වෙබ් අඩවි සඳහා ආකෘති පදනම් කරගත් සත්‍යාපනය

තොග පිටාර ගැලීම ඉතා නිශ්චිත තාක්ෂණික ප්‍රශ්න සඳහා සම්පතක් පමණක් නොව පොදු ගැටළු වල වෙනස්කම් විසඳන්නේ කෙසේද යන්න පිළිබඳ පොදු මාර්ගෝපදේශ සඳහා ද විය යුතු යැයි අපි විශ්වාස කරමු. "වෙබ් අඩවි සඳහා ආකෘති පදනම් කරගත් සත්‍යාපනය" එවැනි අත්හදා බැලීමක් සඳහා කදිම මාතෘකාවක් විය යුතුය.

එයට පහත සඳහන් මාතෘකා ඇතුළත් විය යුතුය:

• පුරනය වන්නේ කෙසේද?
• ඉවත් වන්නේ කෙසේද?
• පුරනය වී සිටින්නේ කෙසේද
• කුකීස් කළමනාකරණය කිරීම (නිර්දේශිත සැකසුම් ඇතුළුව)
• SSL / HTTPS සංකේතනය
• මුරපද ගබඩා කරන්නේ කෙසේද
• රහස් ප්‍රශ්න භාවිතා කිරීම
• අමතක වූ පරිශීලක නාමය / මුරපද ක්‍රියාකාරිත්වය
• හරස් අඩවි ඉල්ලීම් වංචා වැළැක්වීම සඳහා නොන්ස් භාවිතා කිරීම (CSRF)
• OpenID
• "මාව මතක තබා ගන්න" පිරික්සුම් කොටුව
• පරිශීලක නාම සහ මුරපද බ්‍රව්සරයේ ස්වයං සම්පුර්ණ කිරීම
• රහස් URL (පොදු URL ඩයිජෙස්ට් මගින් ආරක්ෂා කර ඇත)
• මුරපද ශක්තිය පරීක්ෂා කිරීම
• විද්‍යුත් තැපැල් වලංගුකරණය
• ආකෘති පදනම් කරගත් සත්‍යාපනය පිළිබඳ තවත් බොහෝ දේ ...

එයට මෙවැනි දේ ඇතුළත් නොවිය යුතුය:

• කාර්යභාරයන් සහ අවසරය
• HTTP මූලික සත්‍යාපනය

කරුණාකර අපට උදව් කරන්න:

1. උප මාතෘකා යෝජනා කිරීම
2. මෙම විෂය පිළිබඳ හොඳ ලිපි ඉදිරිපත් කිරීම
3. නිල පිළිතුර සංස්කරණය කිරීම

1 වන කොටස: පුරනය වන්නේ කෙසේද?

සත්‍යාපනය සඳහා සේවාදායක පැත්තේ ඇති ස්ක්‍රිප්ටයකට අගයන් තැපැල් කරන පිවිසුම් + මුරපද HTML පෝරමයක් සාදා ගන්නේ කෙසේදැයි ඔබ දැනටමත් දන්නා බව අපි උපකල්පනය කරමු. පහත දැක්වෙන කොටස් හොඳ ප්‍රායෝගික සත්‍යාපනය සඳහා රටා සහ වඩාත් සුලභ ආරක්ෂක වළලු වළක්වා ගන්නේ කෙසේද යන්න සමඟ කටයුතු කරනු ඇත.

HTTPS වෙතද නැතහොත් HTTPS වෙතද?

සම්බන්ධතාවය දැනටමත් සුරක්‍ෂිත නොවන්නේ නම් (එනම්, එස්එස්එල් / ටීඑල්එස් භාවිතා කරමින් එච්ටීටීපීඑස් හරහා උමං කර ඇත), ඔබේ පිවිසුම් පෝරමයේ අගයන් පැහැදිලි පා text යෙන් යවනු ලැබේ, එමඟින් බ්‍රව්සරය සහ වෙබ් සේවාදායකය අතර ඇති රේඛාව සවන් දෙන ඕනෑම කෙනෙකුට පිවිසුම් කියවීමේ හැකියාව ලැබේ. තුලින්. මෙම වර්ගයේ වයර් ටැප් කිරීම සාමාන්‍යයෙන් රජයන් විසින් සිදු කරනු ලැබේ, නමුත් පොදුවේ ගත් කල, අපි මෙය පැවසීම හැර 'අයිති' වයර් අමතන්නේ නැත: HTTPS භාවිතා කරන්න.

සාරාංශයක් ලෙස, පිවිසීමේදී වයර් ටැප් / පැකට් මංකොල්ලකෑමෙන් ආරක්ෂා වීමට ඇති එකම ප්‍රායෝගික ක්‍රමය වන්නේ HTTPS හෝ වෙනත් සහතික මත පදනම් වූ සංකේතාංකන ක්‍රමයක් (උදාහරණයක් ලෙස TLS ) හෝ ඔප්පු කළ සහ පරීක්ෂා කළ අභියෝග-ප්‍රතිචාර දැක්වීමේ ක්‍රමයක් භාවිතා කිරීමයි (නිදසුනක් ලෙස, ඩිෆි-හෙල්මන් පදනම් වූ SRP). වෙනත් ඕනෑම ක්‍රමයක් සවන් දෙන ප්‍රහාරකයෙකුට පහසුවෙන් වළක්වා ගත හැකිය .

ඇත්ත වශයෙන්ම, ඔබ ටිකක් ප්‍රායෝගික නොවන බව ලබා ගැනීමට කැමති නම්, ඔබට යම් ආකාරයක ද්වි-සාධක සත්‍යාපන යෝජනා ක්‍රමයක් ද භාවිතා කළ හැකිය (උදා: ගූගල් ඔටෙන්ටිකේටර් ඇප්, භෞතික 'සීතල යුද විලාසිතාවේ' කේත පොතක් හෝ ආර්එස්ඒ යතුරු උත්පාදක ඩොන්ගල්). නිවැරදිව යෙදුනහොත්, මෙය අනාරක්ෂිත සම්බන්ධතාවයකින් පවා ක්‍රියා කළ හැකි නමුත්, එස්එස්එල් නොව, සාධක දෙකක සත්‍යාපනය ක්‍රියාත්මක කිරීමට දේව් කැමති වනු ඇතැයි සිතීම දුෂ්කර ය.

(නොකරන්න) ඔබේම ජාවාස්ක්‍රිප්ට් සංකේතනය / හැෂිං රෝල් කරන්න

ඔබේ වෙබ් අඩවියේ SSL සහතිකයක් සැකසීමේ (දැන් වළක්වා ගත හැකි ) පිරිවැය සහ තාක්ෂණික දුෂ්කරතා සැලකිල්ලට ගෙන, සමහර සංවර්ධකයින් අනාරක්ෂිත වයරයක් හරහා පැහැදිලි පා log මාලා ප්‍රවේශ වීම වළක්වා ගැනීම සඳහා තමන්ගේම බ්‍රව්සරයේ හැෂිං හෝ සංකේතාංකන යෝජනා ක්‍රම රෝල් කිරීමට පෙළඹේ.

මෙය උතුම් චින්තනයක් වන අතර, එය ඉහත සඳහන් එකක් සමඟ සංයුක්ත නොවන්නේ නම් එය අත්‍යවශ්‍යයෙන්ම නිෂ් less ල ය (සහ එය ආරක්ෂක දෝෂයක් විය හැකිය ) - එනම්, ශක්තිමත් සංකේතනයකින් රේඛාව සුරක්ෂිත කිරීම හෝ උත්සාහ කළ හා පරීක්ෂා කළ අභියෝග-ප්‍රතිචාරයක් භාවිතා කිරීම යාන්ත්‍රණය (එය කුමක්දැයි ඔබ නොදන්නේ නම්, එය ඔප්පු කිරීමට වඩාත්ම දුෂ්කර, සැලසුම් කිරීමට වඩාත්ම දුෂ්කර සහ ඩිජිටල් ආරක්ෂාව පිළිබඳ සංකල්ප ක්‍රියාත්මක කිරීමට වඩාත්ම දුෂ්කර එකක් බව දැන ගන්න).

මුරපදය හෙළිදරව් කිරීමට එරෙහිව මුරපදය හැෂ් කිරීම effective ලදායී විය හැකි බව සත්‍යයක් වුවත් , එය නැවත ධාවනය කිරීම, මෑන්-ඉන්-ද-මිඩ්ල් ප්‍රහාර / කොල්ලකෑම් (ප්‍රහාරකයාට ඔබේ අනාරක්ෂිත HTML පිටුවට බයිට් කිහිපයක් එන්නත් කළ හැකි නම් එය ඔබගේ ළඟා වීමට පෙර බ්‍රව්සරය, ඔවුන්ට ජාවාස්ක්‍රිප්ට් හි ඇති හැෂිං ගැන සරලව අදහස් දැක්විය හැකිය), හෝ තිරිසන් බල ප්‍රහාර (ඔබ ප්‍රහාරකයාට පරිශීලක නාමය, ලුණු සහ හැෂ් මුරපදය යන දෙකම භාර දෙන බැවින්).

මනුෂ්‍යත්වයට එරෙහි කැප්චස්

කැප්චා යනු එක් විශේෂිත ප්‍රහාරක කාණ්ඩයක් මැඩපැවැත්වීමට ය: ස්වයංක්‍රීය ශබ්දකෝෂය / තිරිසන් බලය අත්හදා බැලීම සහ දෝෂය මිනිස් ක්‍රියාකරුවෙකු නොමැතිව. මෙය සැබෑ තර්ජනයක් බවට කිසිදු සැකයක් නැත, කෙසේ වෙතත්, කැප්චා අවශ්‍ය නොවන, විශේෂයෙන් නිසි ලෙස සැලසුම් කර ඇති සේවාදායක පාර්ශව පිවිසුම් තෙරපුම් යෝජනා ක්‍රම අවශ්‍ය නොවන පරිදි එය සමඟ ගනුදෙනු කිරීමේ ක්‍රම තිබේ - අපි පසුව ඒවා සාකච්ඡා කරමු.

කැප්චා ක්‍රියාත්මක කිරීම එක හා සමානව නිර්මාණය වී නැති බව දැන ගන්න; ඒවා බොහෝ විට මිනිසුන්ට විසඳිය නොහැකි ඒවා වන අතර ඒවායින් බොහොමයක් බොට් වලට එරෙහිව අකාර්යක්ෂම වේ, ඒවා සියල්ලම ලාභ තුන්වන ලෝකයේ ශ්‍රමයට එරෙහිව අකාර්යක්ෂම වේ ( OWASP ට අනුව , වර්තමාන දහඩිය දැමීමේ අනුපාතය පරීක්ෂණ 500 කට ඩොලර් 12 කි), සහ සමහර ක්‍රියාත්මක කිරීම් විය හැකිය සමහර රටවල තාක්‍ෂණිකව නීති විරෝධී ය ( OWASP සත්‍යාපන වංචා පත්‍රය බලන්න ). ඔබ CAPTCHA භාවිතා කළ යුතු නම්, ගූගල් හි reCAPTCHA භාවිතා කරන්න , එය අර්ථ දැක්වීම අනුව OCR- අමාරු බැවින් (එය දැනටමත් OCR- වැරදි වර්ගීකරණය කළ පොත් පරිලෝකන භාවිතා කරන බැවින්) සහ පරිශීලක-හිතකාමී වීමට දැඩි උත්සාහයක් දරයි.

පුද්ගලිකව, මම කැප්චස් කරදරකාරී යැයි සොයා ගැනීමට නැඹුරු වන අතර, පරිශීලකයෙකු කිහිප වතාවක් ලොග් වීමට අපොහොසත් වූ විට සහ ප්‍රමාද ප්‍රමාදයන් උපරිම වූ විට පමණක් ඒවා අවසාන උපක්‍රමයක් ලෙස භාවිතා කරමි. මෙය පිළිගත හැකි තරම් කලාතුරකින් සිදුවන අතර එය සමස්තයක් ලෙස පද්ධතිය ශක්තිමත් කරයි.

මුරපද ගබඩා කිරීම / පිවිසුම් සත්‍යාපනය කිරීම

මෑත වසරවල අප දැක ඇති ඉහළ ප්‍රසිද්ධියක් ලබා ඇති හක්ක සහ පරිශීලක දත්ත කාන්දු වීමෙන් පසුව මෙය අවසාන වශයෙන් පොදු දැනුමක් විය හැකිය, නමුත් එය පැවසිය යුතුය: මුරපද ඔබේ දත්ත ගබඩාවේ පැහැදිලි පා in වල ගබඩා නොකරන්න. SQL එන්නත් කිරීම මඟින් පරිශීලක දත්ත සමුදායන් සාමාන්‍යයෙන් හැක් කර, කාන්දු වී හෝ ලබා ගනී, ඔබ අමු, සරල පෙළ මුරපද ගබඩා කරන්නේ නම්, එය ඔබගේ පිවිසුම් ආරක්ෂාව සඳහා ක්ෂණික ක්‍රීඩාවකි.

ඔබට මුරපදය ගබඩා කළ නොහැකි නම්, පිවිසුම් පෝරමයෙන් පළ කරන ලද පිවිසුම් + මුරපද සංයෝජනය නිවැරදි දැයි ඔබ පරීක්ෂා කරන්නේ කෙසේද? පිළිතුර වන්නේ ව්‍යුත්පන්න ශ්‍රිතයක් භාවිතයෙන් හෑෂ් කිරීමයි . නව පරිශීලකයෙකු නිර්මාණය කරන විට හෝ මුරපදයක් වෙනස් කළ විට, ඔබ මුරපදය ගෙන එය ආර්ගොන් 2, බීක්‍රිප්ට්, ස්ක්‍රිප්ට් හෝ පීබීකේඩීඑෆ් 2 වැනි කේඩීඑෆ් හරහා ධාවනය කර, පැහැදිලි පා password ය මුරපදය ("නිවැරදි අශ්වාරෝහක බැටරිස්ටැපල්") දිගු අහඹු ලෙස පෙනෙන නූලක් බවට පත් කරයි. , එය ඔබගේ දත්ත ගබඩාවේ ගබඩා කිරීමට වඩා ආරක්ෂිත වේ. පුරනය වීමක් සත්‍යාපනය කිරීම සඳහා, ඔබ ඇතුලත් කළ මුරපදය මත එකම හැෂ් ශ්‍රිතය ක්‍රියාත්මක කරයි, මේ වතාවේ ලුණු තුළට ගොස් එහි ප්‍රති has ලයක් ලෙස ඇති හැෂ් නූල් ඔබේ දත්ත ගබඩාවේ ගබඩා කර ඇති අගයට සංසන්දනය කරන්න. Argon2, bcrypt සහ scrypt දැනටමත් හැෂ් සමඟ ලුණු ගබඩා කරන්න. වැඩි විස්තර සඳහා sec.stackexchange හි මෙම ලිපිය බලන්න .

ලුණු භාවිතා කිරීමට හේතුව එය තුළම සේදීම ප්‍රමාණවත් නොවීමයි - දේදුන්න මේසවලට එරෙහිව හැෂ් ආරක්ෂා කිරීම සඳහා ඊනියා 'ලුණු' එක් කිරීමට ඔබට අවශ්‍ය වනු ඇත . එකම ලෑලි අගයක් ලෙස හරියටම ගැලපෙන මුරපද දෙකක් ලුණු effectively ලදායී ලෙස වළක්වයි, ප්‍රහාරකයෙකු මුරපද අනුමාන ප්‍රහාරයක් සිදු කරන්නේ නම් මුළු දත්ත ගබඩාවම එකවර ධාවනය කිරීම වළක්වයි.

මුරපද ආචයනය සඳහා ගුප්ත ලේඛන හැෂ් භාවිතා නොකළ යුතුය, මන්ද පරිශීලකයා විසින් තෝරාගත් මුරපද ප්‍රමාණවත් තරම් ශක්තිමත් නොවේ (එනම් සාමාන්‍යයෙන් ප්‍රමාණවත් එන්ට්‍රොපිය අඩංගු නොවේ) සහ මුරපද අනුමාන කිරීමේ ප්‍රහාරයක් සාපේක්ෂව කෙටි කාලයක් තුළදී ප්‍රහාරකයන්ට හැෂ් වෙත ප්‍රවේශය ඇත. කේඩීඑෆ් භාවිතා කරන්නේ මේ නිසාය - මේවා effectively ලදායි ලෙස “යතුර දිගු කරයි” , එයින් අදහස් කරන්නේ ප්‍රහාරකයෙකු කරන සෑම මුරපදයක්ම අනුමාන කරන්නේ හැෂ් ඇල්ගොරිතමයේ බහුවිධ පුනරාවර්තනයන් ඇති කිරීමට ය, උදාහරණයක් ලෙස 10,000 වතාවක්, එමඟින් ප්‍රහාරකයා මුරපදය 10,000 ගුණයකින් මන්දගාමී යැයි අනුමාන කරයි.

සැසි දත්ත - "ඔබ ස්පයිඩර්මන් 69 ලෙස ලොග් වී ඇත"

සේවාදායකයා ඔබගේ පරිශීලක දත්ත ගබඩාවට එරෙහිව පිවිසුම් සහ මුරපදය සත්‍යාපනය කර ගැලපීමක් සොයාගත් පසු, බ්‍රව්සරය සත්‍යාපනය කර ඇති බව මතක තබා ගැනීමට පද්ධතියට ක්‍රමයක් අවශ්‍ය වේ. මෙම කරුණ කවදා හෝ ගබඩා කළ යුත්තේ සැසි දත්තවල සේවාදායක පැත්ත පමණි.

සැසි දත්ත පිළිබඳව ඔබට නුහුරු නම්, එය ක්‍රියාත්මක වන ආකාරය මෙන්න: අහඹු ලෙස ජනනය කරන ලද නූලක් කල් ඉකුත් වන කුකියක් තුළ ගබඩා කර ඇති අතර සේවාදායකයේ ගබඩා කර ඇති දත්ත එකතුවක් - සැසි දත්ත - යොමු කිරීමට භාවිතා කරයි. ඔබ MVC රාමුවක් භාවිතා කරන්නේ නම්, මෙය නිසැකවම දැනටමත් හසුරුවා ඇත.

හැකි නම්, බ්‍රවුසරයට යවන විට සැසි කුකියේ ආරක්ෂිත සහ HTTP පමණක් ධජ සකසා ඇති බවට වග බලා ගන්න. HttpOnly ධජය XSS ප්‍රහාරය හරහා කියවන කුකියට එරෙහිව යම් ආරක්ෂාවක් සපයයි. ආරක්ෂිත ධජය මඟින් කුකිය ආපසු එවනු ලබන්නේ HTTPS හරහා පමණක් වන අතර එමඟින් ජාල මංකොල්ලකෑම් ප්‍රහාර වලින් ආරක්ෂා වේ. කුකියේ වටිනාකම පුරෝකථනය නොකළ යුතුය. නොපවතින සැසිය පිලිබඳව සඳහන් කුකීස් ඉදිරිපත් කර ඇති අවස්ථාවකදී, එහි අගය වැළැක්වීම සඳහා වහා මාරු කළ යුතුය සැසිය එල්බී .

දෙවන කොටස: පුරනය වී ඇති ආකාරය - කුප්‍රකට "මාව මතක තබා ගන්න" පිරික්සුම් කොටුව

නිරන්තර පිවිසුම් කුකීස් ("මාව මතක තබා ගන්න" ක්‍රියාකාරිත්වය) අවදානම් කලාපයකි; එක් අතකින්, පරිශීලකයින් ඒවා හැසිරවිය යුතු ආකාරය තේරුම් ගත් විට ඒවා සම්ප්‍රදායික පිවිසුම් මෙන් මුළුමනින්ම ආරක්ෂිත වේ; අනෙක් අතට, ඒවා නොසැලකිලිමත් පරිශීලකයින්ගේ දැවැන්ත ආරක්ෂක අවදානමක් වන අතර, ඒවා පොදු පරිගණකවල භාවිතා කර ලොග්අවුට් වීමට අමතක කළ හැකි අතර බ්‍රව්සර් කුකීස් යනු කුමක්දැයි හෝ ඒවා මකා දැමිය හැක්කේ කෙසේදැයි නොදන්නේ ය.

පුද්ගලිකව, මම නිතිපතා පිවිසෙන වෙබ් අඩවි සඳහා නිරන්තර පිවිසුම් වලට කැමතියි, නමුත් ඒවා ආරක්ෂිතව හැසිරවිය යුතු ආකාරය මම දනිමි. ඔබේ පරිශීලකයින් එයම දන්නා බව ඔබ ධනාත්මක නම්, ඔබට පිරිසිදු හෘද සාක්ෂියක් ඇතිව නිරන්තර පිවිසුම් භාවිතා කළ හැකිය. එසේ නොවේ නම් - හොඳයි, එවිට ඔවුන්ගේ පිවිසුම් අක්තපත්‍ර ගැන නොසැලකිලිමත් වන පරිශීලකයින් අනවසරයෙන් ඇතුළුවුවහොත් එය තමන් මතට ගෙන එනු ඇතැයි යන දර්ශනයට ඔබ දායක විය හැකිය. එය අපගේ පරිශීලකයාගේ නිවෙස්වලට ගොස් මුහුණුපොතේ ඇති පෝස්ට්-ඉට් සටහන් සියල්ලම ඔවුන්ගේ මොනිටරයේ අද්දර පෙලගැසී ඇති මුරපද සමඟ ඉරා දැමීම වැනි නොවේ.

ඇත්ත වශයෙන්ම, සමහර පද්ධතිවලට කිසිදු ගිණුමක් හැක් කිරීමට ඉඩ දිය නොහැක ; එවැනි පද්ධති සඳහා, නිරන්තර පිවිසුම් තිබීම සාධාරණීකරණය කළ හැකි ක්‍රමයක් නොමැත.

නිරන්තර පිවිසුම් කුකීස් ක්‍රියාත්මක කිරීමට ඔබ තීරණය කරන්නේ නම්, ඔබ එය කරන්නේ මෙයයි:

1. පළමුව, මෙම විෂය පිළිබඳ පැරගන් මුල පිරීමේ ලිපිය කියවීමට යම් කාලයක් ගත කරන්න . ඔබට මූලද්‍රව්‍ය පොකුරක් නිවැරදිව ලබා ගැනීමට අවශ්‍ය වනු ඇති අතර, ලිපිය සෑම එකක්ම පැහැදිලි කිරීමේ විශාල කාර්යයක් කරයි.

2. වඩාත් සුලභ අන්තරායන්ගෙන් එකක් නැවත අවධාරණය කිරීම සඳහා, ඔබේ දත්ත ගබඩාවේ ස්ථිර ලොජින් කුකී (ටෝකන්) ගබඩා නොකරන්න, එය හෑෂ් එකක් පමණි! පිවිසුම් ටෝකනය මුරපද සමාන වේ, එබැවින් ප්‍රහාරකයකු ඔබේ දත්ත ගබඩාවට අත තැබුවහොත්, ඔවුන්ට ඕනෑම ගිණුමකට ප්‍රවේශ වීම සඳහා ටෝකන භාවිතා කළ හැකිය, ඒවා පැහැදිලි පා lo මාලා-මුරපද සංයෝජන මෙන්. එබැවින්, නිරන්තර පිවිසුම් ටෝකන ගබඩා කිරීමේදී ( https://security.stackexchange.com/a/63438/5002 අනුව දුර්වල හැෂ් එකක් මේ සඳහා හොඳ වනු ඇත) භාවිතා කරන්න.

3 වන කොටස: රහස් ප්‍රශ්න භාවිතා කිරීම

'රහස් ප්‍රශ්න' ක්‍රියාත්මක නොකරන්න . 'රහස් ප්‍රශ්න' විශේෂාංගය ආරක්ෂක විරෝධී රටාවකි. MUST-READ ලැයිස්තුවෙන් අංක 4 සබැඳියෙන් කඩදාසි කියවන්න. යාහූට පසුව ඔබට සාරා පලින්ගෙන් ඒ ගැන විමසන්න. මීට පෙර පැවති ජනාධිපතිවරණ ව්‍යාපාරයකදී ඊමේල් ගිණුම හැක් වී ඇත්තේ ඇගේ ආරක්ෂක ප්‍රශ්නයට පිළිතුර වූ නිසාය ... “වාසිලා උසස් පාසල”!

පරිශීලක-විශේෂිත ප්‍රශ්න සමඟ වුවද, බොහෝ පරිශීලකයින් තෝරා ගැනීමට බොහෝ දුරට ඉඩ ඇත:

• මවගේ විවාහක නම හෝ ප්‍රියතම සුරතලා වැනි 'සම්මත' රහස් ප්‍රශ්නයක්

• ඕනෑම කෙනෙකුට ඔවුන්ගේ බ්ලොග් අඩවියෙන්, ලින්ක්ඩ්ඉන් පැතිකඩෙන් හෝ ඊට සමාන දෑ ඔසවා තැබිය හැකි සරල කරුණු

• ඔවුන්ගේ මුරපදය අනුමාන කරනවාට වඩා පිළිතුරු දීමට පහසු ඕනෑම ප්‍රශ්නයකට. ඕනෑම හොඳ මුරපදයක් සඳහා, ඔබට සිතාගත හැකි සෑම ප්‍රශ්නයක්ම එයයි

අවසාන වශයෙන්, ආරක්ෂක ප්‍රශ්න ඔවුන්ගේ සියලු ආකාර සහ වෙනස්කම් වල සහජයෙන්ම අනාරක්‍ෂිත වන අතර කිසිදු හේතුවක් නිසා සත්‍යාපන යෝජනා ක්‍රමයක භාවිතා නොකළ යුතුය.

ආරක්‍ෂිත ප්‍රශ්න පවා කැලෑවල පැවතීමට සැබෑ හේතුව නම්, නැවත සක්‍රිය කිරීමේ කේතයක් ලබා ගැනීම සඳහා විද්‍යුත් තැපෑලට ප්‍රවේශ විය නොහැකි පරිශීලකයින්ගෙන් උපකාරක ඇමතුම් කිහිපයක පිරිවැය ඔවුන් පහසුවෙන් ඉතිරි කිරීමයි. මෙය ආරක්ෂාව සහ සාරා පාලින්ගේ කීර්තියේ වියදමින්. එය වටිනවා? බොහෝ විට නැත.

4 වන කොටස: අමතක වූ මුරපද ක්‍රියාකාරිත්වය

අමතක වූ / නැතිවූ පරිශීලක මුරපද හැසිරවීම සඳහා ඔබ කිසි විටෙකත් ආරක්ෂක ප්‍රශ්න භාවිතා නොකළ යුත්තේ මන්දැයි මම දැනටමත් සඳහන් කර ඇත්තෙමි ; පරිශීලකයින්ගේ සැබෑ මුරපද ඔබ කිසි විටෙකත් විද්‍යුත් තැපැල් නොකළ යුතු බව නොකියයි. මෙම ක්‍ෂේත්‍රය තුළ වළක්වා ගැනීම සඳහා අවම වශයෙන් තවත් බොහෝ පොදු අන්තරායන් දෙකක් ඇත:

1. අමතක වූ මුරපදයක් ස්වයංක්‍රීයව ශක්තිමත් මුරපදයකට නැවත සකසන්න එපා - එවැනි මුරපද මතක තබා ගැනීම දුෂ්කර ය, එයින් අදහස් කරන්නේ පරිශීලකයා එය වෙනස් කිරීම හෝ ලිවීම කළ යුතු බවයි - දීප්තිමත් කහ පැහැති පෝස්ට්-ඉට් මත ඔවුන්ගේ මොනිටරයේ අද්දර. නව මුරපදයක් සැකසීම වෙනුවට, පරිශීලකයින්ට වහාම නව එකක් තෝරා ගැනීමට ඉඩ දෙන්න - එය ඔවුන්ට කෙසේ හෝ කිරීමට අවශ්‍යය. (මෙයට ව්‍යතිරේකයක් වනුයේ පරිශීලකයන් මුරපද කළමණාකරුවෙකු විශ්වීයව මුරපද ගබඩා කිරීම / කළමනාකරණය කිරීම සඳහා භාවිතා කරන්නේ නම් එය සාමාන්‍යයෙන් ලිවීමකින් තොරව මතක තබා ගත නොහැකි වනු ඇත).

2. නැතිවූ මුරපද කේතය / ටෝකනය සැමවිටම දත්ත ගබඩාවේ හෑෂ් කරන්න. නැවත එය ප්රහාරකයා ඔබගේ දත්ත සමුදාය මත තම අත් වී නඩුවේ hashed විය යුතුය නිසා, මෙම කේතය, සමාන වූ මුරපදය තවත් උදාහරණයක්. නැතිවූ මුරපද කේතයක් ඉල්ලා සිටින විට, සාමාන්‍ය පෙළ කේතය පරිශීලකයාගේ විද්‍යුත් තැපැල් ලිපිනයට යවන්න, ඉන්පසු එය හෑෂ් කරන්න, ඔබේ දත්ත ගබඩාවේ හැෂ් සුරකින්න - සහ මුල් පිටපත විසි කරන්න . මුරපදයක් හෝ නිරන්තර පිවිසුම් ටෝකනයක් වැනි.

අවසාන සටහනක්: 'නැතිවූ මුරපද කේතය' ඇතුළත් කිරීම සඳහා වන ඔබේ අතුරු මුහුණත අවම වශයෙන් ඔබගේ පිවිසුම් පෝරමය තරම්ම ආරක්‍ෂිත බව සහතික කර ගන්න, නැතහොත් ප්‍රහාරකයා ඒ වෙනුවට ප්‍රවේශය ලබා ගැනීමට මෙය භාවිතා කරයි. ඔබ ඉතා දිගු 'නැතිවූ මුරපද කේත' ජනනය කරන බවට වග බලා ගැනීම (නිදසුනක් ලෙස, සිද්ධි සංවේදී අක්ෂරාංක අක්ෂර 16) හොඳ ආරම්භයකි, නමුත් පිවිසුම් පෝරමය සඳහාම ඔබ කරන එකම තෙරපුම් යෝජනා ක්‍රමය එකතු කිරීම සලකා බලන්න.

5 වන කොටස: මුරපදයේ ශක්තිය පරීක්ෂා කිරීම

පළමුව, යථාර්ථය පරීක්ෂා කිරීම සඳහා ඔබට මෙම කුඩා ලිපිය කියවීමට අවශ්‍ය වනු ඇත: වඩාත් පොදු මුරපද 500

හරි, ඒ නිසා සමහර විට ලැයිස්තුව නොවන නිසා කැනෝනිකල් මත වඩාත් පොදු මුරපද ලැයිස්තුව ඕනෑම පද්ධතිය ඕනෑම තැනක මෙතෙක් , නමුත් එය, කිසිදු බලහත්කාරී ප්රතිපත්තියක් පවතින විට ජනතාව තම රහස් පද තෝරා ආකාරය දුර්වල සම්බන්ධයෙන් හොඳ ඉඟියක් වේ. ප්ලස්, ඔබ මෑතකදී සොරකම් කරන ලද මුරපද පිළිබඳ ප්‍රසිද්ධියේ ලබා ගත හැකි විශ්ලේෂණයන් සමඟ සසඳන විට ලැයිස්තුව නිවසට සමීපව පෙනේ.

එබැවින්: අවම මුරපද ශක්තියේ අවශ්‍යතා නොමැතිව, 2% භාවිතා කරන්නන් ඉහළම පොදු මුරපද 20 න් එකක් භාවිතා කරයි. තේරුම: ප්‍රහාරකයෙකුට උත්සාහයන් 20 ක් ලැබුණහොත්, ඔබේ වෙබ් අඩවියේ ගිණුම් 50 න් 1 ක්ම බිඳ දැමිය හැකිය.

මෙය වලක්වා ගැනීම සඳහා මුරපදයක එන්ට්‍රොපිය ගණනය කර එළිපත්ත යෙදීම අවශ්‍ය වේ. ජාතික ප්‍රමිති හා තාක්‍ෂණ ආයතනයේ (NIST) විශේෂ ප්‍රකාශනය 800-63 ඉතා හොඳ යෝජනා මාලාවක් ඇත. එනම්, ශබ්ද කෝෂයක් සහ යතුරුපුවරු පිරිසැලසුම් විශ්ලේෂණයක් සමඟ සංයෝජනය වූ විට (නිදසුනක් ලෙස, 'qwertyuiop' නරක මුරපදයකි), එන්ට්‍රොපි බිටු 18 ක මට්ටමක දුර්වල ලෙස තෝරාගත් මුරපද වලින් 99% ක් ප්‍රතික්ෂේප කළ හැකිය . මුරපදයේ ශක්තිය ගණනය කිරීම සහ දෘශ්‍ය ශක්තිය මීටරයක් පරිශීලකයෙකුට පෙන්වීම හොඳ නමුත් ප්‍රමාණවත් නොවේ. එය බලාත්මක නොකළහොත් බොහෝ පරිශීලකයින් එය නොසලකා හරිනු ඇත.

ඉහළ එන්ට්‍රොපි මුරපද භාවිතා කරන්නන්ගේ සුහදතාවය ප්‍රබෝධමත් කිරීම සඳහා, රැන්ඩල් මුන්රෝගේ මුරපද ශක්තිය xkcd බෙහෙවින් නිර්දේශ කෙරේ.

පොදු දත්ත උල්ලං in නය කිරීම් වලදී සම්මුතියකට ලක්වූ මුරපදවලට එරෙහිව පරිශීලකයන්ගේ මුරපද පරීක්ෂා කිරීම සඳහා ට්‍රෝයි හන්ට්ස්ගේ මම භාවිතා කර ඇති API භාවිතා කරන්න.

හයවන කොටස: තවත් බොහෝ දේ - හෝ: වේගවත් ගිනි පිවිසුම් උත්සාහයන් වැළැක්වීම

පළමුව, අංක දෙස බලන්න: මුරපද ප්‍රතිසාධන වේගය - ඔබේ මුරපදය කොපමණ කාලයක් නැගී සිටිනු ඇත්ද?

එම සබැඳියේ ඇති වගු බැලීමට ඔබට කාලය නොමැති නම්, මෙන්න ඒවායේ ලැයිස්තුව:

1. ඔබ අබකස් එකකින් එය බිඳ දැමුවද, දුර්වල මුරපදයක් බිඳ දැමීමට කිසිදු කාලයක් ගත නොවේ

2. ඒ සඳහා අවශ්ය වන්නේ ම පාහේ කිසිදු අවස්ථාවක එය නම් ගත් කීවෙනි 9-චරිතය මුරපදය නොපනින නඩුව අසංවේදී

3. අක්ෂර 8 ට වඩා අඩු නම් සංකීර්ණ, සංකේත-සහ-අකුරු සහ අංක, ඉහළ සහ කුඩා අකුරු මුරපදයක් බිඳ දැමීමට සැබවින්ම කාලයක් ගත නොවේ (ඩෙස්ක්ටොප් පරිගණකයකට සමස්ත යතුරුපුවරුව අක්ෂර 7 ක් දක්වා සෙවිය හැක. දින හෝ පැය පවා)

4. කෙසේ වෙතත්, ඔබ තත්පරයට එක් උත්සාහයකට සීමා වී ඇත්නම් , අක්ෂර 6 කින් යුත් මුරපදයක් පවා බිඳ දැමීමට අධික කාලයක් ගතවනු ඇත !

ඉතින් මෙම සංඛ්‍යා වලින් අපට ඉගෙන ගත හැක්කේ කුමක්ද? හොඳයි, කැබලි අක්ෂර, නමුත් අපට වඩාත්ම වැදගත් කොටස කෙරෙහි අවධානය යොමු කළ හැකිය: වේගවත් ගිනි නිවීමේ අනුක්‍රමික පිවිසුම් උත්සාහයන් විශාල සංඛ්‍යාවක් වැළැක්වීම (එනම් තිරිසන් බල ප්‍රහාරය) ඇත්ත වශයෙන්ම එතරම් අපහසු නොවේ. නමුත් එය නිවැරදිව වළක්වා ගැනීම පෙනෙන තරම් පහසු නැත.

පොදුවේ ගත් කල, ඔබට තිරිසන් බලවේග ප්‍රහාරයන්ට (සහ ශබ්ද කෝෂ ප්‍රහාරයන්ට එරෙහිව effective ලදායී වන තේරීම් තුනක් ඇත , නමුත් ඔබ දැනටමත් ශක්තිමත් මුරපද ප්‍රතිපත්තියක් භාවිතා කරන බැවින් ඒවා ගැටළුවක් නොවිය යුතුය) :

• එන් අසාර්ථක උත්සාහයන්ගෙන් පසු කැප්චා එකක් ඉදිරිපත් කරන්න (නිරය ලෙස කරදරකාරී සහ බොහෝ විට අකාර්යක්ෂමයි - නමුත් මම මෙහි නැවත නැවත කියමි)

• N අසාර්ථක උත්සාහයන්ගෙන් පසු ගිණුම් අගුළු දැමීම සහ විද්‍යුත් තැපැල් සත්‍යාපනය අවශ්‍ය වේ (මෙය සිදුවීමට බලා සිටින DoS ප්‍රහාරයකි)

• අවසාන වශයෙන්, පිවිසුම් තෙරපීම : එනම්, එන් අසාර්ථක උත්සාහයන්ගෙන් පසු උත්සාහයන් අතර කාල ප්‍රමාදයක් සැකසීම (ඔව්, DoS ප්‍රහාර තවමත් සිදුවිය හැකි නමුත් අවම වශයෙන් ඒවා අඩු හා අඩු කිරීමට වඩා සංකීර්ණ වේ).

හොඳම පුහුණුව # 1: අසාර්ථක උත්සාහයන් ගණන සමඟ වැඩි වන කෙටි කාලීන ප්‍රමාදයක්, වැනි:

• 1 අසාර්ථක උත්සාහය = ප්‍රමාදයක් නැත
• අසාර්ථක උත්සාහයන් 2 = තත්පර 2 ප්‍රමාදය
• 3 අසාර්ථක උත්සාහයන් = තත්පර 4 ප්‍රමාදය
• අසාර්ථක උත්සාහයන් 4 = තත්පර 8 ප්‍රමාදය
• අසාර්ථක උත්සාහයන් 5 ක් = තත්පර 16 ප්‍රමාදය
• ආදිය.

එහි ප්‍රති ing ලයක් ලෙස ඇති වන අගුළු හැරීමේ කාලය පෙර පැවති අගුළු හැරීමේ වේලාවට වඩා තරමක් විශාල බැවින් මෙම යෝජනා ක්‍රමයට පහර දීම ඉතා ප්‍රායෝගික නොවේ.

පැහැදිලි කිරීම සඳහා: බ්‍රව්සරයට ප්‍රතිචාරය දැක්වීමට පෙර ප්‍රමාදය ප්‍රමාදයක් නොවේ . එය නිශ්චිත කාලයකට හෝ පරාවර්තක කාල පරිච්ඡේදයකට සමාන වන අතර එමඟින් නිශ්චිත ගිණුමකට හෝ නිශ්චිත IP ලිපිනයකින් ප්‍රවේශ වීමට උත්සාහ කිරීම කිසිසේත් පිළිගනු නොලැබේ. එනම්, නිවැරදි අක්තපත්‍ර සාර්ථක පිවිසුමකින් ආපසු නොඑනු ඇති අතර වැරදි අක්තපත්‍ර ප්‍රමාද වැඩිවීමක් ඇති නොකරයි.

හොඳම පුහුණුව # 2: එන් අසාර්ථක උත්සාහයන්ගෙන් පසුව ක්‍රියාත්මක වන මධ්‍යම දිග කාල ප්‍රමාදය, වැනි:

• 1-4 අසාර්ථක උත්සාහයන් = ප්‍රමාදයක් නැත
• අසාර්ථක උත්සාහයන් 5 ක් = මිනිත්තු 15-30 ප්‍රමාදය

DoS මෙම යෝජනා ක්‍රමයට පහර දීම තරමක් ප්‍රායෝගික නොවන නමුත් නිසැකවම කළ හැකි ය. එසේම, එවැනි දීර් delay ප්‍රමාදයක් නීත්‍යානුකූල පරිශීලකයෙකුට ඉතා කරදරකාරී විය හැකි බව සැලකිල්ලට ගැනීම අදාළ විය හැකිය. අමතක වූ පරිශීලකයින් ඔබට අකමැති වනු ඇත.

හොඳම පුහුණුව # 3: ප්‍රවේශයන් දෙක ඒකාබද්ධ කිරීම - එක්කෝ අසාර්ථක උත්සාහයන්ගෙන් පසුව ක්‍රියාත්මක වන ස්ථාවර, කෙටි කාලීන ප්‍රමාදයක්, වැනි:

• 1-4 අසාර්ථක උත්සාහයන් = ප්‍රමාදයක් නැත
• 5+ අසාර්ථක උත්සාහයන් = තත්පර 20 ප්‍රමාදය

නැතහොත්, ස්ථාවර ඉහළ මායිමක් සමඟ වැඩි වන ප්‍රමාදයක්, වැනි:

• 1 අසාර්ථක උත්සාහය = තත්පර 5 ප්‍රමාදය
• අසාර්ථක උත්සාහයන් 2 = තත්පර 15 ප්‍රමාදය
• 3+ අසාර්ථක උත්සාහයන් = තත්පර 45 ප්‍රමාදය

මෙම අවසාන යෝජනා ක්‍රමය OWASP හොඳම භාවිත යෝජනා වලින් (MUST-READ ලැයිස්තුවෙන් 1 වන සබැඳිය) ලබාගෙන ඇති අතර එය සීමිත පැත්තෙන් පිළිගත හැකි වුවද එය හොඳම භාවිතයක් ලෙස සැලකිය යුතුය.

කෙසේ වෙතත්, රීතියක් ලෙස, මම මෙසේ කියමි: ඔබගේ මුරපද ප්‍රතිපත්තිය වඩා ශක්තිමත් නම්, ප්‍රමාදයන් සමඟ පරිශීලකයින්ට දෝෂාරෝපණය කිරීමට ඔබට සිදු වේ. ඔබට ශක්තිමත් (සිද්ධි සංවේදී අක්ෂරාංක + අවශ්‍ය අංක සහ සංකේත) 9+ අක්ෂර මුරපද අවශ්‍ය නම්, තෙරපීම සක්‍රිය කිරීමට පෙර පරිශීලකයින්ට 2-4 ප්‍රමාද නොවන මුරපද උත්සාහයන් ලබා දිය හැකිය.

මෙම අවසාන පිවිසුම් තෙරපීමේ යෝජනා ක්‍රමයට DoS පහර දීම ඉතා ප්‍රායෝගික නොවේ. අවසාන ස්පර්ශයක් ලෙස, සෑම විටම අඛණ්ඩ (කුකී) පිවිසුම් (සහ / හෝ කැප්චා-සත්‍යාපිත පිවිසුම් පෝරමයක්) හරහා යාමට ඉඩ දෙන්න, එබැවින් ප්‍රහාරය සිදුවන විට නීත්‍යානුකූල පරිශීලකයින් ප්‍රමාද නොවනු ඇත . ඒ ආකාරයෙන්, ප්‍රායෝගික නොවන DoS ප්‍රහාරය අතිශයින්ම ප්‍රායෝගික නොවන ප්‍රහාරයක් බවට පත්වේ .

මීට අමතරව, වඩාත් ආකර්ෂණීය පිවිසුම් ස්ථාන වන බැවින් පරිපාලක ගිණුම්වල වඩාත් ආක්‍රමණශීලී තෙරපීම සිදු කිරීම අර්ථවත් කරයි

VII වන කොටස: බෙදා හරින ලද තිරිසන් බල ප්‍රහාර

අනෙක් අතට, වඩා දියුණු ප්‍රහාරකයින් 'ඔවුන්ගේ ක්‍රියාකාරකම් ව්‍යාප්ත කිරීම' මඟින් පිවිසුම් තෙරපීම වළක්වා ගැනීමට උත්සාහ කරනු ඇත:

• IP ලිපින සලකුණු කිරීම වැළැක්වීම සඳහා බොට්නෙට් එකක උත්සාහයන් බෙදා හැරීම

• එක් පරිශීලකයෙකු තෝරාගෙන වඩාත් පොදු මුරපද 50.000 උත්සාහ කරනවා වෙනුවට (අපගේ තෙරපීම නිසා ඔවුන්ට එය කළ නොහැකිය), ඔවුන් වඩාත් පොදු මුරපදය තෝරාගෙන ඒ වෙනුවට පරිශීලකයින් 50.000 ට එරෙහිව උත්සාහ කරනු ඇත. ඒ ආකාරයෙන්, ඔවුන් කැප්චා සහ පිවිසුම් තෙරපීම වැනි උපරිම උත්සාහයන් ලබා ගැනීම පමණක් නොව, ඔවුන්ගේ සාර්ථකත්වයේ අවස්ථාව ද වැඩි වේ, මන්ද අංක 1 වඩාත් පොදු මුරපදය අංක 49.995 ට වඩා බොහෝ සෙයින් වැඩි ය.

• සෑම පරිශීලක ගිණුමක් සඳහාම පිවිසුම් ඉල්ලීම් පරතරය, තත්පර 30 ක් දුරින්, රේඩාර් යටතේ සැඟවීමට කියන්න

මෙන්න, හොඳම පුහුණුව වනුයේ අසමත් වූ පිවිසුම් ගණන, පද්ධතිය පුරා විහිදීම සහ ඔබේ වෙබ් අඩවියේ නරක-පිවිසුම් සංඛ්‍යාතයේ සාමාන්‍යය භාවිතා කිරීම, එවිට ඔබ සියලු පරිශීලකයින් මත පනවන ඉහළ සීමාවකට පදනමයි.

ඕනෑවට වඩා වියුක්තද? මට නැවත ලිවීමට ඉඩ දෙන්න:

පසුගිය මාස 3 තුළ ඔබේ වෙබ් අඩවියට සාමාන්‍යයෙන් දිනකට නරක පිවිසුම් 120 ක් ඇති බව පවසන්න. එය භාවිතා කරමින් (ධාවනය වන සාමාන්‍යය), ඔබේ පද්ධතිය ගෝලීය සීමාව මෙන් තුන් ගුණයක් ලෙස නියම කළ හැකිය - එනම්. පැය 24 ක කාලයක් තුළ උත්සාහයන් 360 ක් අසාර්ථක විය. එවිට, සියලු ගිණුම් හරහා අසාර්ථක උත්සාහයන් ගණන එක් දිනක් තුළ ඉක්මවා ගියහොත් (හෝ ඊටත් වඩා හොඳ නම්, ත්වරණය කිරීමේ වේගය නිරීක්ෂණය කර ගණනය කළ එළිපත්තක් මත ප්‍රේරණය කරන්න), එය පද්ධතිය පුරා පැතිරෙන පිවිසුම් තෙරපීම සක්‍රීය කරයි - එනම් සියලු පරිශීලකයින් සඳහා කෙටි ප්‍රමාදයන් (තවමත්, කුකී පිවිසුම් සහ / හෝ උපස්ථ කැප්චා පිවිසුම් හැර).

වැඩි විස්තර සහිත ප්‍රශ්නයක් සහ බෙදා හරින ලද තිරිසන් බලවේග ප්‍රහාර වලක්වා ගැනීමේදී උපක්‍රම වළක්වා ගත හැකි ආකාරය පිළිබඳ හොඳ සාකච්ඡාවක් ද මම පළ කළෙමි.

8 වන කොටස: ද්වි-සාධක සත්‍යාපනය සහ සත්‍යාපන සපයන්නන්

සූරාකෑම, මුරපද ලිවීම සහ නැතිවීම, යතුරු සොරකම් කර ඇති ලැප්ටොප් හෝ තතුබෑම් අඩවි වලට පිවිසුම් භාවිතා කරන්නන් විසින් අක්තපත්‍ර සම්පාදනය කළ හැකිය. දුරකථන ඇමතුමක්, කෙටි පණිවුඩයක්, යෙදුමක් හෝ ඩොන්ගල් එකකින් ලැබෙන තනි භාවිත කේත වැනි කලාපයෙන් බැහැර සාධක භාවිතා කරන ද්වි-සාධක සත්‍යාපනය සමඟ පිවිසුම් තවදුරටත් ආරක්ෂා කළ හැකිය. සැපයුම්කරුවන් කිහිප දෙනෙකු විසින් සාධක දෙකක සත්‍යාපන සේවා ලබා දේ.

සත්‍යාපනය සම්පුර්ණයෙන්ම තනි අත්සන් සේවාවක් වෙත පැවරිය හැකිය, එහිදී වෙනත් සැපයුම්කරුවෙකු අක්තපත්‍ර එකතු කිරීම හසුරුවයි. මෙය ගැටලුව විශ්වාසදායක තෙවන පාර්ශවයකට තල්ලු කරයි. ගූගල් සහ ට්විටර් යන දෙකම ප්‍රමිති මත පදනම් වූ එස්එස්ඕ සේවාවන් සපයන අතර ෆේස්බුක් සමාන හිමිකාර විසඳුමක් සපයයි.

වෙබ් සත්‍යාපනය පිළිබඳ සබැඳි කියවන්න

1. සත්‍යාපනය සඳහා OWASP මාර්ගෝපදේශය / OWASP සත්‍යාපන වංචා පත්‍රිකාව
2. වෙබයේ සේවාලාභී සත්‍යාපනය කළ යුතු දෑ සහ නොකළ යුතු දේ (ඉතා කියවිය හැකි MIT පර්යේෂණ පත්‍රිකාව)
3. විකිපීඩියා: HTTP කුකී
4. පසුබැසීමේ සත්‍යාපනය සඳහා පුද්ගලික දැනුම ප්‍රශ්න: ෆේස්බුක් යුගයේ ආරක්ෂක ප්‍රශ්න (ඉතා කියවිය හැකි බර්ක්ලි පර්යේෂණ පත්‍රය)

නියත ලිපිය

අක්තපත්‍ර යැවීම

අක්තපත්‍ර 100% ආරක්ෂිතව යැවීමට ඇති එකම ප්‍රායෝගික ක්‍රමය වන්නේ SSL භාවිතා කිරීමයි. මුරපදය හැෂ් කිරීමට ජාවාස්ක්‍රිප්ට් භාවිතා කිරීම ආරක්ෂිත නොවේ. ග්‍රාහක පාර්ශවීය මුරපද හැෂිං සඳහා පොදු අන්තරායන්:

• සේවාදායකයා සහ සේවාදායකයා අතර සම්බන්ධතාවය සංකේතාංකනය කර නොමැති නම්, ඔබ කරන සෑම දෙයක්ම මිනිසා අතරමැදි ප්‍රහාරයන්ට ගොදුරු වේ . ප්‍රහාරකයාට එන ජාවාස්ක්‍රිප්ට් වෙනුවට ආදේශ කිරීම හෝ සියළුම අක්තපත්‍ර ඔවුන්ගේ සේවාදායකයට යැවිය හැකිය, ඔවුන්ට සේවාදායකයින්ගේ ප්‍රතිචාරවලට සවන් දිය හැකි අතර පරිශීලකයින් පරිපූර්ණ ලෙස පෙනී සිටිය හැකිය. ආදිය.
• ඔබ සේවාදායකයේ අතිරේක, අතිරික්ත වැඩ නොකරන්නේ නම් , සේවාදායකයාට ලැබෙන හැෂ් මුරපදය අඩු ආරක්ෂිත වේ.

SRP නමින් තවත් ආරක්ෂිත ක්‍රමයක් ඇත , නමුත් එය පේටන්ට් බලපත්ර ලබා ඇත (එය නිදහසේ බලපත්ර ලබා ඇතත් ) සහ හොඳ ක්රියාත්මක කිරීම් කිහිපයක් තිබේ.

මුරපද ගබඩා කිරීම

මුරපද කිසි විටෙකත් දත්ත ගබඩාවේ සාමාන්‍ය පෙළ ලෙස ගබඩා නොකරන්න. ඔබේම වෙබ් අඩවියේ ආරක්ෂාව ගැන ඔබ තැකීමක් නොකළත්. ඔබගේ සමහර පරිශීලකයින් ඔවුන්ගේ මාර්ගගත බැංකු ගිණුමේ මුරපදය නැවත භාවිතා කරනු ඇතැයි උපකල්පනය කරන්න. එබැවින්, හැෂ් මුරපදය ගබඩා කර මුල් පිටපත විසි කරන්න. මුරපදය ප්‍රවේශ ලොග් හෝ යෙදුම් ලොග් වල නොපෙන්වන බවට වග බලා ගන්න. නව යෙදුම් සඳහා ඔබේ පළමු තේරීම ලෙස Argon2 භාවිතා කිරීම OWASP නිර්දේශ කරයි . මෙය ලබා ගත නොහැකි නම්, ඒ වෙනුවට PBKDF2 හෝ ස්ක්‍රිප්ට් භාවිතා කළ යුතුය. අවසාන වශයෙන් ඉහත කිසිවක් ලබා ගත නොහැකි නම්, bcrypt භාවිතා කරන්න.

හෑෂ් ද අනාරක්ෂිත ය. නිදසුනක් ලෙස, සමාන මුරපදවල සමාන හැෂ් අදහස් වේ - මෙය හෑෂ් බැලීමේ වගු එකවර මුරපද විශාල ප්‍රමාණයක් බිඳ දැමීමේ way ලදායී ක්‍රමයක් බවට පත් කරයි. ඒ වෙනුවට, ලුණු දැමූ හැෂ් ගබඩා කරන්න . ලුණු යනු හෑෂ් කිරීමට පෙර මුරපදයට එකතු කරන ලද නූලකි - පරිශීලකයෙකුට වෙනස් (අහඹු) ලුණු භාවිතා කරන්න. ලුණු පොදු වටිනාකමක් ඇති බැවින් ඔබට ඒවා දත්ත ගබඩාවේ ඇති හැෂ් සමඟ ගබඩා කළ හැකිය. මේ පිළිබඳ වැඩි විස්තර සඳහා මෙහි බලන්න .

මෙයින් අදහස් කරන්නේ ඔබට පරිශීලකයාට අමතක වූ මුරපද යැවිය නොහැකි බවයි (ඔබට ඇත්තේ හෑෂ් පමණක් නිසා). ඔබ පරිශීලකයා සත්‍යාපනය කර ඇත්නම් මිස පරිශීලකයාගේ මුරපදය නැවත සකසන්න එපා (ගබඩා කර ඇති (සහ වලංගු) විද්‍යුත් තැපැල් ලිපිනයට යවන ලද ඊමේල් කියවීමට පරිශීලකයින්ට හැකි බව ඔප්පු කළ යුතුය.)

ආරක්ෂක ප්‍රශ්න

ආරක්ෂක ප්‍රශ්න අනාරක්ෂිතයි - ඒවා භාවිතා කිරීමෙන් වළකින්න. මන්ද? ආරක්ෂක ප්‍රශ්නයක් කරන ඕනෑම දෙයක්, මුරපදයක් වඩා හොඳ කරයි. 3 වන කොටස කියවන්න : en ජෙන්ස් රෝලන්ඩ් හි රහස් ප්‍රශ්න භාවිතා කිරීම මෙම විකියේ දී පිළිතුරු දෙන්න .

සැසි කුකීස්

පරිශීලකයා ලොග් වූ පසු, සේවාදායකයා විසින් පරිශීලකයාට සැසි කුකියක් යවයි. සේවාදායකයාට පරිශීලක නාමය හෝ හැඳුනුම්පත කුකියෙන් ලබා ගත හැක, නමුත් වෙනත් කිසිවෙකුට එවැනි කුකියක් ජනනය කළ නොහැක (TODO පැහැදිලි කිරීමේ යාන්ත්‍රණ).

කුකීස් පැහැර ගත හැකිය : ඒවා සේවාදායකයාගේ අනෙක් යන්ත්‍රය සහ වෙනත් සන්නිවේදනයන් තරම් ආරක්ෂිත වේ. ඒවා තැටියෙන් කියවිය හැකිය, ජාල තදබදය, හරස් අඩවි ස්ක්‍රිප්ටින් ප්‍රහාරයකින් ඔසවා, විෂ සහිත ඩීඑන්එස් එකකින් තතුබා, සේවාදායකයා ඔවුන්ගේ කුකී වැරදි සේවාදායකයන් වෙත යවයි. නොනවතින කුකීස් යවන්න එපා. සේවාදායක සැසිය අවසානයේ කුකීස් කල් ඉකුත්විය යුතුය (බ්‍රව්සරය ඔබගේ වසම වසා දැමීම හෝ ඉවත් වීම).

ඔබේ පරිශීලකයින්ට ස්වයංක්‍රීයව සම්බන්ධ වීමට අවශ්‍ය නම්, ඔබට අඛණ්ඩ කුකියක් සැකසිය හැකිය, නමුත් එය පූර්ණ සැසි කුකියකින් වෙනස් විය යුතුය. පරිශීලකයා ස්වයංක්‍රීයව පුරනය වී ඇති අතිරේක ධජයක් ඔබට සැකසිය හැකි අතර සංවේදී මෙහෙයුම් සඳහා සැබෑ ලෙස ලොග් විය යුතුය. මෙය සාප්පු සවාරි වෙබ් අඩවි අතර ජනප්‍රිය වන අතර ඔබට බාධාවකින් තොරව, පුද්ගලීකරණය කළ සාප්පු සවාරි අත්දැකීමක් ලබා දීමට අවශ්‍ය නමුත් ඔබේ මූල්‍ය තොරතුරු තවමත් ආරක්ෂා කරයි. උදාහරණයක් ලෙස, ඔබ නැවත ඇමේසන් නැරඹීමට ගිය විට, ඔබ පිවිසී ඇති බවක් පෙනෙන පිටුවක් ඔවුන් ඔබට පෙන්වයි, නමුත් ඔබ ඇණවුමක් කිරීමට ගිය විට (හෝ ඔබේ නැව් ලිපිනය, ක්‍රෙඩිට් කාඩ් ආදිය වෙනස් කරන්න), ඔවුන් ඔබෙන් ඉල්ලා සිටින්නේ ඔබගේ මුරපදය.

බැංකු සහ ක්‍රෙඩිට් කාඩ් වැනි මූල්‍ය වෙබ් අඩවි වල ඇත්තේ සංවේදී දත්ත පමණක් වන අතර ස්වයංක්‍රීයව පිවිසීමට හෝ අඩු ආරක්‍ෂිත ක්‍රමයකට ඉඩ නොදිය යුතුය.

බාහිර සම්පත් ලැයිස්තුව

• වෙබයේ සේවාලාභී සත්‍යාපනය කළ යුතු දෑ සහ නොකළ යුතු දෑ (PDF)
  පිටු 21 ක ශාස්ත්‍රීය ලිපිය බොහෝ ඉඟි සමඟ.
• YC වෙතින් විමසන්න:
  මෙම විෂය පිළිබඳ පරිශීලක සත්‍යාපන සංසදයේ සාකච්ඡාව සඳහා හොඳම පිළිවෙත්
• ඔබ බොහෝ විට මුරපද ගබඩා කිරීම වැරදියි
  මුරපද ගබඩා කිරීම පිළිබඳ හඳුන්වාදීමේ ලිපිය
• සාකච්ඡාව: කේතීකරණ භීෂණය: ඔබ බොහෝ විට මුරපද වැරදියට ගබඩා කර
  ඇත කේතීකරණ ත්‍රාසජනක ලිපියක් පිළිබඳ සංවාද මණ්ඩපය.
• මුරපද කිසි විටෙක දත්ත ගබඩාවක ගබඩා නොකරන්න!
  මුරපද දත්ත ගබඩාවේ ගබඩා කිරීම පිළිබඳ තවත් අනතුරු ඇඟවීමකි.
• මුරපද බිඳ දැමීම
  මුරපද හැෂිං යෝජනා ක්‍රම කිහිපයක දුර්වලතා පිළිබඳ විකිපීඩියා ලිපිය.
• දේදුන්න වගු සමඟ ඇති තරම්: ආරක්ෂිත මුරපද යෝජනා ක්‍රම ගැන ඔබ දැනගත යුතු
  දේ දේදුන්න වගු පිළිබඳ සාකච්ඡාව සහ ඒවාට එරෙහිව ආරක්ෂා වන්නේ කෙසේද සහ වෙනත් නූල් වලට එරෙහිව. පුළුල් සාකච්ඡාවක් ඇතුළත් වේ.

පළමුව, මෙම පිළිතුර මෙම නිශ්චිත ප්‍රශ්නයට වඩාත් සුදුසු නොවන බවට ප්‍රබල අවවාදයක්. එය අනිවාර්යයෙන්ම ඉහළම පිළිතුර නොවිය යුතුය!

අනාගතයේ දී සත්‍යාපනය සඳහා වඩා හොඳ ප්‍රවේශයන් සඳහා නවීකරණ මාවතක් සොයා ගැනීමේ ආත්මය තුළ මම ඉදිරියට ගොස් මොසිල්ලාගේ යෝජිත බ්‍රව්සර් අයිඩී (හෝ සමහර විට වඩාත් නිවැරදිව, සත්‍යාපිත විද්‍යුත් තැපැල් ප්‍රොටෝකෝලය ) සඳහන් කරමි.

මම එය මේ ආකාරයෙන් සාරාංශ කරමි:

1. මොසිල්ලා යනු මෙම ගැටලුවට හොඳ විසඳුම් සෙවීම සමඟ හොඳින් ගැලපෙන අගයන් සහිත ලාභ නොලබන ආයතනයකි .
2. අද යථාර්ථය නම් බොහෝ වෙබ් අඩවි ආකෘති පදනම් කරගත් සත්‍යාපනය භාවිතා කිරීමයි
3. පෝරමය මත පදනම් වූ සත්‍යාපනය විශාල අඩුපාඩුවක් ඇති අතර එය තතුබෑමේ අවදානම වැඩි කරයි. පරිශීලකයින් ඔවුන්ගේ පරිශීලක නියෝජිතයා (බ්‍රව්සරය) විසින් පාලනය කරනු ලබන ප්‍රදේශයකට වඩා දුරස්ථ ආයතනයක් මගින් පාලනය වන ප්‍රදේශයකට සංවේදී තොරතුරු ඇතුළත් කරන ලෙස ඉල්ලා සිටී.
4. බ්‍රව්සර් ව්‍යංගයෙන් විශ්වාසදායක බැවින් (පරිශීලක නියෝජිතයෙකුගේ සම්පූර්ණ අදහස වන්නේ පරිශීලකයා වෙනුවෙන් ක්‍රියා කිරීමයි), ඔවුන්ට මෙම තත්වය වැඩිදියුණු කිරීමට උපකාරී වේ.
5. මෙහි ප්‍රගතිය වළක්වන මූලික බලවේගය වන්නේ යෙදවීමේ අවහිරයයි . විසඳුම් තනිවම යම් වර්ධක ප්‍රතිලාභයක් ලබා දෙන පියවර වලට දිරාපත් විය යුතුය.
6. අන්තර්ජාල යටිතල ව්‍යුහය තුළ ගොඩනගා ඇති අනන්‍යතාවයක් ප්‍රකාශ කිරීම සඳහා සරලම විමධ්‍යගත ක්‍රමය වන්නේ වසම් නාමයයි.
7. අනන්‍යතාවය ප්‍රකාශ කිරීමේ දෙවන මට්ටම ලෙස, සෑම වසමක්ම තමන්ගේම ගිණුම් සමූහයක් කළමනාකරණය කරයි.
8. “ගිණුම් @වසම” ආකෘතිය සංක්ෂිප්ත වන අතර පුළුල් පරාසයක ප්‍රොටෝකෝල සහ යූආර්අයි යෝජනා ක්‍රම මඟින් සහාය වේ. එවැනි හඳුනාගැනීමක් ඇත්ත වශයෙන්ම ඊමේල් ලිපිනයක් ලෙස විශ්වීයව හඳුනාගෙන තිබේ.
9. විද්‍යුත් තැපැල් සපයන්නන් දැනටමත් අන්තර්ජාලය හරහා තථ්‍ය ප්‍රාථමික අනන්‍යතා සපයන්නන් වේ. වත්මන් මුරපද යළි පිහිටුවීමේ ප්‍රවාහයන් සාමාන්‍යයෙන් ඔබට ගිණුම සම්බන්ධ ඊමේල් ලිපිනය පාලනය කරන බව ඔප්පු කළ හැකි නම් ගිණුමක් පාලනය කිරීමට ඔබට ඉඩ සලසයි.
10. වසම් A හි ඔබට ගිණුමක් ඇති බව B වසමට ඔප්පු කිරීමේ ක්‍රියාවලිය විධිමත් කිරීම සඳහා පොදු යතුරු ගුප්ත ලේඛන මත පදනම්ව ආරක්ෂිත ක්‍රමයක් සැපයීමට සත්‍යාපිත විද්‍යුත් තැපැල් කෙටුම්පත යෝජනා කරන ලදී.
11. සත්‍යාපිත ඊමේල් ප්‍රොටොකෝලය සඳහා සහය නොදක්වන බ්‍රව්සර් සඳහා (දැනට ඒවා සියල්ලම), මොසිල්ලා විසින් සේවාදායක පාර්ශවීය ජාවාස්ක්‍රිප්ට් කේතයේ ප්‍රොටෝකෝලය ක්‍රියාත්මක කරන ෂිම් එකක් සපයයි.
12. සත්‍යාපිත විද්‍යුත් තැපැල් කෙටුම්පතට සහය නොදක්වන ඊමේල් සේවා සඳහා, ප්‍රොටෝකෝලය තෙවන පාර්ශවයකට විශ්වාසදායක අතරමැදියෙකු ලෙස ක්‍රියා කිරීමට ඉඩ සලසයි, ඔවුන් ගිණුමක පරිශීලකයාගේ හිමිකාරිත්වය තහවුරු කර ඇති බව ප්‍රකාශ කරයි. එවැනි තෙවන පාර්ශවයන් විශාල සංඛ්‍යාවක් සිටීම සුදුසු නොවේ; මෙම හැකියාව අදහස් කරන්නේ වැඩිදියුණු කිරීමේ මාවතකට ඉඩ දීම සඳහා පමණක් වන අතර ඊමේල් සේවා විසින් මෙම ප්‍රකාශයන්ම ලබා දීම වඩාත් සුදුසුය.
13. එවැනි විශ්වාසදායක තෙවන පාර්ශවයක් මෙන් ක්‍රියා කිරීමට මොසිල්ලා ඔවුන්ගේම සේවාවක් ඉදිරිපත් කරයි. සත්‍යාපිත විද්‍යුත් තැපැල් කෙටුම්පත ක්‍රියාත්මක කරන සේවා සපයන්නන් (එනම් පක්ෂ මත යැපීම) මොසිල්ලාගේ ප්‍රකාශ විශ්වාස කිරීමට හෝ නොකිරීමට තෝරා ගත හැකිය. තහවුරු කිරීමේ සබැඳියක් සහිත විද්‍යුත් තැපෑලක් යැවීමේ සාම්ප්‍රදායික ක්‍රම භාවිතා කරමින් මොසිල්ලාගේ සේවාව පරිශීලකයින්ගේ ගිණුම් හිමිකම සත්‍යාපනය කරයි.
14. සේවා සපයන්නන්, ඇත්ත වශයෙන්ම, මෙම ප්‍රොටෝකෝලය ඔවුන් ඉදිරිපත් කිරීමට බලාපොරොත්තු විය හැකි වෙනත් සත්‍යාපන ක්‍රමවේදයන්ට අමතරව විකල්පයක් ලෙස ඉදිරිපත් කළ හැකිය.
15. මෙහි විශාල පරිශීලක අතුරුමුහුණත් ප්‍රතිලාභයක් වන්නේ “අනන්‍යතා තේරීම” ය. පරිශීලකයෙකු වෙබ් අඩවියකට පිවිස සත්‍යාපනය කිරීමට තෝරා ගත් විට, ඔවුන්ගේ බ්‍රව්සරය මඟින් වෙබ් අඩවියට තමන්ව හඳුනා ගැනීමට භාවිතා කළ හැකි ඊමේල් ලිපින (“පුද්ගලික”, “වැඩ”, “දේශපාලන ක්‍රියාකාරිත්වය” යනාදිය පෙන්වයි.
16. මෙම ප්‍රයත්නයේ කොටසක් ලෙස අපේක්ෂා කරන තවත් විශාල පරිශීලක අතුරුමුහුණත් ප්‍රතිලාභයක් නම් , පරිශීලකයාගේ සැසිය ගැන වැඩි විස්තර දැන ගැනීමට බ්‍රව්සරයට උදව් කිරීමයි - ඔවුන් දැනට පුරනය වී ඇති අය, මූලික වශයෙන් - එබැවින් එය බ්‍රව්සර් ක්‍රෝම් තුළ පෙන්වනු ඇත.
17. මෙම පද්ධතියේ බෙදා හරින ලද ස්වභාවය නිසා, එය ෆේස්බුක්, ට්විටර්, ගූගල් වැනි ප්‍රධාන වෙබ් අඩවි වලට පිවිසීම වළක්වයි. ඕනෑම පුද්ගලයෙකුට තමන්ගේ වසම අයිති කර ගත හැකි අතර එම නිසා ඔවුන්ගේ අනන්‍යතා සැපයුම්කරු ලෙස ක්‍රියා කරයි.

මෙය තදින්ම “වෙබ් අඩවි සඳහා ආකෘති පදනම් කරගත් සත්‍යාපනය” නොවේ. නමුත් එය ආකෘති පත්ර පාදක සත්යාපනයේ වර්තමාන සම්මතයෙන් වඩා ආරක්ෂිත දෙයකට මාරුවීමේ උත්සාහයකි: බ්රවුසරයට සහාය දක්වන සත්යාපනය.

මම හිතුවා මම මේ විසඳුම බෙදාගන්නවා කියලා.

මම එය ඩම්මි ෆීල්ඩ් ලෙස හඳුන්වන්නෙමි (මම මෙය නිර්මාණය කර නැතත් මට ගෞරව නොකරන්න).

කෙටියෙන් කිවහොත්: ඔබ මෙය ඔබගේ තුළට ඇතුළු කර <form>වලංගු කිරීමේදී හිස්ව තිබේදැයි පරීක්ෂා කළ යුතුය:

<input type="text" name="email" style="display:none" />

උපක්‍රමය නම්, අවශ්‍ය ක්ෂේත්‍රයකට දත්ත ඇතුළත් කළ යුතු යැයි සිතමින් බොට්ව රවටා ගැනීමයි, ඒ නිසා මම ආදානය “විද්‍යුත් තැපෑල” ලෙස නම් කළෙමි. ඔබ දැනටමත් භාවිතා කරන ඊමේල් නමින් ක්ෂේත්‍රයක් තිබේ නම්, ඔබ ව්‍යාජ සමාගම "සමාගම", "දුරකථනය" හෝ "ඊමේල්ඩ්‍රස්" වැනි දෙයක් නම් කිරීමට උත්සාහ කළ යුතුය. ඔබට අවශ්‍ය නැති බව ඔබ දන්නා දෙයක් සහ වෙබ් පෝරමයක් පුරවා ගැනීම සඳහා සාමාන්‍යයෙන් මිනිසුන් තාර්කික යැයි සිතන දෙයක් තෝරාගන්න. දැන් සැඟවීමට inputCSS හෝ ජාවාස්ක්රිප්ට් / සඟවන්න භාවිතා ක්ෂේත්රයේ - ඔබ හොඳම ගැලපෙන ඕනෑම දෙයක් - හුදෙක් නැහැ ආදාන සකසා typeගැනීමට hiddenද ව්යාපෘති සඳහා රොබෝ ඒ සඳහා නොවැටෙන හෝ වෙන.

ඔබ ආකෘති පත්‍රය වලංගු කරන විට (සේවාදායකයා හෝ සේවාදායක පාර්ශවය) ඔබේ ව්‍යාජ ක්ෂේත්‍රය පුරවා ඇත්දැයි පරීක්ෂා කර බලන්න එය මිනිසෙකු හෝ බෝට්ටුවක් විසින් එවන ලද්දක්ද යන්න තීරණය කරන්න.

උදාහරණයක්:

මිනිසෙකු සම්බන්ධයෙන්: පරිශීලකයා ව්‍යාජ ක්ෂේත්‍රය නොදකිනු ඇත (මගේ නඩුවේ "ඊමේල්" ලෙස නම් කර ඇති) එය පිරවීමට උත්සාහ නොකරනු ඇත. එබැවින් පෝරමය යවා ඇති විට ව්‍යාජ ක්ෂේත්‍රයේ වටිනාකම තවමත් හිස් විය යුතුය.

බෝට්ටුවක් සම්බන්ධයෙන් නම්: බෝට්ටුවේ වර්ගය textසහ නමක් email(හෝ ඔබ එය හැඳින්වූ ඕනෑම දෙයක්) දකින අතර එය සුදුසු දත්ත වලින් පුරවා ගැනීමට තර්කානුකූලව උත්සාහ කරනු ඇත. ඔබ සමහර විසිතුරු CSS සමඟ ආදාන පෝරමය හැඩගස්වා ඇත්ද යන්න ගැටළුවක් නොවේ, වෙබ් සංවර්ධකයින් එය සැමවිටම කරයි. ව්‍යාජ ක්ෂේත්‍රයේ වටිනාකම කුමක් වුවත්, එය 0අක්ෂරවලට වඩා විශාල වන තාක් කල් අපි එය ගණන් ගන්නේ නැත .

මම මෙම ක්‍රමය කැප්චා සමඟ ඒකාබද්ධව ආගන්තුක පොතක භාවිතා කළ අතර එතැන් සිට එක අයාචිත තැපැල් සටහනක් මා දැක නැත. මම මීට පෙර කැප්චා පමණක් විසඳුමක් භාවිතා කර ඇති නමුත් අවසානයේදී එහි ප්‍රති ulted ලය වූයේ සෑම පැයකටම අයාචිත තැපැල් ලිපි පහක් පමණ වීමයි. ආකෘති පත්‍රයේ ව්‍යාජ ක්ෂේත්‍රය එකතු කිරීම (අවම වශයෙන් මේ දක්වා) සියලු අයාචිත තැපැල් නොපෙන්වයි.

පුරනය වීමේ / සත්‍යාපන පෝරමයක් සමඟ මෙයද හොඳින් භාවිතා කළ හැකි යැයි මම විශ්වාස කරමි.

අවවාදයයි : ඇත්ත වශයෙන්ම මෙම ක්‍රමය 100% මෝඩකමක් නොවේ. ආදාන ක්ෂේත්‍ර නොසලකා හරින ලෙස බොට්ස් ක්‍රමලේඛනය කළ හැකිය display:none. ඔවුන් සඳහා සියලු ආකාර ක්ෂේත්‍ර ස්වයංක්‍රීයව පුරවා ගැනීම සඳහා යම් ආකාරයක ස්වයංක්‍රීය-සම්පුර්ණ කිරීමක් භාවිතා කරන පුද්ගලයින් ගැන (බොහෝ බ්‍රව්සර් තුළ ඇති පරිදි!) ඔබ සිතා බැලිය යුතුය. ඔවුන් ව්‍යාජ කෙතක් තෝරා ගන්නවා විය හැකියි.

ව්‍යාජ ක්ෂේත්‍රය දෘශ්‍යමාන නමුත් තිරයේ සීමාවෙන් පිටත තැබීමෙන් ඔබට මෙය ටිකක් වෙනස් කළ හැකිය, නමුත් මෙය මුළුමනින්ම ඔබට භාරයි.

නිර්මාණශීලී වන්න!

ඉහත පිළිතුර "වැරදි" යැයි මම නොසිතමි, නමුත් සත්‍යාපනය කළ නොහැකි විශාල ක්ෂේත්‍ර තිබේ (හෝ ඒ වෙනුවට අවධාරණය වන්නේ "කුකී සැසි ක්‍රියාත්මක කරන්නේ කෙසේද" යන්නට මිස "ලබා ගත හැකි විකල්ප මොනවාද සහ වෙළඳාම කුමක්ද" යන්න මත නොවේ. -offs ".

මා යෝජනා කළ සංස්කරණ / පිළිතුරු

• මුරපද පිරික්සීමට වඩා ගිණුම් සැකසීමේදී ගැටළුව පවතී.
• මුරපද සංකේතනය කිරීමේ වඩා දක්ෂ මාධ්‍යයන්ට වඩා සාධක දෙකක සත්‍යාපනය භාවිතා කිරීම වඩා ආරක්ෂිතයි

• ගිණුම් නිර්මාණය කිරීමේදී සහ ස්වයං-උත්පාදනය කිරීමේදී (එනම්, ෆේස්බුක්, ෆ්ලිකර් වැනි වෙබ් 2.0 විලාසිතාව ) ගබඩා කර ඇති දත්ත නිෂ් less ල නොවේ නම්, ඔබේම පිවිසුම් පෝරමයක් හෝ මුරපද දත්ත ගබඩාවක් ක්‍රියාත්මක කිරීමට උත්සාහ නොකරන්න .

  1. ඩයිජෙස්ට් සත්‍යාපනය යනු සියලුම ප්‍රධාන බ්‍රව්සර් සහ සේවාදායකයන් සඳහා සහය දක්වන ප්‍රමිති මත පදනම් වූ ප්‍රවේශයකි, එය ආරක්ෂිත නාලිකාවක් හරහා පවා මුරපදයක් නොයවනු ඇත.

බ්‍රවුසරය විසින්ම සන්නිවේදනය නැවත සංකේතනය කරන බැවින් "සැසි" හෝ කුකීස් තිබීම අවශ්‍ය නොවේ. එය වඩාත්ම "සැහැල්ලු" සංවර්ධන ප්රවේශයයි.

කෙසේ වෙතත්, පොදු, අඩු වටිනාකමින් යුත් සේවාවන් හැර මම මෙය නිර්දේශ නොකරමි. මෙය ඉහත සඳහන් වෙනත් පිළිතුරු සමඟ ගැටළුවක් - සේවාදායක පාර්ශවීය සත්‍යාපන යාන්ත්‍රණයක් නැවත ක්‍රියාත්මක කිරීමට උත්සාහ නොකරන්න - මෙම ගැටළුව විසඳී ඇති අතර බොහෝ ප්‍රධාන බ්‍රව්සර්වල සහාය ඇත. කුකීස් භාවිතා නොකරන්න. ඔබේම අතින් සාදන ලද දත්ත ගබඩාවේ කිසිවක් ගබඩා නොකරන්න. ඉල්ලීම සත්‍යාපනය කර ඇත්නම්, එක් ඉල්ලීමකට ඉල්ලන්න. අනෙක් සියල්ල වින්‍යාස කිරීම සහ තෙවන පාර්ශවීය විශ්වාසදායක මෘදුකාංග මඟින් සහාය විය යුතුය.

ඒ නිසා ...

පළමුවෙන්ම, මුරපදය නැවත පරීක්ෂා කිරීමත් සමඟ ගිණුමක් ආරම්භ කිරීම (මුරපදයක් සමඟ) අපි ව්‍යාකූල කරමු. මම පළමු වරට ෆ්ලිකර් වී ඔබේ වෙබ් අඩවිය නිර්මාණය කරන්නේ නම්, නව පරිශීලකයාට ශුන්‍ය අගයට (හිස් වෙබ් අවකාශය) ප්‍රවේශය ඇත. ගිණුම නිර්මාණය කරන පුද්ගලයා ඔවුන්ගේ නම ගැන බොරු කියනවා නම් මට ඇත්තෙන්ම කමක් නැත. මම සියලුම වෛද්ය වාර්තා වල වටිනාකම බොරු රෝහල් අන්තඃජාලය / extranet ක ගිණුම නිර්මාණය කිරීම මා නම්, හා ඒ නිසා මම කරන්න ගිණුම මැවුම්කරු, අනන්යතාව (*) ගැන සංවේදීය.

මෙය ඉතා දුෂ්කර කොටසයි. මෙම පමණක් යහපත් විසඳුමක් විශ්වාසය වෙබ් වේ. උදාහරණයක් ලෙස, ඔබ වෛද්‍යවරයකු ලෙස රෝහලට බැඳේ. ඔබගේ ඡායාරූපය, ඔබගේ විදේශ ගමන් බලපත්‍ර අංකය සහ පොදු යතුරක් සමඟ කොතැනක හෝ සත්කාරක වෙබ් පිටුවක් ඔබ නිර්මාණය කර පුද්ගලික යතුර සමඟ ඒවා හෑෂ් කරන්න. ඔබ පසුව රෝහලට ගොස් පද්ධති පරිපාලක ඔබගේ විදේශ ගමන් බලපත්‍රය දෙස බලයි, ඡායාරූපය ඔබට ගැලපේදැයි බලන්න, පසුව වෙබ් පිටුව / ඡායාරූප හැෂ් රෝහලේ පෞද්ගලික යතුර සමඟ හෑෂ් කරයි. මෙතැන් සිට අපට ආරක්ෂිතව යතුරු සහ ටෝකන හුවමාරු කර ගත හැකිය. රෝහල විශ්වාස කරන ඕනෑම කෙනෙකුට (රහසිගත සෝස් බීටීඩබ්ලිව් ඇත). පද්ධති පරිපාලක ඔබට RSA ඩොන්ගල් එකක් හෝ වෙනත් සාධක දෙකක සත්‍යාපනයක් ලබා දිය හැකිය .

නමුත් මෙය බොහෝ කරදරයක් වන අතර වෙබ් 2.0 නොවේ. කෙසේ වෙතත්, ස්වයං-නිර්මානය නොකළ වටිනා තොරතුරු වලට ප්‍රවේශය ඇති නව ගිණුම් නිර්මාණය කිරීමට ඇති එකම ආරක්‍ෂිත ක්‍රමය එයයි.

1. Kerberos සහ SPNEGO - විශ්වාසදායක තෙවන පාර්ශවයක් සමඟ තනි අත්සන් කිරීමේ යාන්ත්‍රණයක් - මූලික වශයෙන් පරිශීලකයා විශ්වාසදායක තෙවන පාර්ශවයකට එරෙහිව සත්‍යාපනය කරයි. (සැ.යු මෙම විශ්වාස නොකළ යුතු කිසිම ආකාරයකින් නොවේ OAuth )

2. SRP - විශ්වාසදායක තෙවන පාර්ශවයක් නොමැතිව දක්ෂ මුරපද සත්‍යාපනය කිරීම. නමුත් මෙහිදී අපි "මිල අධික වුවද සාධක දෙකක සත්‍යාපනය භාවිතා කිරීම ආරක්ෂිතයි" යන ක්ෂේත්‍රයට පිවිසෙමු.

3. එස්එස්එල් සේවාදායක පාර්ශවය - සේවාදායකයින්ට පොදු යතුරු සහතිකයක් ලබා දෙන්න (සියලුම ප්‍රධාන බ්‍රව්සර්වල සහාය - නමුත් ග්‍රාහක යන්ත්‍ර ආරක්ෂාව පිළිබඳ ප්‍රශ්න මතු කරයි).

අවසානයේදී, එය වෙළඳාමකි - වඩා ආරක්‍ෂිත ප්‍රවේශයන් ක්‍රියාත්මක කිරීමේ පිරිවැයට එදිරිව ආරක්ෂක උල්ලං of නය කිරීමක පිරිවැය කුමක්ද? එක් දිනක්, නිසි ලෙස පිළිගත් නිසි PKI එකක් අපට දැක ගත හැකි අතර ඒ නිසා තවත් රෝල් කරන ලද සත්‍යාපන ආකෘති සහ දත්ත සමුදායන් නොමැත. එක දවසක්...

හෑෂ් කිරීමේදී, MD5 වැනි වේගවත් හැෂ් ඇල්ගොරිතම භාවිතා නොකරන්න (බොහෝ දෘඩාංග ක්‍රියාත්මක කිරීම් පවතී). SHA-512 වැනි දෙයක් භාවිතා කරන්න. මුරපද සඳහා, මන්දගාමී හැෂ් වඩා හොඳය.

ඔබට වේගයෙන් හැෂ් සෑදිය හැකි තරමට ඕනෑම තිරිසන් බල පරීක්ෂකයෙකුට වැඩ කළ හැකිය. මන්දගාමී හැෂ් නිසා තිරිසන් බල කිරීම මන්දගාමී වේ. මන්දගාමී හැෂ් ඇල්ගොරිතමයක් මඟින් දිගු මුරපද සඳහා තිරිසන් බල කිරීම ප්‍රායෝගික නොවනු ඇත (ඉලක්කම් 8 +)

යථාර්ථවාදී මුරපද ශක්තිය තක්සේරු කිරීම පිළිබඳ හොඳ ලිපියක්:

ඩ්‍රොප්බොක්ස් තාක්ෂණික බ්ලොග් »බ්ලොග් ලේඛනාගාරය» zxcvbn: යථාර්ථවාදී මුරපද ශක්තිය තක්සේරු කිරීම

සත්‍යාපන පද්ධති සම්බන්ධයෙන් මගේ ප්‍රියතම රීතිය: මුරපද නොව මුරපද භාවිතා කරන්න. මතක තබා ගැනීමට පහසුය, ඉරිතලා යාමට අපහසුය. වැඩි විස්තර: කේතීකරණ භීෂණය: මුරපද එදිරිව පාස් වාක්‍ය ඛණ්ඩ

ගැඹුරින් ආරක්‍ෂාව මත පදනම්ව මා භාවිතා කළ එක් යෝජනාවක් එක් කිරීමට මම කැමතියි. සාමාන්‍ය පරිශීලකයින් මෙන් පරිපාලකයින් සඳහා එකම සත්‍යාපන සහ සත්‍යාපන පද්ධතියක් ඔබට අවශ්‍ය නොවේ. ඉහළ වරප්‍රසාද ලබා දෙන ඉල්ලීම් සඳහා වෙනම කේතයක් ක්‍රියාත්මක කරමින් ඔබට වෙනම URL එකක වෙනම පිවිසුම් පෝරමයක් තිබිය හැකිය. සාමාන්‍ය පරිශීලකයින්ට සම්පූර්ණ වේදනාවක් ගෙන දෙන තේරීමක් කිරීමට මෙම තැනැත්තාට හැකිය. මම භාවිතා කළ එවැනි එකක් නම් පරිපාලක ප්‍රවේශය සඳහා පිවිසුම් URL ය සීරීමට සහ පරිපාලකයට නව URL ය විද්‍යුත් තැපෑලෙන් යැවීමයි. ඔබගේ නව URL අත්තනෝමතික ලෙස දුෂ්කර විය හැකි බැවින් (ඉතා දිගු අහඹු නූලක්) ඕනෑම තිරිසන් බල ප්‍රහාරයක් එකවරම නවත්වන්න, නමුත් ඔබේ පරිපාලක පරිශීලකයාගේ එකම අපහසුතාවය වන්නේ ඔවුන්ගේ විද්‍යුත් තැපැල් ලිපිනයේ සබැඳියක් අනුගමනය කිරීමයි. POST කිරීමට පවා කොතැනදැයි ප්‍රහාරකයා තවදුරටත් නොදනී.

මෙයට පිළිතුරක් ලෙස හෝ අදහස් දැක්වීමක් ලෙස පිළිතුරු දීම වඩාත් සුදුසු දැයි මම නොදනිමි. මම පළමු විකල්පය තෝරා ගත්තා.

ඉරියව්ව සම්බන්ධයෙන් පළමුවන පිළිතුරේ IV: අමතක වූ මුරපදයේ ක්‍රියාකාරිත්වය සම්බන්ධයෙන්, මම කාල ප්‍රහාර ගැන කරුණු දක්වන්නෙමි.

තුළ ඔබගේ මුර පදය මතක තබා ගන්න ආකෘති පත්ර, පහර හැකි විද්යුත් තැපැල් සම්පූර්ණ ලැයිස්තුවක් පරීක්ෂා කිරීම හා (පහත ලින්ක් බලන්න) පද්ධතිය වෙත ලියාපදිංචි කරන අනාවරණය විය.

අමතක වූ මුරපද පෝරමය සම්බන්ධයෙන්, යම් ප්‍රමාද ක්‍රියාකාරිත්වයක් සහිත සාර්ථක හා අසාර්ථක විමසුම් අතර සමාන වේලාවන් සමාන කිරීම හොඳ අදහසක් බව මම එකතු කරමි.

https://crypto.stanford.edu/~dabo/papers/webtiming.pdf

ඉතා වැදගත් අදහසක් එක් කිරීමට මම කැමතියි: -

• “ ආයතනික, අන්තර් ජාල සැකසුමක,” බොහෝ විට ඉහත සඳහන් සියල්ලම අදාළ නොවේ.

බොහෝ සමාගම් "අභ්‍යන්තර භාවිතය සඳහා" වෙබ් අඩවි යෙදවීම, effectively ලදායී ලෙස, ආයතනික යෙදුම් "URL හරහා ක්‍රියාත්මක කර ඇත. මෙම URL ලිපින හැකි (යයි කියනු ...) පමණක් ක්රියා කළ "සමාගමේ අභ්යන්තර ජාලය."(කුමන ජාලයට VPN සම්බන්ධිත 'මාර්ග රණශූරයන්' ඇතුළත් වේ?)

පරිශීලකයෙකු ඉහත ජාලයට නිසි ලෙස සම්බන්ධ වූ විට, ඔවුන්ගේ අනන්‍යතාවය ("සත්‍යාපනය") [දැනටමත් ...] "නිශ්චිතවම දන්නා" අතර ඔවුන්ගේ අවසරය ("බලය පැවරීම") යම් යම් දේ කිරීමට ... වැනි. .. "මෙම වෙබ් අඩවියට පිවිසීමට."

මෙම "සත්‍යාපනය + බලය පැවරීමේ" සේවාව LDAP (Microsoft OpenDirectory) වැනි විවිධ තාක්ෂණයන් මගින් සැපයිය හැකිය. හෝ Kerberos .

ඔබේ දෘෂ්ටි කෝණයෙන්, ඔබ මෙය සරලව දනී: ඔබේ වෙබ් අඩවියේ නීත්‍යානුකූලව සුළං හමන ඕනෑම අයෙකු සමඟ [පරිසර විචල්‍යයක් ඉන්ද්‍රජාලිකව අඩංගු වේ ...] “ටෝකනයක්” තිබිය යුතුය. ( එනම් එවැනි ටෝකනයක් නොමැතිවීම සඳහා ක්ෂණික හේතු විය යුතුය 404 Not Found.)

ටෝකනයේ වටිනාකම ඔබට තේරුමක් නැති නමුත්, අවශ්‍යතාවය ඇති වුවහොත්, ඔබේ වෙබ් අඩවියට “[බලයලත් ලෙස] දන්නා කෙනෙකුගෙන් (LDAP ... ආදිය) ඕනෑම දෙයක් (!) ගැන විමසීමට හැකි“ සුදුසු ක්‍රම තිබේ ” . ඔබට ඇති විය හැකි ප්‍රශ්නය. වෙනත් වචන වලින් කිවහොත්, ඔබ කරන්නේ නෑ ඔබම සහනය ලබාගැනීමට ඕනෑම "ගෙදර හැදූ තර්කනයකින්" . ඒ වෙනුවට, ඔබ අධිකාරිය විමසා එහි තීන්දුව ව්‍යංගයෙන් විශ්වාස කරයි.

අහ් ... එය "වල්-හා-ලොම් අන්තර්ජාලයෙන්" සෑහෙන මානසික මාරුවකි.

OpenID Connect හෝ පරිශීලක-කළමනාකරණය කළ ප්‍රවේශය භාවිතා කරන්න .

එය කිසිසේත් නොකිරීමට වඩා කාර්යක්ෂම කිසිවක් නැත.