරිශීලකයා අවධාරනය කරන සැබෑ හේතු මොනවාද? එය එතරම් වටිනාකමක් ඇත්තේ ඇයි?

පරිශීලකයින් වැඩිමහල් හෝ තරුණ අය යන තොරතුරු ඇත්ත වශයෙන්ම එම ප්‍රශ්නයට පිළිතුරු සපයන්නේ නැත. ගනුදෙනුකරුවන්ගේ සැලකිල්ල නිසි ලෙස අවබෝධ කර නොගෙන ව්‍යාපාර තීරණයක් ගන්නේ කෙසේද?

දැන් එය වැදගත් වන්නේ ඇයි? ගනුදෙනුකරුවන්ගේ ඉල්ලීමට සැබෑ හේතුව වේදනාකාරී ලෙස භාවිතා කිරීමට අපහසු පද්ධතිය නම්, සමහර විට නිශ්චිත හේතුව ඇමතීමෙන් සැබෑ ගැටළුව විසඳෙනු ඇත?

මට මෙම තොරතුරු නොමැති නිසා සහ එම ගනුදෙනුකරුවන් සමඟ කතා කිරීමට නොහැකි බැවින්, මට අනුමාන කළ හැක්කේ: එය භාවිතාව පිළිබඳ ය, ඉහත බලන්න.

මා දුටු තවත් ප්‍රශ්නයක්:

  • Q2. පරිශීලකයාට මුරපදය මුලින් මතක නැතිනම්, පැරණි මුරපදය වැදගත් වන්නේ ඇයි?

මෙන්න හැකි පිළිතුරකි. ඔබ බළලෙකු "මියාමියා" ලෙස නම් කර ඇගේ නම මුරපදයක් ලෙස භාවිතා කර ඇති නමුත් ඔබ එය අමතක කර ඇත්නම්, එය කුමක්දැයි මතක් කිරීමට හෝ "# zy * RW (ew" වැනි යමක් එවීමට ඔබ කැමතිද?

තවත් හේතුවක් විය හැක්කේ නව මුරපදයක් ඉදිරිපත් කිරීම පරිශීලකයා දුෂ්කර කාර්යයක් ලෙස සලකන බැවිනි! එබැවින් පැරණි මුරපදය ආපසු එවීමෙන් ඇයව නැවත එම වේදනාකාරී කාර්යයෙන් ගලවා ගැනීමේ මිත්‍යාව ලබා දෙයි.

මම උත්සාහ කරන්නේ හේතුව තේරුම් ගැනීමටයි. නමුත් හේතුව කුමක් වුවත්, එය ආමන්ත්‍රණය කළ යුතු හේතුව නොවේ.

පරිශීලකයා වශයෙන්, මට දේවල් සරලයි! මට මහන්සි වී වැඩ කිරීමට අවශ්‍ය නැත!

පුවත්පත් කියවීම සඳහා මම ප්‍රවෘත්ති වෙබ් අඩවියකට පිවිසෙන්නේ නම්, මට අවශ්‍ය වන්නේ 1111 මුරපදය ලෙස ටයිප් කර ඒ හරහා වීමයි !!!

එය අනාරක්ෂිත බව මම දනිමි, නමුත් යමෙකු මගේ "ගිණුමට" ප්‍රවේශ වීම ගැන මා සැලකිලිමත් වන්නේ කුමක් ද? ඔව්, ඔහුට ප්‍රවෘත්ති ද කියවිය හැකිය!

වෙබ් අඩවිය මගේ "පුද්ගලික" තොරතුරු ගබඩා කරන්නේද? මම අද කියවූ ප්‍රවෘත්ති? එවිට එය වෙබ් අඩවියේ ගැටලුව මිස මගේ නොවේ! සත්‍යාපනය කළ පරිශීලකයාට වෙබ් අඩවිය පුද්ගලික තොරතුරු පෙන්වන්නේද? ඉන්පසු එය මුලින් පෙන්වන්න එපා!

මෙය හුදෙක් ගැටළුව සම්බන්ධයෙන් පරිශීලකයාගේ ආකල්පය පෙන්වීම සඳහා ය.

එබැවින් සාරාංශගත කිරීම සඳහා, සරල පෙළ මුරපද “ආරක්ෂිතව” ගබඩා කරන්නේ කෙසේද යන්න (එය කළ නොහැකි යැයි අප දන්නා) නොව ගනුදෙනුකරුවන්ගේ සැබෑ සැලකිල්ල ආමන්ත්‍රණය කරන්නේ කෙසේද යන්න ගැටළුවක් යැයි මට හැඟෙන්නේ නැත.

දිමිත්‍රි සයිට්සෙව්
source
4

නැතිවූ / අමතක වූ මුරපද හැසිරවීම:

මුරපද නැවත ලබා ගැනීමට කිසිවෙකුට නොහැකි විය යුතුය.

පරිශීලකයින්ට ඔවුන්ගේ මුරපද අමතක වී ඇත්නම්, ඔවුන් අවම වශයෙන් ඔවුන්ගේ පරිශීලක නාම හෝ විද්‍යුත් තැපැල් ලිපිනයන් දැන සිටිය යුතුය. ඉල්ලීම මත, පරිශීලකයින්ගේ වගුවේ GUID එකක් ජනනය කර පරිශීලකයාගේ විද්‍යුත් තැපැල් ලිපිනයට පරාමිතියක් ලෙස මාර්ගෝපදේශය අඩංගු සබැඳියක් ඇතුළත් ඊ-තැපෑලක් යවන ලදි.

සබැඳිය පිටුපස ඇති පිටුව පරාමිති මාර්ගෝපදේශය සැබවින්ම පවතින බව සනාථ කරයි (බොහෝ විට කල් ඉකුත් වූ තර්කනයකින්), නව මුරපදයක් පරිශීලකයාගෙන් ඉල්ලා සිටී.

ඔබට හොට්ලයින් උදව් පරිශීලකයින් අවශ්‍ය නම්, ඔබේ ප්‍රදාන ආකෘතියට යම් භූමිකාවක් එකතු කර හොට්ලයින් භූමිකාව හඳුනාගත් පරිශීලකයෙකු ලෙස තාවකාලිකව ප්‍රවේශ වීමට ඉඩ දෙන්න. එවැනි සියලුම හොට්ලයින් පිවිසුම් ලොග් වන්න. නිදසුනක් ලෙස, බග්සිලා පරිපාලකයින්ට එවැනි ව්‍යාජ අංගයක් ඉදිරිපත් කරයි.

devio
source
GUID යනු නරක අදහසකි, එය අහඹු ලෙස ප්‍රමාණවත් නොවන අතර තිරිසන් බලයට පහසුය. මේ සමඟ වෙනත් ගැටළු තිබේ, stackoverflow.com/questions/664673/…
AviD
3

සංකේතාත්මක හා නැතිවීමට පෙර සාමාන්‍ය මුරපදය ලියාපදිංචි කිරීමෙන් පසු ඊමේල් කිරීම ගැන කුමක් කිව හැකිද? බොහෝ වෙබ් අඩවි එය කරන බව මම දැක ඇත්තෙමි, එම මුරපදය පරිශීලකයාගේ විද්‍යුත් තැපෑලෙන් ලබා ගැනීම ඔබගේ සේවාදායකයේ / සංයුක්තයේ තැබීමට වඩා ආරක්ෂිත වේ.

කැස්රාෆ්
source
ඊමේල් වෙනත් පද්ධතියකට වඩා ආරක්ෂිත යැයි මම නොසිතමි. මෙය නීතිමය සැලකිල්ල මගේ අතින් ඉවතට ගත්තද, යමෙකුගේ විද්‍යුත් තැපැල් ලිපිනය නැතිවීම / මකා දැමීම පිළිබඳ ගැටළුව තවමත් පවතී. දැන් මම නැවත පළමු ස්ථානයට පැමිණ සිටිමි.
ෂේන්
මුරපද යළි පිහිටුවීම යන දෙකම ලබා දී සාමාන්‍ය මුරපදය විද්‍යුත් තැපෑලෙන් එවන්න. මුරපදයේ පිටපතක් ඔබම තබා නොගෙන ඔබට මෙම විෂය පිළිබඳව කළ හැකි උපරිමය එය යැයි මම සිතමි.
කැස්රාෆ්
මෙය නියත වශයෙන්ම භයානක අදහසකි. එය දෙකම අකාර්යක්ෂමයි (බොහෝ පරිශීලකයින් කියවීමෙන් පසු ඇත්ත වශයෙන්ම ඊමේල් මකා දමයි) සහ ඔබ ආරක්ෂා කිරීමට උත්සාහ කරන දෙයට වඩා නරක ය (විද්‍යුත් තැපෑල පෙරනිමියෙන් සංකේතාංකනය කර විශ්වාස කළ නොහැකි ජාල හරහා ගමන් කරන බැවින්). මුරපදය තමන් විසින්ම සටහන් කර ගන්නා ලෙස පරිශීලකයාට යෝජනා කිරීම වඩා හොඳය, අවම වශයෙන් තමාටම විද්‍යුත් තැපෑලක් යැවීම, තොරතුරු කිසි විටෙකත් ඊමේල් සේවාදායකයට වඩා දුර යන්නේ නැත, මුළු අන්තර්ජාලය පුරාම නොවේ!
බෙන් වොයිග්ට්
3

ආපසු අයකර ගත හැකි මුරපද ගබඩා කිරීමේ අවශ්‍යතාවය ඔබට ප්‍රතික්ෂේප කළ නොහැකි නම්, මෙය ඔබේ ප්‍රති-තර්කය ලෙස කෙසේ ද?

අපට මුරපද නිසි ලෙස හැෂ් කර පරිශීලකයින් සඳහා යළි පිහිටුවීමේ යාන්ත්‍රණයක් ගොඩනගා ගත හැකිය, නැතහොත් පුද්ගලිකව හඳුනාගත හැකි සියලු තොරතුරු පද්ධතියෙන් ඉවත් කළ හැකිය. පරිශීලක මනාපයන් සැකසීමට ඔබට ඊමේල් ලිපිනයක් භාවිතා කළ හැකිය, නමුත් ඒ ගැන ය. අනාගත චාරිකා සඳහා මනාපයන් ස්වයංක්‍රීයව ඇද ගැනීමට සහ සාධාරණ කාල පරිච්ඡේදයකින් පසු දත්ත ඉවතට විසි කිරීමට කුකියක් භාවිතා කරන්න.

මුරපද ප්‍රතිපත්තිය සමඟ බොහෝ විට නොසලකා හරින එක් විකල්පයක් නම් මුරපදයක් ඇත්ත වශයෙන්ම අවශ්‍යද යන්නයි. ඔබගේ මුරපද ප්‍රතිපත්තිය කරන එකම දෙය පාරිභෝගික සේවා ඇමතුම් වලට හේතු වේ නම්, සමහර විට ඔබට එය ඉවත් කළ හැකිය.

anopres
source
ඔබට මුරපදයක් හා සම්බන්ධ ඊ-තැපැල් ලිපිනයක් සහ එම මුරපදය නැවත ලබා ගත හැකි තාක් කල්, මුරපදය නැවත භාවිතා කිරීම හේතුවෙන් ඔබ එම විද්‍යුත් තැපැල් ලිපිනය සඳහා මුරපදය කාන්දු විය හැකිය. ඇත්ත වශයෙන්ම මෙහි මූලික අවධානය යොමු වන්නේ එයයි. පෞද්ගලිකව හඳුනාගත හැකි වෙනත් තොරතුරු කිසිවක් වැදගත් නොවේ.
ආරොනොට්
1
ඔබ මගේ අදහස සම්පූර්ණයෙන්ම මග හැරියේය. ඔබට ඇත්තටම මුරපදයක් අවශ්‍ය නොවේ නම්, එකක් එකතු නොකරන්න. සංවර්ධකයින් බොහෝ විට "අප එය කරන ආකාරයටම" සිතීමේ ක්‍රමයට කොටු වේ. සමහර විට එය පූර්ව නිගමනවලට එළඹීමට උපකාරී වේ.
anopres
2

පරිශීලකයින් ඇත්තටම කරන්න අමතක වූ මුරපදය කුමක්දැයි යථා තත්වයට පත් කිරීමට (උදා: කියනු ලැබේ), නැතිනම් ඔවුන්ට සරලවම පද්ධතියට පිවිසීමට අවශ්‍යද? ඔවුන්ට සැබවින්ම අවශ්‍ය වන්නේ ලොග් වීමට මුරපදයක් නම්, පැරණි මුරපදය (එය කුමක් වුවත්) නව මුරපදයකට වෙනස් කරන පුරුද්දක් තිබිය යුත්තේ ඇයි?

මම මෙය හරියටම කරන පද්ධති සමඟ වැඩ කර ඇත. සහායකයාට වත්මන් මුරපදය කුමක්දැයි දැන ගැනීමට ක්‍රමයක් නැත, නමුත් එය නව අගයකට නැවත සැකසිය හැක. ඇත්ත වශයෙන්ම එවැනි නැවත සැකසීම් කොතැනක හෝ ලොග් විය යුතු අතර මුරපදය නැවත සකසා ඇති බව පරිශීලකයාට විද්‍යුත් තැපෑලක් ජනනය කිරීම හොඳ පුරුද්දකි.

තවත් හැකියාවක් වන්නේ ගිණුමකට ප්‍රවේශ වීමට අවසර දෙන එකවර මුරපද දෙකක් තිබීමයි. එකක් පරිශීලකයා කළමනාකරණය කරන “සාමාන්‍ය” මුරපදය වන අතර අනෙක ඇටසැකිල්ලක් / ප්‍රධාන යතුරක් වැනි වන අතර එය උපකාරක කාර්ය මණ්ඩලය විසින් පමණක් දන්නා අතර එය සියලු පරිශීලකයින්ට සමාන වේ. එමඟින් පරිශීලකයෙකුට ගැටලුවක් ඇති වූ විට සහායකයාට ප්‍රධාන යතුර සමඟ ගිණුමට පුරනය වී පරිශීලකයාට ඔහුගේ මුරපදය ඕනෑම දෙයකට වෙනස් කිරීමට උදව් කළ හැකිය. ප්‍රධාන යතුර සහිත සියලුම පිවිසුම් පද්ධතිය විසින්ම ලොග් විය යුතු බව අමුතුවෙන් කිව යුතු නැත. අමතර පියවරක් ලෙස, ප්‍රධාන යතුර භාවිතා කරන සෑම විටම ඔබට උපකාරක පුද්ගලයින්ගේ අක්තපත්‍ර වලංගු කළ හැකිය.

-EDIT- ප්‍රධාන යතුරක් නොමැති වීම පිළිබඳ අදහස් දැක්වීමට ප්‍රතිචාර වශයෙන්: පරිශීලකයා හැර වෙනත් කිසිවෙකුට පරිශීලකයාගේ ගිණුමට ප්‍රවේශ වීමට ඉඩ දීම නරක යැයි මා විශ්වාස කරන ආකාරයටම එය නරක යැයි මම එකඟ වෙමි. ඔබ ප්‍රශ්නය දෙස බැලුවහොත්, සමස්ත පරිශ්‍රය වන්නේ පාරිභෝගිකයා ඉතා සම්මුතිවාදී ආරක්ෂක පරිසරයක් නියම කිරීමයි.

ප්‍රධාන යතුරක් මුලින් පෙනෙන තරම් නරක නොවිය යුතුය. මම ආරක්ෂක කම්හලක වැඩ කිරීමට පුරුදුව සිටියෙමි. එහිදී ප්‍රධාන පෙළේ පරිගණක ක්‍රියාකරුට ඇතැම් අවස්ථාවලදී “විශේෂ ප්‍රවේශයක්” ලබා ගැනීමේ අවශ්‍යතාවය ඔවුන් වටහා ගත්හ. ඔවුන් හුදෙක් විශේෂ මුරපදය මුද්‍රා තැබූ කවරයක දමා එය ක්‍රියාකරුගේ මේසය මතට තට්ටු කළහ. මුරපදය භාවිතා කිරීමට (ක්‍රියාකරු නොදැන සිටි) ඔහුට ලියුම් කවරය විවෘත කළ යුතුව තිබුණි. සෑම මාරුවකදීම මාරුවීම් අධීක්ෂකගේ එක් කාර්යයක් වූයේ ලියුම් කවරය විවෘත කර ඇත්දැයි බැලීමයි. එසේ නම් වහාම මුරපදය වෙනස් කර තිබේද (වෙනත් දෙපාර්තමේන්තුවක් විසින්) සහ නව මුරපදය නව ලියුම් කවරයක දමා ක්‍රියාවලිය සියල්ල ආරම්භ විය නැවතත්. ඔහු එය විවෘත කළේ ඇයිදැයි ක්‍රියාකරුගෙන් ප්‍රශ්න කරනු ඇති අතර සිද්ධිය වාර්තාගත කරනු ලැබේ.

මෙය මා විසින් සැලසුම් කරන ක්‍රියා පටිපාටියක් නොවන අතර, එය ක්‍රියාත්මක වූ අතර විශිෂ්ට වගවීමක් සඳහා සපයන ලදී. සෑම දෙයක්ම ලොග් කර සමාලෝචනය කරන ලදි, තවද සියලුම ක්‍රියාකරුවන්ට DOD රහස් නිෂ්කාශන ඇති අතර අපට කිසි විටෙකත් අපයෝජනයන් සිදු නොවීය.

සමාලෝචනය සහ අධීක්ෂණය නිසා, ලියුම් කවරය විවෘත කිරීමේ වරප්‍රසාදය අනිසි ලෙස භාවිතා කළහොත් ඔවුන් වහාම සේවයෙන් පහකිරීමට හා අපරාධ නඩු පැවරීමට ලක්විය හැකි බව සියලු ක්‍රියාකරුවන් දැන සිටියහ.

ඉතින් මම හිතන්නේ නියම පිළිතුර නම් යමෙකුට නිවැරදි දේ කිරීමට අවශ්‍ය නම් යමෙකුට විශ්වාස කළ හැකි පුද්ගලයින් බඳවා ගැනීම, පසුබිම් පරීක්‍ෂා කිරීම සහ නිසි කළමනාකරණ අධීක්ෂණය සහ වගවීම ක්‍රියාත්මක කිරීම ය.

නමුත් නැවතත් මෙම දුප්පත් සහෝදරයාගේ සේවාදායකයාට හොඳ කළමනාකරණයක් තිබුනේ නම් ඔවුන් එවැනි ආරක්‍ෂාවකින් යුත් විසඳුමක් ඉල්ලා නොසිටිනු ඇත.

ජොනීබෝට්ස්
source
ප්‍රධාන යතුරක් අවදානම් සහගත වනු ඇත, සහායක කාර්ය මණ්ඩලයට සෑම ගිණුමකටම ප්‍රවේශය ලැබෙනු ඇත - ඔබ එම යතුර පරිශීලකයෙකුට ලබා දුන් පසු, ඔවුන්ට ප්‍රධාන යතුර සහ සෑම දෙයකටම ප්‍රවේශය ඇත.
කාර්සන් මයර්ස්
මාස්ටර් යතුර භයානක අදහසකි, මන්ද යමෙකු එය සොයා ගන්නේ නම් (හෝ එය අහම්බෙන් ඔවුන්ට හෙළි කර තිබේ නම්), ඔවුන්ට එය සූරාකෑමට හැකිය. එක් ගිණුමකට මුරපද යළි පිහිටුවීමේ යාන්ත්‍රණය වඩා යෝග්‍ය වේ.
ෆිල් මිලර්
මට කුතුහලයක් ඇත, මම සිතුවේ ලිනක්ස් පෙරනිමියෙන් මූල මට්ටමේ ප්‍රවේශය සහිත සුපිරි පරිශීලක ගිණුමක් ඇති බවයි? පද්ධතියේ ඇති සියලුම ලිපිගොනු වෙත ප්‍රවේශ වීමට එය “ප්‍රධාන යතුරක්” නොවේද?
ජොනීබෝට්ස්
@ ජොනීබෝට්ස් ඔව්, එසේ ය. මැක් ඕඑස් එක්ස් වැනි නූතන යුනික්ස් මූල ගිණුම අක්‍රීය කරන්නේ එබැවිනි.
නිකලස් ෂෑන්ක්ස්
IchNicholasShanks: root ගිණුම අක්‍රීය කරන්න, නැතහොත් root ගිණුමේ අන්තර්ක්‍රියාකාරී පිවිසුම අක්‍රීය කරන්න? අසීමිත අවසරයන් සහිත කේත විශාල ප්‍රමාණයක් තවමත් ක්‍රියාත්මක වේ.
බෙන් වොයිග්ට්
2

මෙම විෂය පිළිබඳව මා තේරුම් ගත් කුඩා කාලයේ සිටම, ඔබ සිග්නන් / මුරපදයක් සහිත වෙබ් අඩවියක් ගොඩනඟන්නේ නම්, ඔබේ සේවාදායකයේ සාමාන්‍ය පෙළ මුරපදය පවා නොපෙනිය යුතු යැයි මම විශ්වාස කරමි. මුරපදය සේවාදායකයා හැර යාමට පෙර හෑෂ් කළ යුතු අතර බොහෝ විට ලුණු දැමිය යුතුය.

සාමාන්‍ය පෙළ මුරපදය ඔබ කිසි විටෙක නොදකිනවා නම්, නැවත ලබා ගැනීමේ ප්‍රශ්නය මතු නොවේ.

එසේම, MD5 වැනි සමහර ඇල්ගොරිතම තවදුරටත් ආරක්ෂිත යැයි නොසැලකෙන බව මම කියමි. එය මා විසින්ම විනිශ්චය කිරීමට ක්‍රමයක් නැත, නමුත් එය සලකා බැලිය යුතු දෙයකි.

ජෙරමි සී
source
1

ස්වාධීන සේවාදායකයක DB එකක් විවෘත කර මෙම අංගය අවශ්‍ය සෑම වෙබ් සේවාදායකයෙකුටම සංකේතාත්මක දුරස්ථ සම්බන්ධතාවයක් ලබා දෙන්න.
එය සාපේක්ෂ ඩීබී විය යුතු නැත, එය එෆ්ටීපී ප්‍රවේශය සහිත ගොනු පද්ධතියක් විය හැකිය, වගු සහ පේළි වෙනුවට ෆෝල්ඩර සහ ගොනු භාවිතා කරයි.
ඔබට හැකි නම් වෙබ් සේවාදායකයන්ට ලිවීමට පමණක් අවසර දෙන්න.

මුරපදය නැවත ලබා ගත නොහැකි සංකේතනය වෙබ් අඩවියේ ඩීබී තුළ ගබඩා කරන්න (අපි එය "pass-a" ලෙස හඳුන්වමු) සාමාන්‍ය මිනිසුන් මෙන් :)
සෑම "පරිශීලකයෙකුටම (හෝ මුරපද වෙනස් කිරීමට) මුරපදයේ සරල පිටපතක් දුරස්ථ ඩීබී තුළ ගබඩා කරන්න. මෙම මුරපදය සඳහා සංයුක්ත යතුරක් ලෙස සේවාදායකයාගේ හැඳුනුම්පත, පරිශීලකයාගේ හැඳුනුම්පත සහ "pass-a" භාවිතා කරන්න. රාත්‍රියේදී වඩා හොඳින් නිදා ගැනීමට ඔබට මුරපදයේ ද්වි-දිශා සංකේතනයක් භාවිතා කළ හැකිය.

දැන් යමෙකුට මුරපදය ලබා ගැනීමට සහ එහි සන්දර්භය (අඩවි හැඳුනුම්පත + පරිශීලක හැඳුනුම්පත + "මුරපදය") ලබා ගැනීමට නම්, ඔහු කළ යුත්තේ:

  1. ("pass-a", පරිශීලක හැඳුනුම්පත) යුගලයක් හෝ යුගලයක් ලබා ගැනීම සඳහා වෙබ් අඩවියේ DB හැක් කරන්න.
  2. සමහර වින්‍යාස ගොනුවකින් වෙබ් අඩවියේ හැඳුනුම්පත ලබා ගන්න
  3. දුරස්ථ මුරපද DB සොයාගෙන හැක් කරන්න.

ඔබට මුරපදය ලබා ගැනීමේ සේවාවට ප්‍රවේශවීමේ හැකියාව පාලනය කළ හැකිය (එය ආරක්ෂිත වෙබ් සේවාවක් ලෙස පමණක් නිරාවරණය කරන්න, දිනකට නිශ්චිත මුරපද ලබා ගැනීමට ඉඩ දෙන්න, එය අතින් කරන්න, ආදිය), සහ මෙම “විශේෂ ආරක්ෂක විධිවිධානය” සඳහා අමතර මුදලක් අය කරන්න.
මුරපද ලබා ගැනීමේ ඩීබී සේවාදායකය බොහෝ කාර්යයන් ඉටු නොකරන බැවින් එය සැඟවී ඇත.

සියල්ලට ම, ඔබ හැකර්ට වැඩ කිරීම දුෂ්කර කරයි. ඕනෑම තනි සේවාදායකයක ආරක්ෂක උල්ලං of නය වීමේ අවස්ථාව තවමත් එසේමය, නමුත් අර්ථවත් දත්ත (ගිණුම හා මුරපදය ගැලපීම) එකලස් කිරීම දුෂ්කර වනු ඇත.

අමීර් අරද්
source
3
යෙදුම් සේවාදායකයට එයට ප්‍රවේශ විය හැකි නම්, යෙදුම් සේවාදායකයට ප්‍රවේශය ඇති ඕනෑම කෙනෙකුට (එය හැකර් හෝ අනිෂ්ට අභ්‍යන්තරිකයෙකු විය හැකිය). මෙය ශුන්‍ය අමතර ආරක්ෂාවක් සපයයි.
molf
1
මෙහි ඇති අමතර ආරක්‍ෂාව නම් යෙදුම් සේවාදායකයේ ඩීබී මුරපද රඳවා නොගැනීමයි (එබැවින් දෙවන හැක් අවශ්‍ය වේ - මුරපද ඩීබී වෙත), සහ මුරපද ලබා ගැනීමේ සේවාවට ප්‍රවේශවීමේ හැකියාව ඔබ පාලනය කරන බැවින් අක්‍රමවත් ක්‍රියාකාරකම් වලින් ඩීබී මුරපද ආරක්ෂා කරයි. එවිට ඔබට තොග දත්ත ලබාගැනීම් හඳුනාගත හැකිය, සතිපතා ලබා ගැනීමේ SSH යතුර වෙනස් කළ හැකිය, නැතහොත් ස්වයංක්‍රීයව නැවත ලබා ගැනීමට ඉඩ නොතබන්න, ඒ සියල්ල අතින් කරන්න. මෙම විසඳුම ඩීබී මුරපද සඳහා වෙනත් ඕනෑම අභ්‍යන්තර සංකේතාංකන යෝජනා ක්‍රමයකට (පොදු + පුද්ගලික යතුරු, ලුණු ආදිය) ගැලපේ.
අමීර් අරද්
1

ඔබ නොසිතූ තවත් විකල්පයක් වන්නේ විද්‍යුත් තැපෑල හරහා ක්‍රියා කිරීමට ඉඩ දීමයි. එය තරමක් අවුල් සහගත ය, නමුත් මම මෙය ක්‍රියාත්මක කළේ පරිශීලකයින්ට ඔවුන්ගේ පද්ධතියට “පිටත” පද්ධතියේ ඇතැම් කොටස් බැලීමට (කියවීමට පමණි) අවශ්‍ය වූ සේවාදායකයකු සඳහා ය. උදාහරණයක් වශයෙන්:

  1. පරිශීලකයෙකු ලියාපදිංචි වූ පසු, ඔවුන්ට සම්පූර්ණ ප්‍රවේශය ඇත (සාමාන්‍ය වෙබ් අඩවියක් වැනි). ලියාපදිංචියට විද්‍යුත් තැපෑලක් ඇතුළත් විය යුතුය.
  2. දත්ත හෝ ක්‍රියාවක් අවශ්‍ය නම් සහ පරිශීලකයාට ඔවුන්ගේ මුරපදය මතක නැතිනම් , සාමාන්‍ය “ ඉදිරිපත් කිරීම ” බොත්තම අසලම විශේෂ “ අවසර සඳහා මට විද්‍යුත් තැපැල් කරන්න ” බොත්තමක් ක්ලික් කිරීමෙන් ඔවුන්ට තවමත් ක්‍රියාව කළ හැකිය.
  3. ඉල්ලීම ඊමේල් වෙත හයිපර්ලින්ක් සමඟ යවා ඔවුන්ට ක්‍රියාව සිදු කිරීමට අවශ්‍ය දැයි විමසයි. මෙය මුරපද යළි පිහිටුවීමේ විද්‍යුත් සබැඳියකට සමානය, නමුත් මුරපදය නැවත සැකසීම වෙනුවට එය එක් වරක් ක්‍රියාව සිදු කරයි .
  4. එවිට පරිශීලකයා "ඔව්" ක්ලික් කළ අතර, එය දත්ත පෙන්විය යුතු බව හෝ ක්‍රියාව සිදු කළ යුතු බව, දත්ත අනාවරණය කිරීම ආදිය තහවුරු කරයි.

ඔබ අදහස් දැක්වීමේදී සඳහන් කළ පරිදි, විද්‍යුත් තැපෑල සම්මුතියකට ලක්වුවහොත් මෙය ක්‍රියා නොකරනු ඇත, නමුත් මුරපදය නැවත සැකසීමට අකමැති වීම පිළිබඳව @ ජොකිම්ගේ අදහස් දැක්වීමක් කරයි. අවසානයේදී, ඔවුන්ට මුරපද යළි පිහිටුවීම භාවිතා කිරීමට සිදුවනු ඇත, නමුත් ඔවුන්ට එය වඩාත් පහසු වේලාවක හෝ අවශ්‍ය පරිදි පරිපාලකගේ හෝ මිතුරෙකුගේ සහාය ඇතිව කළ හැකිය.

මෙම විසඳුමෙහි පෙරළියක් වනුයේ ක්‍රියාකාරී ඉල්ලීම තෙවන පාර්ශවයක විශ්වාසදායී පරිපාලකයෙකු වෙත යැවීමයි. වැඩිහිටි, මානසික ආබාධ සහිත, ඉතා තරුණ හෝ වෙනත් ව්‍යාකූල පරිශීලකයින් සමඟ මෙය වඩාත් සුදුසු වේ. ඇත්ත වශයෙන්ම මේ පුද්ගලයින්ට ඔවුන්ගේ ක්‍රියාවන්ට සහාය වීමට විශ්වාසදායක පරිපාලකයෙකු අවශ්‍ය වේ.

Sablefoste
source
1

පරිශීලකයාගේ මුරපදය සාමාන්‍ය පරිදි ලුණු හා හැෂ් කරන්න. පරිශීලකයා ලොග් වන විට, පරිශීලකයාගේ මුරපදය දෙකටම (ලුණු දැමීමෙන් / සේදීමෙන් පසු) ඉඩ දෙන්න, නමුත් පරිශීලකයා වචනාර්ථයෙන් ඇතුළු කළ දේ ගැලපීමට ඉඩ දෙන්න.

මෙය පරිශීලකයාට ඔවුන්ගේ රහස් මුරපදය ඇතුළත් කිරීමට ඉඩ දෙන අතරම, ඔවුන්ගේ මුරපදයේ ලුණු දැමූ / හැෂ් කළ අනුවාදයට ඇතුළු වීමටද ඉඩ සලසයි, එය යමෙකු දත්ත ගබඩාවෙන් කියවනු ඇත.

මූලික වශයෙන්, ලුණු දැමූ / හැෂ් කළ මුරපදය "සරල-පෙළ" මුරපදයක් බවට පත් කරන්න.

එලියට්
source
පරිශීලකයා කෙලින්ම ඇතුළත් කළ දේ දත්ත ගබඩාවේ ගබඩා කර ඇති හැෂ් මුරපදය සමඟ සංසන්දනය කිරීම අවශ්‍ය යැයි ඔබ සිතන්නේ ඇයි? එය ඔබට ලබා දෙන්නේ කුමන ආකාරයේ ක්‍රියාකාරිත්වයක්ද? එසේම, මෙය සිදු කරන විට පරිශීලකයා ඇතුළු කළ මුරපදය සහ දත්ත සමුදායෙන් හැෂ් කළ මුරපදය අතර නියත-කාලීන සංසන්දනාත්මක ශ්‍රිතයක් යෙදීම ඉතා වැදගත් වේ. එසේ නොමැති නම්, කාල වෙනස්කම් මත පදනම්ව හැෂ් මුරපදය තීරණය කිරීම සුළුපටු නොවේ.
ආර්ට්ජොම් බී
1
ArtArtjomB. පරිශීලකයාගේ මුරපදය ආරක්ෂා කරන්නේ කෙසේදැයි ප්‍රශ්නය අසන අතරම පාරිභෝගික සහාය (CS) පරිශීලකයාට අමතක වූ මුරපදය ඇතුළත් කිරීමෙන් කතා කිරීමට / විද්‍යුත් තැපැල් කිරීමට ඉඩ ලබා දේ. හැෂ් අනුවාදය සරල පෙළ මුරපදයක් ලෙස භාවිතා කළ හැකි කිරීමෙන්, CS ට එය කියවා පරිශීලකයාට අමතක වූ මුරපදය වෙනුවට එය භාවිතා කළ හැකිය. CS හට පරිශීලකයා ලෙස ලොග් වීමට සහ කාර්යයක් හරහා ඔවුන්ට උදව් කිරීමට එය භාවිතා කළ හැකිය. ස්වයංක්‍රීය අමතක වූ මුරපද පද්ධති සමඟ සැපපහසු වූ පරිශීලකයින්ට ඔවුන් ඇතුළු වන හා භාවිතා කරන මුරපදය හෑෂ් කර ඇති බැවින් ඒවා ආරක්ෂා කිරීමටද මෙය ඉඩ දෙයි.
එලියට්
මට පේනවා. මම ප්‍රශ්නය සම්පූර්ණයෙන් කියවා නැත. සමස්ත පද්ධතියම සුළු වශයෙන් කැඩී යාම වැළැක්වීම සඳහා නියත කාල සංසන්දනයක් භාවිතා කිරීම තවමත් අවශ්‍ය වේ.
ආර්ට්ජොම් බී
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.