අපගේ සේවාදායකයන් සඳහා ආරක්ෂක විගණකවරයෙක් සති දෙකක් තුළ පහත සඳහන් දේ ඉල්ලා ඇත:

• සියලුම සේවාදායකවල ඇති සියලුම පරිශීලක ගිණුම් සඳහා වත්මන් පරිශීලක නාම සහ සරල පෙළ මුරපද ලැයිස්තුවක්
• පසුගිය මාස හය තුළ සිදු වූ සියලුම මුරපද වෙනස්වීම් ලැයිස්තුවක්, නැවත සරල පා in යෙන්
• පසුගිය මාස හය තුළ "දුරස්ථ උපාංග වලින් සේවාදායකයට එක් කරන සෑම ගොනුවක්ම" ලැයිස්තුවක්
• ඕනෑම SSH යතුරු වල පොදු සහ පෞද්ගලික යතුරු
• සාමාන්‍ය පෙළ මුරපදය අඩංගු පරිශීලකයෙකු ඔවුන්ගේ මුරපදය වෙනස් කරන සෑම අවස්ථාවකම ඔහුට විද්‍යුත් තැපෑලක් යවනු ලැබේ

අපි LDAP සත්‍යාපනය සමඟ Red Hat Linux 5/6 සහ CentOS 5 පෙට්ටි ධාවනය කරන්නෙමු.

මා දන්නා තරමින්, එම ලැයිස්තුවේ ඇති සෑම දෙයක්ම ලබා ගැනීම අපහසු හෝ ඇදහිය නොහැකි තරම් දුෂ්කර ය, නමුත් මම මෙම තොරතුරු ලබා නොදුනහොත් අපගේ ගෙවීම් වේදිකාවට ප්‍රවේශය අහිමිවීම සහ සංක්‍රාන්ති කාල පරිච්ඡේදයක් තුළ ආදායම අහිමි වීමකට අපි මුහුණ දෙමු. නව සේවාවක්. මෙම තොරතුරු විසඳීමට හෝ ව්‍යාජ කිරීමට මට යෝජනා තිබේද?

සියලු සරල පෙළ මුරපද ලබා ගැනීමට මට සිතිය හැකි එකම ක්‍රමය නම්, සෑම කෙනෙකුටම ඔවුන්ගේ මුරපදය නැවත සැකසීමට සහ ඔවුන් එය සකසා ඇති දේ පිළිබඳ සටහනක් තැබීමයි. එය පසුගිය මාස හයේ මුරපද වෙනස් කිරීමේ ගැටලුව විසඳන්නේ නැත, මන්ද මට එවැනි දේවල් නැවත ක්‍රියාකාරීව ලොග් කළ නොහැකි නිසා දුරස්ථ ලිපිගොනු සියල්ලම ලොග් වීම සඳහා එයම වේ.

අප සතුව පරිශීලකයින් හා පරිගණක කිහිපයක් පමණක් ඇති බැවින් සියලුම පොදු සහ පෞද්ගලික SSH යතුරු ලබා ගැනීම (කරදරකාරී වුවද) හැකි ය. මට මෙය කිරීමට පහසු ක්‍රමයක් මග හැරී නැත්නම්?

ඔහු ඉල්ලන දේවල් කළ නොහැකි බව මම ඔහුට බොහෝ වාරයක් පැහැදිලි කර ඇත්තෙමි. මගේ කනස්සල්ලට ප්‍රතිචාර වශයෙන් ඔහු පහත විද්‍යුත් තැපෑලෙන් ප්‍රතිචාර දැක්වීය.

ආරක්ෂක විගණනය පිළිබඳ මට වසර 10 කට වැඩි පළපුරුද්දක් සහ රෙඩ්හැට් ආරක්ෂක ක්‍රම පිළිබඳ පූර්ණ අවබෝධයක් ඇත, එබැවින් කළ හැකි හා කළ නොහැකි දේ පිළිබඳ ඔබේ කරුණු පරීක්ෂා කර බැලීමට මම යෝජනා කරමි. කිසිම සමාගමකට මෙම තොරතුරු තිබිය නොහැකි යැයි ඔබ පවසන නමුත් මෙම තොරතුරු පහසුවෙන් ලබා ගත හැකි විගණන සිය ගණනක් මම සිදු කර ඇත්තෙමි. සියලුම [සාමාන්‍ය ක්‍රෙඩිට් කාඩ් සැකසුම් සැපයුම්කරුවන්] අපගේ නව ආරක්ෂක ප්‍රතිපත්තිවලට අනුකූල වීම අවශ්‍ය වන අතර මෙම ප්‍රතිපත්ති නිවැරදිව ක්‍රියාත්මක කර ඇති බව සහතික කිරීම මෙම විගණනයේ අරමුණයි.

* අපගේ විගණනයට සති දෙකකට පෙර “නව ආරක්ෂක ප්‍රතිපත්ති” හඳුන්වා දුන් අතර ප්‍රතිපත්තිය වෙනස් වීමට පෙර මාස හයක historical තිහාසික ලොග් වීම අවශ්‍ය නොවීය.

කෙටියෙන් කිවහොත්, මට අවශ්‍යයි;

• මුරපද වෙනස් කර මාස හයක් වටිනා "ව්‍යාජ" ක්‍රමයක් සහ එය වලංගු බව පෙනේ
• මාස හයක අභ්‍යන්තර ලිපිගොනු මාරු කිරීම් "ව්‍යාජ" කිරීමට ක්‍රමයක්
• භාවිතා කරන සියලුම SSH පොදු සහ පෞද්ගලික යතුරු එකතු කිරීමට පහසු ක්‍රමයක්

ආරක්ෂක විගණනය අප අසමත් වුවහොත් අපගේ කාඩ්පත් සැකසුම් වේදිකාවට (අපගේ පද්ධතියේ තීරණාත්මක කොටසක්) ප්‍රවේශය අහිමි වන අතර වෙනත් තැනකට යාමට හොඳ සති දෙකක් ගත වේ. මම කොච්චර ඉස්කුරුප්පුද?

යාවත්කාලීන 1 (සෙනසුරාදා 23)

ඔබගේ සියලු ප්‍රතිචාර වලට ස්තූතියි, මෙය සම්මත භාවිතයක් නොවන බව දැන ගැනීමට ලැබීම මට මහත් සහනයක් වේ.

මම දැනට තත්වය පැහැදිලි කරමින් ඔහුට මගේ විද්‍යුත් තැපැල් ප්‍රතිචාරය සැලසුම් කරමි. ඔබගෙන් බොහෝ දෙනෙක් පෙන්වා දුන් පරිදි, අපට සරල පෙළ මුරපද වෙත ප්‍රවේශ වීමට කිසිදු මාර්ගයක් නොතිබිය යුතු බව පැහැදිලිවම පවසන PCI සමඟ අනුකූල විය යුතුය. මම ඊමේල් එක ලිවීමෙන් පසු එය පළ කරමි. අවාසනාවට මම හිතන්නේ නැහැ ඔහු අපිව පරීක්ෂා කරනවා කියලා; මේ දේවල් දැන් සමාගමේ නිල ආරක්ෂක ප්‍රතිපත්තියේ ඇත. කෙසේවෙතත්, මම රෝද චලනය කර ඒවායින් and ත් වී දැනට පේපෑල් වෙත යොමු කර ඇත්තෙමි.

යාවත්කාලීන 2 (සෙනසුරාදා 23)

මෙය මම කෙටුම්පත් කළ විද්‍යුත් තැපෑලද, එකතු කිරීමට / ඉවත් කිරීමට / වෙනස් කිරීමට දේවල් සඳහා යෝජනා තිබේද?

හායි [නම],

අවාසනාවට, ඉල්ලූ සමහර තොරතුරු ඔබට ලබා දීමට අපට ක්‍රමයක් නොමැත, ප්‍රධාන වශයෙන් සරල පෙළ මුරපද, මුරපද ඉතිහාසය, SSH යතුරු සහ දුරස්ථ ගොනු ලොග්. මේ දේවල් තාක්‍ෂණිකව කළ නොහැකි දෙයක් පමණක් නොව, මෙම තොරතුරු සැපයීමට හැකිවීම PCI ප්‍රමිතිවලට පටහැනි වන අතර දත්ත ආරක්ෂණ පනත උල්ලං ach නය කිරීමකි.
PCI අවශ්‍යතා උපුටා දැක්වීමට,

8.4 සම්ප්‍රේෂණයේදී සහ ගබඩා කිරීමේදී කියවිය නොහැකි සියලුම මුරපද ශක්තිමත් ගුප්ත ලේඛන භාවිතයෙන් සියලුම පද්ධති සංරචක වෙත යොමු කරන්න.

අපගේ පද්ධතියේ භාවිතා කරන පරිශීලක නාම සහ හැෂ් මුරපද, SSH පොදු යතුරු වල පිටපත් සහ බලයලත් ධාරක ගොනුවේ ලැයිස්තුවක් මට ඔබට ලබා දිය හැකිය (මෙය අපගේ සේවාදායකයන්ට සම්බන්ධ විය හැකි අද්විතීය පරිශීලකයින් ගණන තීරණය කිරීමට ප්‍රමාණවත් තොරතුරු ලබා දෙනු ඇත, සහ සංකේතනය භාවිතා කරන ක්‍රම), අපගේ මුරපද ආරක්ෂක අවශ්‍යතා සහ අපගේ LDAP සේවාදායකය පිළිබඳ තොරතුරු නමුත් මෙම තොරතුරු වෙබ් අඩවියෙන් ඉවත් නොකෙරේ. PCI සහ දත්ත ආරක්ෂණ පනතට අනුකූලව සිටියදී මෙම විගණනය සමත් වීමට අපට දැනට ක්‍රමයක් නොමැති බැවින් ඔබේ විගණන අවශ්‍යතා සමාලෝචනය කරන ලෙස මම තරයේ යෝජනා කරමි.

සුභ පැතුම්,
[මම]

මම සමාගමේ සීටීඕ සහ අපගේ ගිණුම් කළමණාකරු ලෙස කටයුතු කරමි. මෙම තොරතුරු ලබා ගත නොහැකි බව සීටීඕ වෙත තහවුරු කළ හැකිය. ඔහු අපෙන් ඉල්ලා සිටින්නේ කුමක්ද යන්න පැහැදිලි කිරීම සඳහා මම PCI ආරක්ෂක ප්‍රමිති කවුන්සිලය හා සම්බන්ධ වන්නෙමි.

යාවත්කාලීන 3 (26)

මෙන්න අපි හුවමාරු කරගත් ඊමේල් කිහිපයක්;

RE: මගේ පළමු විද්‍යුත් තැපෑල;

පැහැදිලි කර ඇති පරිදි, මෙම තොරතුරු ඕනෑම නිසි පරිපාලකයෙකුට හොඳින් නඩත්තු කළ හැකි පද්ධතියක පහසුවෙන් ලබා ගත හැකිය. මෙම තොරතුරු සැපයීමට ඔබ අපොහොසත් වීමෙන් ඔබේ පද්ධතියේ ආරක්ෂක අඩුපාඩු පිළිබඳව ඔබ දන්නා බවත් ඒවා හෙළි කිරීමට සූදානම් නැති බවත් මා විශ්වාස කරයි. අපගේ ඉල්ලීම් PCI මාර්ගෝපදේශයන්ට අනුකූල වන අතර ඒ දෙකම සපුරාලිය හැකිය. ශක්තිමත් ගුප්ත කේතනය යනු පරිශීලකයා ඒවා ඇතුළත් කරන අතරතුර මුරපද සංකේතනය කළ යුතු නමුත් පසුව ඒවා නැවත ලබා ගත හැකි ආකෘතියකට ගෙන යා යුතුය.

මෙම ඉල්ලීම් සඳහා දත්ත ආරක්ෂණ ගැටළු කිසිවක් මා දකින්නේ නැත, දත්ත ආරක්ෂණ අදාළ වන්නේ පාරිභෝගිකයින්ට පමණක් නොව ව්‍යාපාර සඳහා වන බැවින් මෙම තොරතුරු සමඟ කිසිදු ගැටළුවක් නොවිය යුතුය.

මට, මට බැහැ, පවා ...

"ශක්තිමත් ගුප්ත කේතනය යනු පරිශීලකයා ඒවා ඇතුළත් කරන අතරතුර මුරපද සංකේතනය කළ යුතු නමුත් පසුව ඒවා නැවත ලබා ගත හැකි ආකෘතියකට ගෙන යා යුතුය."

මම එය රාමු කර මගේ බිත්තිය මත තබමි.

මම රාජ්‍ය තාන්ත්‍රිකයෙකු ලෙස වෙහෙසට පත් වූ අතර මට ලැබුණු ප්‍රතිචාරය ඔහුට පෙන්වීමට මෙම නූලට යොමු කළෙමි:

මෙම තොරතුරු සැපයීම PCI මාර්ගෝපදේශ වල අවශ්‍යතා කිහිපයකට සෘජුවම පටහැනි වේ. මා උපුටා ගත් කොටසේ පවා කියනුයේ storage (අපි තැටියේ දත්ත ගබඩා කරන ස්ථානයට ඇඟවීම). මම සර්වර් ෆෝල්ට්.කොම් (සයිස්-පරිපාලක වෘත්තිකයින් සඳහා මාර්ගගත ප්‍රජාවක්) පිළිබඳ සාකච්ඡාවක් ආරම්භ කළ අතර එය විශාල ප්‍රතිචාරයක් ඇති කර ඇති අතර, මෙම තොරතුරු සියල්ලම සැපයිය නොහැකි යැයි යෝජනා කරයි. ඔබ හරහා කියවීමට නිදහස් වන්න

/server/293217/

අපි අපගේ පද්ධතිය හරහා නව වේදිකාවක් වෙත ගමන් කිරීම අවසන් කර ඇති අතර ඊළඟ දවසේදී හෝ ඔබ සමඟ අපගේ ගිණුම අවලංගු කරනු ඇත. නමුත් මෙම ඉල්ලීම් කෙතරම් හාස්‍යජනකද යන්න ඔබ වටහා ගැනීමට මට අවශ්‍යය. තවද PCI මාර්ගෝපදේශ නිවැරදිව ක්‍රියාත්මක කරන කිසිදු සමාගමක් එසේ නොකරනු ඇත. මෙම තොරතුරු සැපයීමට හැකි වනු ඇත. ඔබේ ගනුදෙනුකරුවන් කිසිවෙකුට මෙයට අනුකූල විය නොහැකි බැවින් ඔබගේ ආරක්ෂක අවශ්‍යතා ගැන නැවත සිතා බැලීමට මම තරයේ යෝජනා කරමි.

(මට ඇත්තටම අමතක වුනා මම ඔහුව මාතෘකාවේ මෝඩයෙක් ලෙස හැඳින්වූවා, නමුත් සඳහන් කළ පරිදි අපි දැනටමත් ඔවුන්ගේ වේදිකාවෙන් ඉවත් වී ඇති නිසා සැබෑ අලාභයක් සිදු නොවේ.)

ඔහුගේ ප්‍රතිචාරයේ දී ඔහු ප්‍රකාශ කරන්නේ ඔබ කතා කරන්නේ කුමක් දැයි ඔබ කිසිවෙකු නොදන්නා බවයි:

එම ප්‍රතිචාර සහ ඔබේ මුල් ලිපිය හරහා මම විස්තරාත්මකව කියවා ඇත්තෙමි, ප්‍රතිචාර දැක්වූ සියල්ලන්ටම ඔවුන්ගේ කරුණු නිවැරදිව දැනගත යුතුය. එම වෙබ් අඩවියේ සිටින ඕනෑම කෙනෙකුට වඩා මම මෙම කර්මාන්තයේ නියැලී සිටිමි, පරිශීලක ගිණුම් මුරපද ලැයිස්තුවක් ලබා ගැනීම ඇදහිය නොහැකි තරම් මූලික වේ, එය ඔබේ පද්ධතිය සුරක්ෂිත කරන්නේ කෙසේදැයි ඉගෙන ගන්නා විට ඔබ කරන පළමු දේවලින් එකක් විය යුතු අතර ඕනෑම ආරක්‍ෂිත ක්‍රියාවක් සඳහා අත්‍යවශ්‍ය වේ සේවාදායකය. ඔබට මෙම සරල දෙයක් කිරීමට අවංකවම හැකියාවක් නොමැති නම්, මෙම තොරතුරු නැවත ලබා ගැනීමට හැකි වීම ඔබේ සේවාදායකයේ PCI ස්ථාපනය කර නොමැති බව මම සිතමි. මෘදුකාංගයේ මූලික අවශ්‍යතාවයකි. ආරක්ෂාව වැනි දෙයක් සමඟ කටයුතු කරන විට, එය ක්‍රියාත්මක වන ආකාරය පිළිබඳ මූලික දැනුමක් ඔබට නොමැති නම්, ඔබ මෙම ප්‍රශ්න පොදු සංසදයකදී අසන්නේ නැත.

මාව හෙළි කිරීමට දරන ඕනෑම උත්සාහයක් හෝ [සමාගමේ නම] අපහාසයක් ලෙස සලකනු ලබන අතර සුදුසු නීතිමය ක්‍රියාමාර්ග ගනු ඇතැයි මම යෝජනා කිරීමට කැමැත්තෙමි

ඔබට ඒවා මඟ හැරුනේ නම් ප්‍රධාන මෝඩ කරුණු:

• ඔහු මෙහි සිටින අන් අයට වඩා දිගු කලක් ආරක්ෂක විගණකවරයෙකි (ඔහු අනුමාන කරයි, නැතහොත් ඔබට පයින් ගසයි)
• යුනික්ස් පද්ධතියක මුරපද ලැයිස්තුවක් ලබා ගැනීමට හැකිවීම 'මූලික' ය
• PCI දැන් මෘදුකාංගයකි
• ආරක්ෂාව පිළිබඳ විශ්වාසයක් නොමැති විට මිනිසුන් සංසද භාවිතා නොකළ යුතුය
• සත්‍ය තොරතුරු (මට විද්‍යුත් තැපැල් සාක්ෂි ඇති) අන්තර්ජාලය හරහා ඉදිරිපත් කිරීම අපහාසයකි

විශිෂ්ටයි.

පීසීඅයි එස්එස්සී ඊට ප්‍රතිචාර දක්වා ඇති අතර ඔහු සහ සමාගම පිළිබඳව පරීක්ෂණ පවත්වයි. අපගේ මෘදුකාංගය දැන් පේපෑල් වෙත මාරු වී ඇති බැවින් එය ආරක්ෂිත බව අපි දනිමු. පළමුවෙන්ම PCI මා වෙත නැවත පැමිණෙන තෙක් මම බලා සිටිමි, නමුත් ඔවුන් අභ්‍යන්තරව මෙම ආරක්ෂක පිළිවෙත් භාවිතා කරනු ඇතැයි මම ටිකක් කනස්සල්ලට පත්ව සිටිමි. එසේ නම්, අපගේ සියලුම කාඩ්පත් සැකසුම් ඒවා හරහා දිවෙන බැවින් එය අපට විශාල සැලකිල්ලක් වනු ඇතැයි මම සිතමි. ඔවුන් මෙය අභ්‍යන්තරව කරන්නේ නම් මම සිතන්නේ කළ යුතු එකම වගකීම අපගේ ගනුදෙනුකරුවන් දැනුවත් කිරීමයි.

PCI කොතරම් නරකදැයි වටහා ගත් විට ඔවුන් සමස්ත සමාගම හා පද්ධතිය පිළිබඳව විමර්ශනය කරනු ඇතැයි මම බලාපොරොත්තු වෙමි, නමුත් මට විශ්වාස නැත.

දැන් අපි ඔවුන්ගේ වේදිකාවෙන් moved ත් වී ඇති අතර, PCI මා වෙත නැවත පැමිණීමට අවම වශයෙන් දින කිහිපයකට පෙර ගතවනු ඇතැයි උපකල්පනය කරමින්, ඔහුව ටිකක් ට්‍රොල් කරන්නේ කෙසේද යන්න පිළිබඳ නව නිපැයුම් යෝජනා තිබේද? =)

මගේ නීතිමය පුද්ගලයාගෙන් මට අවසරයක් ලැබුණු පසු (මේ කිසිවක් ඇත්ත වශයෙන්ම අපහාසයක් යැයි මට සැකයි, නමුත් මට දෙවරක් පරීක්ෂා කිරීමට අවශ්‍ය විය) මම සමාගමේ නම, ඔහුගේ නම සහ විද්‍යුත් ලිපිනය ප්‍රකාශයට පත් කරමි. ඔබට අවශ්‍ය නම් ඔබට ඔහු හා සම්බන්ධ වී පැහැදිලි කළ හැකිය සියලුම LDAP පරිශීලකයින්ගේ මුරපද ලැයිස්තුවක් ලබා ගන්නේ කෙසේද යන්න වැනි ලිනක්ස් ආරක්ෂණයේ මූලික කරුණු ඔබට නොතේරෙන්නේ ඇයි.

සුළු යාවත්කාලීන කිරීම:

මගේ "නීතිමය පුද්ගලයා" යෝජනා කර ඇත්තේ සමාගම හෙළිදරව් කිරීම අවශ්‍යතාවයට වඩා ගැටලු ඇති කළ හැකි බවයි. මට පැවසිය හැකිය, මෙය ප්‍රධාන සැපයුම්කරුවෙකු නොවේ, ඔවුන්ට මෙම සේවාව භාවිතා කරන සේවාදායකයින් 100 ට වඩා අඩුය. වෙබ් අඩවිය ඉතා කුඩා හා කුඩා වීපීඑස් මත ධාවනය වන විට අපි මුලින් ඒවා භාවිතා කිරීමට පටන් ගත් අතර, පීසීඅයි ලබා ගැනීමේ සියලු උත්සාහයන් හරහා යාමට අපට අවශ්‍ය නොවීය (අපි පේපෑල් ස්ටෑන්ඩර්ඩ් වැනි ඔවුන්ගේ පෙරමුණ වෙත හරවා යැවීමට පුරුදුව සිටියෙමු). නමුත් අපි සෘජුවම සැකසුම් කාඩ්පත් වෙත මාරු වූ විට (PCI ලබා ගැනීම සහ සාමාන්‍ය බුද්ධිය ඇතුළුව), devs එකම සමාගමම වෙනත් API එකක් භාවිතා කිරීමට තීරණය කළේය. සමාගම එක්සත් රාජධානියේ බර්මින්හැම්හි පිහිටා ඇති බැවින් මෙහි සිටින ඕනෑම කෙනෙකුට එය බලපානු ඇතැයි මම දැඩි ලෙස සැක කරමි.

පළමුව, යටත් නොවන්න. ඔහු මෝඩයෙක් පමණක් නොව භයානක ය. ඇත්ත වශයෙන්ම, මෙම තොරතුරු මුදා හැරීම PCI ප්‍රමිතිය උල්ලං would නය කරනු ඇත (එය විගණනය යනු ගෙවීම් සකසනයක් බැවින්) එහි ඇති අනෙකුත් සෑම ප්‍රමිතියක්ම සහ සාමාන්‍ය සාමාන්‍ය බුද්ධිය උල්ලං would නය කරයි. එමඟින් ඔබේ සමාගම සියලු ආකාරයේ වගකීම් වලට නිරාවරණය වනු ඇත.

මම ඊළඟට කළ යුත්තේ ඔබේ ලොක්කාට ඊමේල් පණිවිඩයක් යැවීමයි. මෙම ක්‍රියාව ඉදිරියට ගෙන යාමෙන් සමාගම මුහුණ දෙන නෛතික නිරාවරණය තීරණය කිරීම සඳහා ආයතනික උපදෙස් ලබා ගත යුතු බව පවසමින්.

මෙම අන්තිම බිට් එක ඔබට භාරයි, නමුත් මම මෙම තොරතුරු සමඟ වීසා සම්බන්ධ කර ඔහුගේ PCI විගණන තත්ත්වය ලබා ගන්නෙමි .

වර්ගීකරණ රජයේ කොන්ත්‍රාත්තුවක් සඳහා ප්‍රයිස් වෝටර්හවුස් කූපර්ස් සමඟ විගණන ක්‍රියා පටිපාටිය අනුගමනය කළ අයෙකු ලෙස , මට ඔබට සහතික විය හැකිය, මෙය මුළුමනින්ම ප්‍රශ්නයක් නොවන අතර මේ පුද්ගලයා උමතු ය.

අපගේ මුරපදයේ ශක්තිය පරීක්ෂා කිරීමට PwC ට අවශ්‍ය වූ විට ඔවුන්:

• අපගේ මුරපද ශක්තිය ඇල්ගොරිතම බැලීමට අසන ලදි
• අපගේ ඇල්ගොරිතම දුර්වල පරීක්ෂණ මුරපද ප්‍රතික්ෂේප කරයිදැයි පරීක්ෂා කිරීමට පරීක්ෂණ ඒකක ධාවනය කරන්න
• අපගේ ගුප්තකේතන ඇල්ගොරිතම බැලීමට ඉල්ලා සිටියේ ඒවා ආපසු හැරවීමට හෝ සංකේතනය කිරීමට නොහැකි බව සහතික කිරීමට (දේදුන්න වගු මගින් පවා), පද්ධතියේ සෑම අංශයකටම පූර්ණ ප්‍රවේශයක් ඇති අයෙකු පවා
• පෙර මුරපද නැවත භාවිතා කළ නොහැකි බව සහතික කිරීම සඳහා හැඹිලිගත කර ඇත්දැයි පරීක්ෂා කර ඇත
• සමාජ නොවන ඉංජිනේරු ශිල්පීය ක්‍රම උපයෝගී කරගනිමින් (xss සහ 0 නොවන දින සූරාකෑම වැනි දේ) ජාලය හා ඒ ආශ්‍රිත පද්ධති වලට කඩා වැදීමට උත්සාහ කිරීම සඳහා (අප විසින් ලබා දී ඇති) අවසර ඉල්ලා සිටියේය.

පසුගිය මාස 6 තුළ පරිශීලකයින්ගේ මුරපද මොනවාදැයි ඔවුන්ට පෙන්විය හැකි බවට මා ඉඟි කර ඇත්නම්, ඔවුන් අපව වහාම කොන්ත්‍රාත්තුවෙන් ඉවත් කරනු ඇත.

මෙම අවශ්‍යතා සැපයීමට හැකි නම් , ඔබ සතුව ඇති සෑම විගණනයක්ම ක්ෂණිකව අසමත් වනු ඇත.

යාවත්කාලීන කිරීම: ඔබගේ ප්‍රතිචාර විද්‍යුත් තැපෑල හොඳ පෙනුමක්. මා ලියා ඇති ඕනෑම දෙයකට වඩා බොහෝ වෘත්තීයමය.

අවංකවම, මේ පුද්ගලයා (විගණක) ඔබව සකස් කරන බවක් පෙනේ. ඔහු ඉල්ලන තොරතුරු ඔබ ඔහුට ලබා දෙන්නේ නම්, විවේචනාත්මක අභ්‍යන්තර තොරතුරු අතහැර දැමීමට ඔබට සමාජීය වශයෙන් සැලසුම් කළ හැකි බව ඔබ ඔහුට ඔප්පු කර ඇත. අසමත්.

ඔබ එක්සත් රාජධානියේ සිටින බව මම දුටුවෙමි, එයින් අදහස් කරන්නේ ඔහු ඔබෙන් ඉල්ලා සිටින්නේ නීතිය කඩ කිරීම බවයි (ඇත්ත වශයෙන්ම දත්ත ආරක්ෂණ පනත). මම එක්සත් රාජධානියේ ද සිටිමි, විශාල වශයෙන් විගණනය කරන ලද විශාල සමාගමක සේවය කරන අතර මෙම ප්‍රදේශය වටා ඇති නීතිය සහ පොදු භාවිතයන් දනිමි. මමත් ඉතා නපුරු වැඩ කොටසකි, ඔහු ඔබ වෙනුවෙන් මෙම පුද්ගලයා සතුටින් මැඩපවත්වනු ඇත, ඔබ එහි විනෝදය සඳහා කැමති නම්, ඔබට උදව් කිරීමට කැමති දැයි මට දන්වන්න.

ඔබ සමාජමය වශයෙන් නිර්මාණය කර ඇත. එක්කෝ එය 'ඔබව පරීක්ෂා කිරීම' හෝ ඉතා ප්‍රයෝජනවත් දත්ත ලබා ගැනීම සඳහා විගණකවරයෙකු ලෙස පෙනී සිටින හැකර් ය.

OPs හි සදාචාරාත්මක ගැටලු විසඳීමේ කුසලතා නොමැතිකම සහ සේවාදායකයේ වැරදි ප්‍රජාව මෙම සදාචාරාත්මක හැසිරීම උල්ලං ing නය කිරීම නොසලකා හැරීම ගැන මම බරපතල ලෙස සැලකිලිමත් වෙමි .

කෙටියෙන් කිවහොත්, මට අවශ්‍යයි;

• මාස හයක් වටිනා මුරපද වෙනස් කර එය ව්‍යාජ එකක් බවට පත් කිරීමේ ක්‍රමයක්
• මාස හයක අභ්‍යන්තර ලිපිගොනු මාරු කිරීම් 'ව්‍යාජ' කිරීමට ක්‍රමයක්

කරුණු දෙකක් පිළිබඳව මට පැහැදිලි වීමට ඉඩ දෙන්න:

1. සාමාන්‍ය ව්‍යාපාර කටයුතුවලදී දත්ත ව්‍යාජ ලෙස සකස් කිරීම කිසි විටෙකත් සුදුසු නොවේ.
2. ඔබ කිසි විටෙකත් මේ ආකාරයේ තොරතුරු කිසිවෙකුට හෙළි නොකළ යුතුය. කවදා හෝ.

වාර්තා ව්‍යාජ ලෙස සකස් කිරීම ඔබේ කාර්යයක් නොවේ. අවශ්‍ය ඕනෑම වාර්තාවක් තිබේද, නිවැරදිද, ආරක්ෂිතද යන්න තහවුරු කර ගැනීම ඔබේ කාර්යය වේ.

සර්වර් ෆෝල්ට් හි සිටින ප්‍රජාව මෙවැනි ප්‍රශ්න වලට ස්ටැක් ඕවර්ෆ්ලෝ වෙබ් අඩවිය "ගෙදර වැඩ" ප්‍රශ්න වලට සලකන බැවින් සැලකිය යුතුය . ඔබට තාක්ෂණික ප්‍රතිචාරයකින් පමණක් මෙම ගැටළු විසඳීමට හෝ සදාචාරාත්මක වගකීම උල්ලං violation නය කිරීම නොසලකා හැරිය නොහැක.

ඉහළ පෙළේ පරිශීලකයින් බොහෝ දෙනෙකු මෙම ත්‍රෙඩ් එකේ පිළිතුරු දැකීම සහ ප්‍රශ්නයේ සදාචාරාත්මක ඇඟවුම් ගැන සඳහන් නොකිරීම මට කණගාටුදායකය.

SAGE පද්ධති පරිපාලකයින්ගේ ආචාර ධර්ම පද්ධතිය කියවීමට මම සෑම කෙනෙකුටම උනන්දු කරමි .

BTW, ඔබේ ආරක්ෂක විගණක මෝඩයෙක්, නමුත් එයින් අදහස් කරන්නේ ඔබේ වැඩ කටයුතුවලදී සදාචාර විරෝධී වීමට ඔබට පීඩනයක් දැනිය යුතු බවයි.

සංස්කරණය කරන්න: ඔබගේ යාවත්කාලීන කිරීම් මිල කළ නොහැකි ය. ඔබේ හිස පහළට තබා ගන්න, ඔබේ කුඩු වියළී යන්න, කිසිදු ලී නිකල් ගන්න (හෝ දෙන්න) එපා.

ඔබට ඔහුට අවශ්‍ය දේ ඔහුට ලබා දිය නොහැකි අතර, “ව්‍යාජ” කිරීමට උත්සාහ කිරීමෙන් එය ඔබව බූරුවාට දෂ්ට කිරීමට නැවත පැමිණෙනු ඇත (සමහර විට නීතිමය ආකාරවලින්). ඔබට එක්කෝ විධාන දාමය අභියාචනය කළ යුතුය (ආරක්ෂක විගණන කුප්‍රකට මෝඩකමක් වුවද මෙම විගණකගේ ද්‍රෝහියා විය හැකිය - SMB හරහා AS / 400 වෙත පිවිසීමට අවශ්‍ය විගණක ගැන මගෙන් විමසන්න), නැතහොත් අපායට යන්න. මෙම බැරෑරුම් අවශ්‍යතාවයන්ට යටින්.

ඒවා පවා හොඳ ආරක්ෂාවක් නොවේ - ඒවා ආරක්ෂා කිරීමට භාවිතා කරන ක්‍රම නොසලකා, සියලු සරල මුරපද ලැයිස්තුවක් මෙතෙක් නිපදවිය නොහැකි තරම් භයානක දෙයක් වන අතර , මෙම බ්ලොක් එකට ඒවා සරල පෙළෙන් විද්‍යුත් තැපැල් කිරීමට අවශ්‍ය වනු ඇතැයි මම විශ්වාස කරමි. . (මට විශ්වාසයි ඔබ මෙය දැනටමත් දන්නා බව, මට ටිකක් ඉදිරියට යා යුතුයි).

ජරාව සහ විහිළු සඳහා, ඔහුගේ අවශ්‍යතා ක්‍රියාත්මක කරන්නේ කෙසේදැයි කෙලින්ම ඔහුගෙන් විමසන්න - ඔබ එය නොදන්නා බව පිළිගන්න, සහ ඔහුගේ අත්දැකීම් උපයෝගී කර ගැනීමට කැමතියි. ඔබ පිටතට ගොස් ගිය පසු, ඔහුගේ "මට ආරක්ෂක විගණනය පිළිබඳ වසර 10 කට වැඩි පළපුරුද්දක් ඇත" යන ප්‍රතිචාරය වනුයේ "නැත, ඔබට මිනිත්තු 5 ක අත්දැකීම් සිය ගණනක් පුනරාවර්තනය වේ" යන්නයි.

ඔබ දැන් විසඳා ඇති problem තිහාසික ගැටලුවක් ඔවුන් සොයා ගන්නේ නම් කිසිදු විගණකවරයකු ඔබව අසමත් නොවිය යුතුය. ඇත්ත වශයෙන්ම, එය හොඳ හැසිරීම පිළිබඳ සාක්ෂියකි. එය මනසේ තබාගෙන මම කරුණු දෙකක් යෝජනා කරමි:

අ) බොරු කියන්න හෝ දේවල් හදාගන්න එපා. ආ) ඔබේ ප්‍රතිපත්ති කියවන්න.

මට ඇති ප්‍රධාන ප්‍රකාශය මෙයයි:

සියලුම [සාමාන්‍ය ක්‍රෙඩිට් කාඩ් සැකසුම් සැපයුම්කරු] සේවාදායකයින් අපගේ නව ආරක්ෂක ප්‍රතිපත්තිවලට අනුකූල විය යුතුය

මුරපද ලිවිය නොහැකි බවත් පරිශීලකයා හැර වෙනත් කිසිවෙකුට එය ලබා දිය නොහැකි බවත් ප්‍රකාශයක් එම ප්‍රතිපත්තිවල ඇති බව මම විශ්වාස කරමි. තිබේ නම්, එම ප්‍රතිපත්ති ඔහුගේ ඉල්ලීම් වලට අදාළ කරන්න. එය මේ ආකාරයෙන් හැසිරවීමට මම යෝජනා කරමි:

• සියලුම සේවාදායකවල ඇති සියලුම පරිශීලක ගිණුම් සඳහා වත්මන් පරිශීලක නාම සහ සරල පෙළ මුරපද ලැයිස්තුවක්

ඔහුට පරිශීලක නාම ලැයිස්තුවක් පෙන්වන්න, නමුත් ඒවා රැගෙන යාමට ඉඩ නොදෙන්න. සරල පෙළ මුරපද ලබා දීම අ) එය එක් මාර්ගයක් ලෙස කළ නොහැකි බවත්, ආ) ඔහු ඔබට විගණනය කරන ප්‍රතිපත්තියට එරෙහිව බවත්, එබැවින් ඔබ කීකරු නොවන බවත් පැහැදිලි කරන්න.

• පසුගිය මාස හය තුළ සිදු වූ සියලුම මුරපද වෙනස්වීම් ලැයිස්තුවක්, නැවත සරල පා in යෙන්

මෙය ically තිහාසිකව ලබා ගත නොහැකි වූ බව පැහැදිලි කරන්න. මෙය දැන් සිදු වෙමින් පවතින බව පෙන්වීමට ඔහුට මෑත මුරපද වෙනස් කිරීමේ වේලාවන් ලැයිස්තුවක් දෙන්න. මුරපද ලබා නොදෙන බව ඉහත පරිදි පැහැදිලි කරන්න.

• පසුගිය මාස හය තුළ "දුරස්ථ උපාංග වලින් සේවාදායකයට එක් කරන සෑම ගොනුවක්ම" ලැයිස්තුවක්

ලොග් නොවන්නේ කුමක් ද යන්න පැහැදිලි කරන්න. ඔබට හැකි දේ සපයන්න. රහස්‍ය කිසිවක් සපයන්න එපා, එසේ නොවන්නේ මන්දැයි ප්‍රතිපත්තියෙන් පැහැදිලි කරන්න. ඔබේ ලොග් වීම වැඩිදියුණු කළ යුතුදැයි විමසන්න.

• ඕනෑම SSH යතුරු වල පොදු සහ පෞද්ගලික යතුරු

ඔබේ ප්‍රධාන කළමනාකරණ ප්‍රතිපත්තිය දෙස බලන්න. පුද්ගලික යතුරු ඒවායේ බහාලුමෙන් පිටතට යාමට ඉඩ නොදෙන බවත් ඒවාට ප්‍රවේශවීමේ දැඩි කොන්දේසි ඇති බවත් එහි සඳහන් විය යුතුය. එම ප්‍රතිපත්තිය ක්‍රියාත්මක කරන්න, ප්‍රවේශ වීමට ඉඩ නොදෙන්න. පොදු යතුරු සතුටින් පොදු වන අතර ඒවා බෙදා ගත හැකිය.

• සාමාන්‍ය පෙළ මුරපදය අඩංගු පරිශීලකයෙකු ඔවුන්ගේ මුරපදය වෙනස් කරන සෑම අවස්ථාවකම ඔහුට විද්‍යුත් තැපෑලක් යවනු ලැබේ

එපා කියන්න. ඔබට දේශීය ආරක්ෂිත ලොග් සේවාදායකයක් තිබේ නම්, මෙය ස්ථානගත වී ඇති බව බැලීමට ඔහුට ඉඩ දෙන්න.

මූලික වශයෙන්, මට මෙය කීමට කණගාටුයි, නමුත් ඔබට මෙම පුද්ගලයා සමඟ දෘඩබෝල් ක්‍රීඩා කළ යුතුය. ඔබේ ප්‍රතිපත්තිය හරියටම අනුගමනය කරන්න, අපගමනය නොකරන්න. බොරු කියන්න එපා. ප්‍රතිපත්තිමය නොවන ඕනෑම දෙයකට ඔහු ඔබව අසමත් වුවහොත්, ඔහු එවූ සමාගමේ ජ්‍යෙෂ් ors යින්ට පැමිණිලි කරන්න. ඔබ සාධාරණ බව ඔප්පු කිරීමට මේ සියල්ලේ කඩදාසි මාර්ගයක් එකතු කරන්න. ඔබ ඔබේ ප්‍රතිපත්තිය කඩ කළහොත් ඔබ ඔහුගේ දයාව ඇත. ඔබ ඔවුන් ලිපිය වෙත අනුගමනය කරන්නේ නම්, ඔහු සේවයෙන් නෙරපනු ඇත.

ඔව්, විගණන වේ මෝඩයෙක්. කෙසේ වෙතත්, ඔබ දන්නා පරිදි, සමහර විට මෝඩයන් බලයේ ස්ථානවල තබා ඇත. මෙය එවැනි අවස්ථාවකි.

ඔහු ඉල්ලා සිටි තොරතුරු පද්ධතියේ වර්තමාන ආරක්ෂාව කෙරෙහි ශුන්‍ය බලපෑමක් ඇති කරයි. සත්‍යාපනය සඳහා ඔබ LDAP භාවිතා කරන බවත් මුරපද එක්-මාර්ග හැෂ් භාවිතයෙන් ගබඩා කර ඇති බවත් විගණක වෙත පැහැදිලි කරන්න. මුරපද හැෂ් වලට එරෙහිව තිරිසන් බල ස්ක්‍රිප්ට් එකක් කිරීමට කෙටි (සති (හෝ අවුරුදු) ගත විය හැක), ඔබට මුරපද ලබා දීමට නොහැකි වනු ඇත.

ඒ හා සමානව දුරස්ථ ලිපිගොනු - සේවාදායකයා මත කෙලින්ම සාදන ලද ලිපිගොනු සහ සේවාදායකයට SCP කරන ලද ගොනුවක් අතර වෙනස හඳුනාගත හැකි යැයි ඔහු සිතන්නේ කෙසේදැයි ඇසීමට මම කැමැත්තෙමි.

Omb වොම්බල් පැවසූ පරිදි, කිසිවක් ව්‍යාජ නොකරන්න. එයින් කිසිදු යහපතක් සිදු නොවනු ඇත. එක්කෝ මෙම විගණනය අතහැර වෙනත් තැරැව්කරුවකුට දඩයක් නියම කරන්න, නැතහොත් ඔහුගේ චීස් ඔහුගේ රති .් from ා ගලවා ඇති බව මෙම "වෘත්තිකයාට" ඒත්තු ගැන්වීමට ක්‍රමයක් සොයා ගන්න.

ඔබේ "ආරක්ෂක විගණක" විසින් මෙම ලියකියවිලි වලින් ඕනෑම අවශ්‍යතාවයකට යොමු කර ඔහුගේ අවශ්‍යතා ඇති අතර ඔහු නිදහසට කරුණක් ඉදිරිපත් කිරීමට වෙහෙසෙන අතර නැවත කිසි දිනෙක ඇසීමට ඉඩ නොතබන ලෙස බලා සිටින්න.

WTF! කණගාටුයි නමුත් මේ සඳහා මගේ එකම ප්‍රතිචාරය එයයි. මුරපද වෙනස් වන විට ඒවා පෝෂණය කිරීම පමණක් නොව, සාමාන්‍ය පෙළ මුරපදයක් අවශ්‍ය බව මා අසා ඇති විගණන අවශ්‍යතා නොමැත.

පළමුව, ඔබ එය ලබා දෙන අවශ්‍යතාවය ඔබට පෙන්වන ලෙස ඔහුගෙන් ඉල්ලා සිටින්න.

දෙවනුව, මෙය PCI සඳහා නම් (එය ගෙවීම් පද්ධති ප්‍රශ්නයක් බැවින් අප සියල්ලන්ම උපකල්පනය කරයි) මෙතැනට යන්න: https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php සහ නව විගණකවරයෙකු ලබා ගන්න.

තෙවනුව, ඔවුන් ඉහත කී දේ අනුගමනය කරන්න, ඔබේ කළමනාකාරිත්වය හා ඔහු සමඟ වැඩ කරන QSA සමාගම හා සම්බන්ධ වන්න. වහාම වෙනත් විගණකවරයෙකු ලබා ගන්න.

විගණක විගණන පද්ධති තත්වයන්, ප්‍රමිති, ක්‍රියාවලි යනාදිය ඔවුන්ට පද්ධති වෙත ප්‍රවේශය සපයන කිසිදු තොරතුරක් අවශ්‍ය නොවේ.

විගණකවරුන් සමඟ සමීපව කටයුතු කරන නිර්දේශිත විගණකවරුන් හෝ විකල්ප කොලෝවරුන් ඔබ කැමති නම් මා අමතන්න.

වාසනාව! ඔබේ බඩවැල් විශ්වාස කරන්න, යමක් වැරදියි නම් එය බොහෝ විට විය හැකිය.

ඔහුට මුරපදය දැන ගැනීමට සහ පුද්ගලික යතුරු වෙත ප්‍රවේශ වීමට නීත්‍යානුකූල හේතුවක් නොමැත. ඔහු ඉල්ලා සිටි දෙය ඕනෑම වේලාවක ඔබේ සේවාදායකයින් ලෙස පෙනී සිටිමින් ඔහුට අවශ්‍ය තරම් මුදල් ලබා ගැනීමටත්, එය වංචනික ගනුදෙනුවක් ලෙස හඳුනා ගැනීමට කිසිදු ක්‍රමයක් නොමැතිවත් ඔහුට හැකියාව ලබා දෙනු ඇත. එය හරියටම ඔහු ඔබව විගණනය කිරීමට බලාපොරොත්තු වන ආකාරයේ ආරක්ෂක තර්ජන වනු ඇත.

ඔබේ ආරක්ෂක ප්‍රතිපත්ති උල්ලං to නය කරන ලෙස විගණක විසින් ඉල්ලා ඇති බවත්, එම ඉල්ලීම නීති විරෝධී බවත් කළමනාකාරිත්වයට දන්වන්න. වර්තමාන විගණන ආයතනය අතහැර දමා නීත්‍යානුකූල එකක් සොයා ගැනීමට ඔවුන්ට අවශ්‍ය විය හැකි යැයි යෝජනා කරන්න. නීති විරෝධී තොරතුරු ඉල්ලා සිටීම සඳහා (එක්සත් රාජධානියේ) පොලිසියට කතා කර විගණකවරයා හරවන්න. ඉන්පසු PCI අමතා ඔවුන්ගේ ඉල්ලීම සඳහා විගණක වෙත හැරෙන්න.

ඉල්ලීම ඔබ අහඹු ලෙස කෙනෙකු murder ාතනය කර සිරුර භාර දෙන ලෙස ඉල්ලා සිටීම හා සමානයි. ඔබ එය කරනවාද? නැත්නම් ඔබ පොලිසියට කතා කර ඔවුන්ව ඇතුල් කරනවාද?

නඩුවකින් ප්‍රතිචාර දක්වන්න . විගණකවරයෙක් සරල පෙළ මුරපද ඉල්ලන්නේ නම් (දැන් එන්න, දුර්වල මුරපද හැෂ් තිරිසන් කිරීම හෝ බිඳ දැමීම එතරම් අපහසු නොවේ), ඔවුන් බොහෝ විට ඔවුන්ගේ අක්තපත්‍ර ගැන ඔබට බොරු කීවේය.

ඔබේ ප්‍රතිචාරය ඔබ පවසන ආකාරය සම්බන්ධයෙන් ඉඟියක් පමණි:

අවාසනාවට, ඉල්ලූ සමහර තොරතුරු ඔබට ලබා දීමට අපට ක්‍රමයක් නොමැත, ප්‍රධාන වශයෙන් සරල පෙළ මුරපද, මුරපද ඉතිහාසය, SSH යතුරු සහ දුරස්ථ ගොනු ලොග්. මේ දේවල් තාක්‍ෂණිකව කළ නොහැකි දෙයක් පමණක් නොවේ ...

තාක්ෂණික ශක්‍යතාව පිළිබඳ සාකච්ඡාවකට නොපැමිණීම සඳහා මම මෙය නැවත ලියමි. විගණක විසින් එවන ලද භයානක ආරම්භක විද්‍යුත් තැපෑල කියවන විට, මෙය ප්‍රධාන ගැටළුවට සම්බන්ධ නොවන තොරතුරු ලබා ගත හැකි අයෙකු බව පෙනේ, තවද ඔබට මුරපද, ලොග් පිවිසුම් ආදිය සුරැකිය හැකි යැයි ඔහු තර්ක කළ හැකිය . :

... අපගේ දැඩි ආරක්ෂක ප්‍රතිපත්ති නිසා, අපි කිසි විටෙකත් මුරපද සාමාන්‍ය පෙළට ඇතුළත් කර නොමැත. එබැවින් මෙම දත්ත සැපයීම තාක්‍ෂණිකව කළ නොහැකි වනු ඇත.

හෝ

... ඔබගේ ඉල්ලීමට අනුකූල වීමෙන් අපි අපගේ අභ්‍යන්තර ආරක්ෂක මට්ටම සැලකිය යුතු ලෙස පහත හෙලනු ඇත පමණක් නොව, ...

සුභ පැතුම්, මෙය අවසන් වන්නේ කෙසේදැයි අපව සටහන් කරන්න!

ඉහළ ප්‍රතිචාරයක් දක්වන පරිශීලකයින් මෙම ප්‍රශ්නයට පැනීමේ අවදානම දිගටම පවතින විට, මෙන්න මගේ සිතුවිලි.

ඔහුට සරල මුරපද අවශ්‍ය වන්නේ මන්දැයි මට නොපැහැදිලි ලෙස දැක ගත හැකිය, එය භාවිතයේ ඇති මුරපදවල ගුණාත්මකභාවය විනිශ්චය කිරීමයි. මා දන්නා බොහෝ විගණකවරුන් ගුප්ත හැෂ් පිළිගෙන රති er ් run ා ධාවනය කර ඔවුන් කුමන ආකාරයේ පහත් එල්ලෙන පලතුරක් ඇද ගත හැකිදැයි බැලීමට එය යොදා ගනී. ඔවුන් සියල්ලන්ම මුරපද-සංකීර්ණතා ප්‍රතිපත්තිය ඉක්මවා ගොස් එය බලාත්මක කිරීම සඳහා ඇති ආරක්ෂණ මොනවාදැයි සමාලෝචනය කරනු ඇත.

නමුත් ඔබට මුරපද කිහිපයක් ලබා දිය යුතුය. සාමාන්‍ය පෙළ මුරපද භාරදීමේ ඉලක්කය කුමක්දැයි ඔහුගෙන් විමසීමට මම යෝජනා කරමි (ඔබ දැනටමත් මෙය කර ඇති බව මම සිතමි). ඔහු කියා සිටියේ එය ඔබගේ අනුකූලතාවයට එදිරිව ආරක්ෂක ප්‍රතිපත්තියක් වලංගු කිරීම බවයි, එබැවින් එම ප්‍රතිපත්තිය ඔබට ලබා දීමට ඔහු ලබා ගන්න. ඔබේ මුරපදය සංකීර්ණ කිරීමේ තන්ත්‍රය පරිශීලකයින්ට ඔවුන්ගේ මුරපදය සැකසීමෙන් වලක්වා ගැනීමට තරම් ශක්තිමත් බව ඔහු පිළිගන්නේ දැයි ඔහුගෙන් විමසන්න P@55w0rd.

ඔහු එය තල්ලු කරන්නේ නම්, ඔබට සාමාන්‍ය පෙළ මුරපද ලබා දිය නොහැකි බව පිළිගැනීමට සිදු විය හැකිය, මන්ද ඒවා පටිගත කිරීමට ඔබ සකසා නොමැති හෙයින් (එය ප්‍රධාන ආරක්ෂාවක් අසමත් වීමත් සමඟ), නමුත් අනාගතයේදී ඔහුට අවශ්‍ය නම් ඒ සඳහා උත්සාහ කළ හැකිය. ඔබගේ මුරපද ප්‍රතිපත්ති ක්‍රියාත්මක වන බවට සෘජු සත්‍යාපනය. ඔහුට එය සනාථ කිරීමට අවශ්‍ය නම්, ඔබ ඔහු වෙනුවෙන් ගුප්ත මුරපද දත්ත ගබඩාව සතුටින් ලබා දෙනු ඇත (නැතහොත් ඔබ! කැමැත්තෙන් පෙන්වන්න! එය උපකාරී වේ!)

"දුරස්ථ ලිපිගොනු" SFTP සැසි සඳහා SSH ලොග් වලින් ඉවතට ගත හැකිය, එය ඔහු කතා කරන්නේ යැයි මම සැක කරමි. ඔබට මාස 6 ක් වටිනා සයිස්ලොජිං නොමැති නම්, මෙය නිෂ්පාදනය කිරීමට අපහසු වනු ඇත. SSH හරහා ලොග් වී සිටියදී දුරස්ථ සේවාදායකයකින් ගොනුවක් අදින්න wget භාවිතා කිරීම 'දුරස්ථ ගොනු හුවමාරුවක්' ලෙස සලකන්නේද? HTTP PUT ද? දුරස්ථ පරිශීලකයාගේ පර්යන්ත කවුළුව තුළ ඇති ක්ලිප්බෝඩ් පෙළෙන් ගොනු නිර්මාණය වී තිබේද? ඕනෑම දෙයක් නම්, මෙම ප්‍රදේශය තුළ ඔහුගේ උත්සුකයන් පිළිබඳව වඩා හොඳ හැඟීමක් ලබා ගැනීම සඳහා ඔබට මෙම අද්දර සිද්ධීන් සමඟ ඔහුගෙන් විමසීමට හැකි අතර සමහර විට "මම ඔබට වඩා මේ ගැන වැඩි යමක් දනිමි" යන හැඟීම මෙන්ම ඔහු සිතන නිශ්චිත තාක්ෂණයන් මොනවාද යන්නත් ඇති කළ හැකිය. ඉන්පසු ඔබට හැකි දේ ලොග් සහ සංරක්ෂිත ල logs ු-සටහන් වලින් උපස්ථ වල උපුටා ගන්න.

මට SSH යතුරු කිසිවක් ලැබුනේ නැත. මට සිතිය හැකි එකම දෙය නම් ඔහු කිසියම් හේතුවක් නිසා මුරපද රහිත යතුරු පරික්ෂා කිරීම සහ සමහර විට ගුප්ත ශක්තියයි. නැතිනම් මට කිසිවක් ලැබුනේ නැත.

එම යතුරු ලබා ගැනීම සඳහා, අවම වශයෙන් පොදු යතුරු අස්වැන්න නෙළීම පහසුය; .ssh ෆෝල්ඩර ඔවුන් සොයන ට්‍රොල් කරන්න. පුද්ගලික යතුරු ලබා ගැනීම සඳහා ඔබේ BOFH තොප්පිය පැළඳීම සහ "ඔබේ පොදු සහ පෞද්ගලික SSH යතුරු යුගල මට එවන්න. මට නොලැබෙන ඕනෑම දෙයක් දින 13 කින් සේවාදායකයන්ගෙන් ඉවත් කරනු ලැබේ" යන තේමාවට ඔබේ පරිශීලකයින්ට හිරිහැර කිරීම ඇතුළත් වේ. කවුරුහරි රණ්ඩු වුණොත් (මම) ආරක්ෂක විගණනයට යොමු කරනවා. පිටපත් කිරීම මෙහි ඔබේ මිතුරා ය. අවම වශයෙන් එය මුරපද අඩු යතුරුපුවරු සමූහයක් මුරපද ලබා ගැනීමට හේතු වේ.

ඔහු තවමත් "විද්‍යුත් තැපෑලෙහි සරල පෙළ මුරපද" ඉල්ලා සිටියහොත් අවම වශයෙන් එම ඊමේල් ඔහුගේම යතුරකින් ජීපීජී / පීජීපී ගුප්තකේතනයට යටත් කරන්න. ඔහුගේ ලුණු වටිනා ඕනෑම ආරක්ෂක විගණකවරයෙකුට එවැනි දෙයක් හැසිරවීමට හැකි විය යුතුය. ඒ ආකාරයෙන් මුරපද කාන්දු වුවහොත්, ඒ ඔහු ඔබ හැර යාමට ඉඩ හැරීම නිසා ය. නිපුණතාවය සඳහා තවත් ලිට්මස් පරීක්ෂණයක්.

මට මේ සම්බන්ධයෙන් සයිෆර් සහ වොම්බල් යන දෙදෙනාම එකඟ විය යුතුය. භයානක ප්රතිවිපාක සහිත භයානක මෝඩයා.

ඔබ ආරක්ෂක අවදානමක් දැයි බැලීමට ඔහු ඔබව පරීක්ෂා කරයි. ඔබ මෙම තොරතුරු ඔහුට ලබා දුන්නොත් ඔබ ක්ෂණිකව සේවයෙන් පහ කරනු ඇත. මෙය ඔබගේ ආසන්නතම ලොක්කා වෙත ගෙන ගොස් ගාස්තුව පසු කරන්න. මෙම බූරුවා නැවත ඔබ අසල කොතැනක හෝ පැමිණියහොත් ඔබ අදාළ බලධාරීන් සම්බන්ධ කර ගන්නා බව ඔබේ ලොක්කාට දන්වන්න.

ලොක්කන්ට ගෙවනු ලබන්නේ එයයි.

ටැක්සි කැබ් රථයක පිටුපස ඉතිරිව ඇති කඩදාසි කැබැල්ලක මුරපද, එස්එස්එච් යතුරු සහ පරිශීලක නාම ලැයිස්තුවක් මා සතුව තිබේ. හ්හ්ම්ම්ම්! පුවත්පත් සිරස්තල දැන්ම දැක ගත හැකිය!

යාවත්කාලීන කරන්න

පහත දැක්වෙන අදහස් 2 ට ප්‍රතිචාර වශයෙන් මම හිතන්නේ ඔබ දෙදෙනාට හොඳ කරුණු ඉදිරිපත් කළ හැකිය. ඇත්ත වශයෙන්ම සත්‍යය සොයා ගැනීමට ක්‍රමයක් නොමැති අතර ප්‍රශ්නය කිසිසේත්ම පළ කර තිබීම පෝස්ටරයේ පැත්තෙන් මඳක් බොළඳ බවක් පෙන්නුම් කරයි. එසේම වෘත්තීය ප්‍රතිවිපාක සමඟ අයහපත් තත්වයකට මුහුණ දීමට ධෛර්යයද ඇත. වැලි සහ පලා යන්න.

එය වටින දේ සඳහා මගේ නිගමනය නම්, මෙය විගණන හෝ විගණන ප්‍රතිපත්ති කාර්යක්ෂමද නැද්ද යන්න නොසලකා මෙම තත්වය තුළ ඔවුන් කුමක් කරනු ඇත්දැයි බොහෝ පා readers කයන්ට කල්පනා කර ඇති තරයේ රසවත් විවාදයක් විය හැකිය. බොහෝ මිනිසුන් ඔවුන්ගේ වැඩ කරන ජීවිතයේ යම් ආකාරයක හෝ ස්වරූපයෙන් මෙවැනි උභතෝකෝටිකයකට මුහුණ දෙනු ඇති අතර මෙය සැබවින්ම තනි පුද්ගලයෙකුගේ උරහිස් මතට ගෙන යා යුතු වගකීම නොවේ. මෙය ගනුදෙනු කරන්නේ කෙසේද යන්න පිළිබඳ පුද්ගල තීරණයකට වඩා එය ව්‍යාපාරික තීරණයක්.

පැහැදිලිවම මෙහි හොඳ තොරතුරු රාශියක් ඇත, නමුත් මගේ සේවායෝජකයා විසින් ලොව පුරා විකුණනු ලබන මෘදුකාංග විශාල ව්‍යාපාරවලට ලියන අයෙකු ලෙස මගේ 2c එකතු කිරීමට මට ඉඩ දෙන්න. මූලික වශයෙන් ගිණුම් කළමනාකරණ ආරක්ෂක ප්‍රතිපත්තිවලට අනුකූලව සහ විගණන සමත් වීමට මිනිසුන්ට සහාය වීම; එය වටින දේ සඳහා.

පළමුව, ඔබ (සහ වෙනත් අය) සටහන් කර ඇති පරිදි මෙය ඉතා සැක සහිත ය. එක්කෝ විගණකවරයා තමාට නොතේරෙන (හැකි) ක්‍රියාපටිපාටියක් අනුගමනය කරමින් සිටී, නැතහොත් ඔබව අනාරක්ෂිත බව සඳහා පරීක්‍ෂා කිරීම නිසා සමාජ ඉංජිනේරු (පසු විපරම් හුවමාරුවෙන් පසු විය නොහැක්කකි), හෝ වංචනික සමාජ ඉංජිනේරු ඔබ (හැකි), හෝ සාමාන්‍ය මෝඩයෙක් (බොහෝ විට) බොහෝ විට වෙන්න පුළුවන්). උපදෙස් පරිදි, මම ඔබේ කළමනාකාරිත්වයට කථා කළ යුතු අතර / හෝ නව විගණන සමාගමක් සොයා ගත යුතු අතර / හෝ මෙය සුදුසු අධීක්ෂණ ආයතනයට වාර්තා කරන්න.

සටහන් සඳහා, කරුණු කිහිපයක්:

• එය හැකි (විශේෂ තත්වයන් යටතේ) ඔහු ඉල්ලා සිටි තොරතුරු සැපයීමට, ඔබේ පද්ධතිය ඒ සඳහා ඉඩ සකසා ඇති නම්. කෙසේ වෙතත්, එය කිසිසේත් ආරක්ෂාව සඳහා “හොඳම පුරුද්දක්” නොවේ, එය කිසිසේත් පොදු නොවේ.
• සාමාන්‍යයෙන්, විගණන වලංගු වන්නේ පරිචයන් වලංගු කිරීම මිස සත්‍ය ආරක්‍ෂිත තොරතුරු පරීක්ෂා කිරීම නොවේ. ඕනෑම අයෙකු “හොඳ” සහ නිසි ලෙස සුරක්‍ෂිත බව සහතික කිරීම සඳහා භාවිතා කරන ක්‍රමවේදයන්ට වඩා සත්‍ය පා-මුරපද හෝ සහතික ඉල්ලන ඕනෑම අයෙකු ගැන මට දැඩි සැකයක් පවතී.

අනෙක් අය උපදෙස් දී ඇති දේ බොහෝ දුරට පුනරුච්චාරණය කළත්, උපකාරවත් වන බලාපොරොත්තුව. ඔබ මෙන්, මම මගේ සමාගම නම් කිරීමට යන්නේ නැත, මගේ කාරණයේදී මම ඔවුන් වෙනුවෙන් කතා නොකරන නිසා (පුද්ගලික ගිණුම / අදහස් සහ සියල්ල); එය විශ්වසනීයත්වයෙන් ract ත් වුවහොත් සමාව ඉල්ලන්න, නමුත් එසේ වන්න. වාසනාව.

මෙය තොරතුරු තාක්ෂණ ආරක්ෂණ - තොග හුවමාරුවට තැපැල් කළ හැකිය .

මම ආරක්ෂක විගණනය පිළිබඳ විශේෂ expert යෙක් නොවෙමි, නමුත් ආරක්ෂක ප්‍රතිපත්තිය ගැන මම මුලින්ම ඉගෙන ගතිමි "NEVER GIVE PASSWORDS AWAY". මෙම පුද්ගලයා සමහර විට මෙම ව්‍යාපාරයේ වසර 10 ක් සිට ඇති නමුත් වොම්බල් පැවසූ පරිදි"no, you have 5 minutes of experience repeated hundreds of times"

මම කාලයක් තිස්සේ බැංකු තොරතුරු තාක්ෂණ පුද්ගලයින් සමඟ වැඩ කර ඇති අතර, ඔබ පළ කිරීම දුටු විට මම එය ඔවුන්ට පෙන්නුවෙමි ... ඔවුන් බොහෝ සෙයින් සිනාසෙමින් සිටියහ. ඔවුන් මට කිව්වා මිනිහා වංචාවක් වගේ කියලා. බැංකු ගනුදෙනුකරුගේ ආරක්ෂාව සඳහා ඔවුන් මේ ආකාරයේ දේ සමඟ කටයුතු කළහ.

පැහැදිලි මුරපදයක් ඉල්ලා සිටීම, SSH යතුරු, මුරපද ල logs ු-සටහන් පැහැදිලිවම බරපතල වෘත්තීය විෂමාචාරයකි. මේ මිනිහා භයානකයි.

මම හිතන්නේ දැන් සියල්ල හොඳින් සිදුවී ඇති අතර, ඔවුන් සමඟ ඔබ කළ පෙර ගනුදෙනුවේ ලොග් තබා ගැනීමට ඔවුන්ට හැකි වීම ගැන ඔබට කිසිදු ගැටළුවක් නොමැත.

ලකුණු 1,2,4, සහ 5 හි ඉල්ලා ඇති තොරතුරු (පොදු යතුරු හැර) ඔබට ලබා දිය හැකි නම් විගණනය අසමත් වනු ඇතැයි අපේක්ෂා කළ යුතුය.

ලකුණු 1,2 සහ 5 වෙත විධිමත් ලෙස ප්‍රතිචාර දක්වන්න, ඔබේ ආරක්ෂක ප්‍රතිපත්තියට අනුව ඔබට සරල පෙළ මුරපද තබා නොගත යුතු බවත්, ආපසු හැරවිය නොහැකි ඇල්ගොරිතමයක් භාවිතා කර මුරපද සංකේතනය කර ඇති බවත් කියැවේ. 4 වන කරුණ වෙත, නැවතත්, ඔබගේ ආරක්ෂක ප්‍රතිපත්තිය උල්ලං would නය වන බැවින් ඔබට පුද්ගලික යතුරු සැපයිය නොහැක.

3 වන පරිදි. ඔබ සතුව දත්ත තිබේ නම් එය සපයන්න. ඔබ එය එකතු කර ගත යුතු නැති නිසා එසේ නොවේ නම් එසේ පවසමින් ඔබ දැන් (අවශ්‍යතා සඳහා) නව අවශ්‍යතාවයන් සපුරාලන ආකාරය නිරූපණය කරන්න.

අපගේ සේවාදායකයන් සඳහා ආරක්ෂක විගණකවරයෙක් සති දෙකක් තුළ පහත සඳහන් දේ ඉල්ලා ඇත :

...

ආරක්ෂක විගණනය අප අසමත් වුවහොත් අපගේ කාඩ්පත් සැකසුම් වේදිකාවට (අපගේ පද්ධතියේ තීරණාත්මක කොටසක්) ප්‍රවේශ වීම නැති වන අතර වෙනත් තැනකට යාමට හොඳ සති දෙකක් ගත වේ . මම කොච්චර ඉස්කුරුප්පුද?

එය ඔබේම ප්‍රශ්නයට පිළිතුරු දී ඇති බවක් පෙනේ. (ඉඟි සඳහා තද අකුරු බලන්න.)

මතකයට එන්නේ එක් විසඳුමක් පමණි: සෑම කෙනෙකුටම ඔවුන්ගේ අවසාන සහ වර්තමාන මුරපදය ලිවීමට සලස්වා වහාම එය නව එකක් බවට වෙනස් කරන්න. ඔහුට මුරපදයේ ගුණාත්මකභාවය පරීක්ෂා කිරීමට අවශ්‍ය නම් (සහ මුරපදයේ සිට මුරපදයට මාරුවීමේ ගුණාත්මකභාවය, උදා: කිසිවෙකු rfvujn125 භාවිතා නොකරන බවට වග බලා ගැනීම සහ rfvujn126 ඔවුන්ගේ ඊළඟ මුරපදය ලෙස භාවිතා කිරීම) පැරණි මුරපද ලැයිස්තුව ප්‍රමාණවත් විය යුතුය.

එය පිළිගත හැකි යැයි නොසැලකේ නම්, මම සැක කරන්නේ ඔහු නිර්නාමික / ලුල්ස්සෙක්හි සාමාජිකයෙකු බවයි ... එම අවස්ථාවේදී ඔබ ඔහුගේ හසුරුව කුමක්දැයි ඔහුගෙන් විමසා එවැනි ස්ක්‍රබ් එකක් වීම නතර කරන ලෙස ඔහුට කියන්න!

ඔලි පැවසූ පරිදි: ප්‍රශ්නය ඇති පුද්ගලයා ඔබව නීතිය කඩ කිරීමට උත්සාහ කරයි (දත්ත ආරක්ෂණ / යුරෝපා සංගම් රහස්‍යතා නියෝග) / අභ්‍යන්තර රෙගුලාසි / පීසීඅයි ප්‍රමිතීන්. ඔබ කළමනාකාරිත්වයට දැනුම් දිය යුතු පමණක් නොව (ඔබ දැනටමත් මා සිතූ පරිදි), නමුත් ඔබට යෝජනා කළ පරිදි පොලිසියට ඇමතිය හැකිය.

සැක සහිත පුද්ගලයා යම් ආකාරයක ප්‍රතීතනයක් / සහතිකයක් දරන්නේ නම්, උදා: සීඅයිඑස්ඒ (සහතික කළ තොරතුරු පද්ධති විගණක) හෝ එක්සත් රාජධානියේ එක්සත් ජනපද විකල්ප ප්‍රතිපත්ති කේන්ද්‍රය (පොදු ගණකාධිකාරී තනතුර) ට සමාන එක්සත් රාජධානියේ සමාන නම්, මේ පිළිබඳව ඔහුගෙන් විමර්ශනය කරන ලෙස ප්‍රතීතන සංවිධානවලට දන්වා සිටිය හැකිය. එම පුද්ගලයා ඔබව නීතිය උල්ලං to නය කිරීමට උත්සාහ කරනවා පමණක් නොව, එය අතිශයින්ම අකාර්යක්ෂම “විගණනය” ද වන අතර ප්‍රතීතනය නැති විගණකවරුන් ප්‍රතීතනය අහිමි වීමේ වේදනාව මත රැඳී සිටිය යුතු සෑම ආචාර ධර්ම විගණන ප්‍රමිතියකට පටහැනි විය හැකිය.

මීට අමතරව, සැක සහිත පුද්ගලයා විශාල සමාගමක සාමාජිකයෙකු නම්, පුරෝකථනය කරන ලද විගණන සංවිධානවලට බොහෝ විට යම් ආකාරයක QA දෙපාර්තමේන්තුවක් අවශ්‍ය වන අතර එය විගණනයේ ගුණාත්මකභාවය සහ විගණන ගොනු කිරීම සහ පැමිණිලි විමර්ශනය කරයි. එබැවින් ඔබට විගණන සමාගමට පැමිණිලි කිරීමටද හැකිය.

මම තවමත් අධ්‍යයනය කරමින් සිටින අතර, සේවාදායකයන් සැකසීමේදී මම ඉගෙන ගත් පළමු දෙය නම්, ඔබට සාමාන්‍ය පෙළ මුරපද ලොග් කිරීමට හැකි නම්, යෝධ උල්ලං for නය කිරීමක් සඳහා ඔබ දැනටමත් අනතුරට පත්වීමයි. මුරපදය භාවිතා කරන පරිශීලකයා හැර වෙනත් කිසිදු මුරපදයක් නොදැන සිටිය යුතුය.

මේ පුද්ගලයා බරපතල විගණකවරයෙක් නම් ඔහු ඔබෙන් මේ දේවල් අහන්නේ නැහැ. මට නම් ඔහු හරියට වැරදිකරුවෙක් වගේ . මම නියාමනය කරන ඉන්ද්‍රිය සමඟ පරීක්ෂා කරන්නම් මොකද මේ මිනිහා සම්පූර්ණ මෝඩයෙක් වගේ.

යාවත්කාලීන කරන්න

මුරපදය සම්ප්‍රේෂණය කිරීම සඳහා ඔබ සමමිතික සංකේතනයක් භාවිතා කළ යුතු යැයි ඔහු විශ්වාස කරයි, නමුත් ඒවා ඔබේ දත්ත ගබඩාවේ සාමාන්‍ය පෙළ ගබඩා කරන්න, නැතහොත් ඒවා විකේතනය කිරීමට ක්‍රමයක් සපයන්න. එබැවින් මූලික වශයෙන්, දත්ත සමුදායන් වෙත සියලු නිර්නාමික ප්‍රහාරයන්ගෙන් පසුව, ඔවුන් සරල පෙළ පරිශීලක මුරපද පෙන්වූ පසු, ඔහු විශ්වාස කරන්නේ මෙය පරිසරයක් “සුරක්ෂිත” කිරීමේ හොඳ ක්‍රමයක් බවයි.

ඔහු 1960 ගණන්වල සිරවී සිටි ඩයිනෝසෝරයෙකි ...

• සියලුම සේවාදායකවල ඇති සියලුම පරිශීලක ගිණුම් සඳහා වත්මන් පරිශීලක නාම සහ සරල පෙළ මුරපද ලැයිස්තුවක්
  • වත්මන් පරිශීලක නාම "අපට මෙය මුදා හැරිය හැකිය" යන විෂය පථයට අයත් විය හැකි අතර "අපට මෙය ඔබට පෙන්විය හැකිය, නමුත් ඔබ එය වෙබ් අඩවියෙන් ඉවත් නොකරනු ඇත".
  • සරල-පෙළ මුරපද එක්-මාර්ග හැෂ් කිරීමට වඩා වැඩි කාලයක් නොපවතින අතර ඒවා නිසැකවම කිසි විටෙකත් මතකය අත් නොහැරිය යුතුය (වයර් හරහා යාමට පවා නොවේ), එබැවින් ඒවායේ ස්ථිර ගබඩාවේ පැවැත්ම නැත.
• පසුගිය මාස හය තුළ සිදු වූ සියලුම මුරපද වෙනස්වීම් ලැයිස්තුවක්, නැවත සරල පා in යෙන්
  • "ස්ථිර ගබඩාව නැත-නැත" බලන්න.
• පසුගිය මාස හය තුළ "දුරස්ථ උපාංග වලින් සේවාදායකයට එක් කරන සෑම ගොනුවක්ම" ලැයිස්තුවක්
  • මෙය ඔබ ගෙවීම්-සැකසුම් සේවාදායක (ය) වෙත ගොනු මාරු කිරීම සහතික කිරීම සඳහා විය හැකිය, ඔබට ල logs ු-සටහන් තිබේ නම් එය සම්මත කිරීම සුදුසු විය යුතුය. ඔබට ල logs ු-සටහන් නොමැති නම්, එම තොරතුරු ලොග් වීම සම්බන්ධයෙන් අදාළ ආරක්ෂක ප්‍රතිපත්ති පවසන්නේ කුමක්දැයි පරීක්ෂා කරන්න.
• ඕනෑම SSH යතුරු වල පොදු සහ පෞද්ගලික යතුරු
  • සමහර විට 'SSH යතුරු වල මුර-වාක්‍ය ඛණ්ඩයක් තිබිය යුතුද' යන්න පරීක්ෂා කිරීමේ උත්සාහයක් ප්‍රතිපත්තියේ ඇති අතර එය අනුගමනය කරනු ඇත. සියලුම පුද්ගලික යතුරු වල පාස්-වාක්‍ය ඛණ්ඩ ඔබට අවශ්‍යය.
• සාමාන්‍ය පෙළ මුරපදය අඩංගු පරිශීලකයෙකු ඔවුන්ගේ මුරපදය වෙනස් කරන සෑම අවස්ථාවකම ඔහුට විද්‍යුත් තැපෑලක් යවනු ලැබේ
  • මෙය නියත වශයෙන්ම නැත.

අවශ්‍ය පරිදි PCI- අනුකූලතාව, SOX_ අනුකූලතාව සහ අභ්‍යන්තර ආරක්ෂක ප්‍රතිපත්ති ලේඛනවල සහාය ඇතිව මගේ පිළිතුරු වලට අනුකූලව මම ප්‍රතිචාර දක්වන්නෙමි.

මේ අය උස් ස්වර්ගයට නැවත ඉල්ලීම් කරන අතර, මෙතැන් සිට ඕනෑම ලිපි හුවමාරුවක් සීටීඕ හරහා යා යුතු බවට මම එකඟ වෙමි. එක්කෝ ඔහු උත්සාහ කරන්නේ එම ඉල්ලීම ඉටු කිරීමට නොහැකි වීම, රහස්‍ය තොරතුරු මුදා හැරීම සඳහා හෝ ඔබ අකාර්යක්ෂම වීම නිසාය. ඔබේ CTO / කළමනාකරු මෙම පුද්ගලයින්ගේ ඉල්ලීම දෙවරක් ගනු ඇති අතර ධනාත්මක ක්‍රියාමාර්ගයක් ගනු ඇත, ඔවුන් මෙම පුද්ගලයාගේ ක්‍රියාවන් පිටුපස සිටින්නේ නම් .... හොඳයි, හොඳ sys පරිපාලකයින් සෑම විටම වෙළඳ දැන්වීම් සඳහා ඉල්ලුමක් ඇත. එය සිදුවුවහොත් යම් ස්ථානයක් සෙවීම ආරම්භ කිරීමට කාලය පැමිණ ඇති බවක් පෙනේ.

මුරපද සඳහා කඩා වැටෙන යටිතල පහසුකම් ගොඩනැගීමට කාලය, උත්සාහය සහ මුදල් අවශ්‍ය බව මම ඔහුට කියමි, නමුත් ඔබ SHA256 වැනි ශක්තිමත් හැෂිං භාවිතා කරන නිසා හෝ වෙනත් දෙයක් නිසා සති 2 ක් තුළ මුරපද ලබා දීමට නොහැකි වනු ඇත. ඊට ඉහළින්, මෙම දත්ත ඕනෑම අයෙකු සමඟ බෙදා ගැනීම නීත්‍යානුකූල දැයි තහවුරු කර ගැනීම සඳහා මම නීති දෙපාර්තමේන්තුවට සම්බන්ධ වූ බව කියමි. PCI DSS ද ඔබ සඳහන් කළ පරිදි සඳහන් කිරීම හොඳ අදහසකි. :)

මෙම ලිපිය කියවීමෙන් මගේ සගයන් කම්පනයට පත් වේ.

හනිපොට් ගිණුම් සඳහා පරිශීලක නාමය / මුරපද / පුද්ගලික යතුරු ලැයිස්තුවක් ඔහුට ලබා දීමට මම දැඩි ලෙස පෙළඹෙනු ඇත. එවිට ඔහු මෙම ගිණුම් සඳහා වන පිවිසුම් කවදා හෝ පරීක්ෂා කළහොත් පරිගණක පද්ධතියකට අනවසරයෙන් පිවිසීම සඳහා ඔහු කරන්න. අවාසනාවකට මෙන්, මෙය වංචනික නියෝජනයක් කිරීම සඳහා අවම වශයෙන් යම් ආකාරයක සිවිල් වධහිංසාවකට ඔබව නිරාවරණය කරයි.

මුරපද වලට ඔබට ප්‍රවේශයක් නොමැති බැවින් ඔබට ඒවා යැවිය නොහැකි බව පවසමින් තොරතුරු හෙළි කිරීම ප්‍රතික්ෂේප කරන්න. මා විගණන නිලධාරියෙකු වීම නිසා ඔහු යම් ආයතනයක් නියෝජනය කළ යුතුය. එවැනි ආයතන සාමාන්‍යයෙන් එවැනි විගණනයක් සඳහා මාර්ගෝපදේශ ප්‍රකාශයට පත් කරයි. එවැනි ඉල්ලීමක් එම මාර්ගෝපදේශයන්ට අනුකූලදැයි බලන්න. ඔබට එවැනි සංගම්වලට පැමිණිලි කළ හැකිය. විගණකාධිපතිවරයාට පැහැදිලි කරන්න, කිසියම් වැරැද්දක් සිදුවුවහොත්, ඔහු සතුව සියලු මුරපද ඇති බැවින්, ඔහු වෙත (විගණක) දොස් පැවරිය හැකිය.

ඉල්ලා සිටින කිසිදු තොරතුරක් ඔහුට ලබා දීමට ඔබට ක්‍රමයක් නොමැති බව මම කියමි.

• ඔබගේ පද්ධතියට ප්‍රවේශය ඇති ගිණුම් පිළිබඳ ආරක්‍ෂිත අවදානමක් පරිශීලක නාම ඔහුට ලබා දෙයි
• මුරපද ඉතිහාසය මඟින් මුරපද රටා පිළිබඳ අවබෝධයක් ලබා දෙනු ඇත, දාමයේ ඊළඟ මුරපදය අනුමාන කිරීමෙන් ඔහුට ප්‍රහාරයක් එල්ල කළ හැකිය.
• පද්ධතියට මාරු කරන ලද ලිපිගොනු වල ඔබේ පද්ධතියට එරෙහි ප්‍රහාරයකදී භාවිතා කළ හැකි රහස්‍ය තොරතුරු මෙන්ම ඔබේ ගොනු පද්ධති ව්‍යුහය පිළිබඳ අවබෝධයක් ලබා දිය හැකිය.
• පොදු සහ පෞද්ගලික යතුරු, ඔබ ඒවා අපේක්ෂිත පරිශීලකයා හැර වෙනත් කෙනෙකුට ලබා දෙන්නේ නම් ඒවා තිබීමෙන් ඇති ප්‍රයෝජනය කුමක්ද?
• පරිශීලකයෙකු මුරපදයක් වෙනස් කරන සෑම අවස්ථාවකම යවන ඊමේල් පණිවිඩයක් මඟින් සෑම පරිශීලක ගිණුමක් සඳහාම යාවත්කාලීන මුරපද ලබා දෙනු ඇත.

මේ මිනිහා ඔයාගේ ප්ලෝන්කර් සහකරුවා අදිනවා! ඔහුගේ කෝපාවිෂ්ට ඉල්ලීම් සනාථ කිරීම සඳහා ඔබ ඔහුගේ කළමනාකරු හෝ සමාගමේ වෙනත් විගණකවරයකු සමඟ සම්බන්ධ විය යුතුය. ASAP වෙතින් ඉවත් වන්න.

මේ වන විට ගැටලුව විසඳී ඇත, නමුත් අනාගත පා readers කයන්ගේ ප්‍රයෝජනය සඳහා ...

එය සැලකිල්ලට ගනිමින්:

• ඔබ මේ සඳහා පැයකට වැඩි කාලයක් ගත කළ බව පෙනේ.

• ඔබට සමාගමේ නීති උපදෙස් ලබා ගැනීමට සිදු විය.

• ඔවුන් ඔබේ ගිවිසුම වෙනස් කිරීමෙන් පසු බොහෝ වැඩ ඉල්ලා සිටී.

• ඔබ මුදල් ඉවර වන අතර වැඩි කාලයක් මාරු වේ.

ඔබට ඉදිරියෙන් විශාල මුදලක් අවශ්‍ය බවත් අවම වශයෙන් පැය හතරක කාලයක් ඇති බවත් ඔබ පැහැදිලි කළ යුතුය.

පසුගිය කිහිප වතාවේ මම කෙනෙකුට කිව්වා හදිසියේම එතරම් අගහිඟකම් නැති බව.

මාරුවීමේදී සිදුවන අලාභය සහ ඔවුන් ඔබේ ගිවිසුම වෙනස් කළ බැවින් ගතවන කාලය සඳහා ඔබට තවමත් බිල් කළ හැකිය. ඔවුන් සති දෙකක් ඇතුළත ගෙවනු ඇතැයි මම නොකියමි, ඔවුන් සිතුවේ ඔබ එම කාලය තුළ අනුකූල වනු ඇතැයි කියාය - ඔවුන් ඒක පාර්ශවීය වනු ඇත, මට සැකයක් නැත.

ඔබේ නීති lawyer කාර්යාලය එකතු කිරීමේ දැන්වීම එවන්නේ නම් එය ඔවුන්ව කැළඹීමට පත් කරයි. එය විගණන සමාගමේ හිමිකරුගේ අවධානය ආකර්ෂණය කර ගත යුතුය.

ඔවුන් සමඟ තවදුරටත් ගනුදෙනු කිරීමට එරෙහිව මම උපදෙස් දෙමි, මේ පිළිබඳව වැඩිදුර සාකච්ඡා කිරීම සඳහා අවශ්‍ය වැඩ සඳහා තැන්පතුවක් ලැබෙනු ඇත. එවිට ඒවා ඉවත් කිරීම සඳහා ඔබට ගෙවිය හැකිය.

ඔබ ගිවිසුමක් ඇති කර ගැනීම අමුතු දෙයක් වන අතර අනෙක් කෙළවරේ යමෙකු රේල් පීලි වලින් ඉවතට යනු ඇත - එය ආරක්ෂාව හෝ බුද්ධිය පිළිබඳ පරීක්ෂණයක් නොවේ නම් එය නිසැකවම ඔබේ ඉවසීමේ පරීක්ෂණයකි.