यूजर्स पासवर्ड आखिर क्यों स्टोर करते हैं?

मैं कभी-कभी ऐसे प्रश्न देखता हूं जो पूछ रहा है कि वेब एप्लिकेशन के लिए उपयोगकर्ता पासवर्ड कैसे सुरक्षित रखें (RDBMS का उपयोग करके, मैं फेसबुक या ट्विटर की बात नहीं कर रहा हूं)। सामान्य उत्तर "नमक को पासवर्ड है, फिर इसे एक मजबूत एल्गोरिथम जैसे कि TDES या SHA512" के साथ हैश करें।

मेरा प्रश्न है: एक RDBMS उपयोगकर्ता के रूप में, मुझे पासवर्ड को समस्याग्रस्त करने के लिए बिल्कुल परेशान क्यों होना चाहिए क्योंकि अधिकांश इंजन में अंतर्निहित प्रमाणीकरण तंत्र होता है।

उदाहरण के लिए, यदि कुछ उपयोगकर्ता X मेरे वेब एप्लिकेशन पर खाता उपयोगकर्ता पासवर्ड Y बनाना चाहते हैं, तो निम्न क्वेरी को गलत कैसे जारी कर रहा है:

CREATE USER X WITH ENCRYPTED PASSWORD Y IN GROUP baseuser;

फिर मेरे आवेदन के भीतर, उपयोगकर्ता अपने क्रेडेंशियल्स का उपयोग करके डेटाबेस के लिए एक कनेक्शन खोल सकता है और मुझे पासवर्ड प्रबंधन में बिल्कुल भी परेशान नहीं होना पड़ेगा।

मुझे इस विधि के कई फायदे दिखाई देते हैं:

• अगर RDBMS यह निर्णय लेता है कि एन्क्रिप्शन एल्गोरिथ्म को बदलने की आवश्यकता है, तो मुझे सुरक्षा अद्यतन लागू करने के लिए कुछ भी छूने की आवश्यकता नहीं है;
• उपयोगकर्ता प्राधिकरणों को प्रबंधित करना मेरे लिए आसान है। यदि किसी उपयोगकर्ता को व्यवस्थापक की भूमिका में पदोन्नत किया जाता है, तो मुझे उपयोगकर्ता को संबंधित समूह में जोड़ना होगा;
• SQL इंजेक्शन अब व्यर्थ हैं, क्योंकि मैं डेटाबेस में प्रत्येक उपयोगकर्ता को अनुमति देने के लिए अनुमति देने का प्रबंधन करता हूं (उदाहरण के लिए, SO जैसे फ़ोरम में, नए पोस्ट जोड़ना, पोस्ट का उत्तर देना, टिप्पणी करना और संपादन करना / अपने प्रश्न हटाना / उत्तर / टिप्पणियों);
• एक उपयोगकर्ता खाता "अनाम" का उपयोग मेरे आवेदन के लिए अनधिकृत कनेक्शन के लिए किया जा सकता है;
• प्रत्येक उपयोगकर्ता उसके द्वारा प्रदत्त डेटा का स्वामी होता है।

लेकिन वस्तुतः इस विषय पर मेरे द्वारा देखे गए प्रत्येक प्रश्न पर, एक आम सहमति प्रतीत होती है कि यह उस तरह से नहीं है जैसे चीजों को करना है। मेरा सवाल है: क्यों?

नोट: तीसरा बिंदु द्वारा अनुमति दी है नीतियों PostgreSQL में, और सुरक्षा नीतियों Microsoft SQL सर्वर में। मुझे एहसास है कि ये अवधारणाएं नए लोग हैं, लेकिन वैसे भी, अब जब वे यहां हैं, तो मैं जिस तकनीक का वर्णन करता हूं, वह खातों को संभालने का मानक तरीका क्यों नहीं है?

क्योंकि कई अनुप्रयोगों के लिए, वे अलग-अलग उपयोगकर्ता खातों को डेटाबेस से कनेक्ट नहीं करना चाहते हैं। उपयोगकर्ताओं / पासवर्ड / अधिकारों / अनुमतियों को सभी आवेदन परत पर संभाला जाता है, और एक एकल समर्पित सेवा खाते का उपयोग डेटाबेस बैक-एंड से कनेक्ट करने के लिए किया जाता है।

एक डीबीए के रूप में, मुझे डेटाबेस स्तर पर, कुछ मध्यम आकार के सार्वजनिक-सामना करने वाले वेब एप्लिकेशन के 10,000 सक्रिय उपयोगकर्ताओं, या शायद कुछ अचानक लोकप्रिय ऐप के 2+ मिलियन उपयोगकर्ताओं को प्रबंधित करने की आवश्यकता नहीं है।

एक बहुत ही वास्तविक अर्थ में, यह एप्लिकेशन डेवलपर्स और डेटाबेस डेवलपर्स / डीबीए के बीच दर्शन में अंतर है।

कई / अधिकांश एप्लिकेशन डेवलपर्स डेटाबेस की परत के नीचे ऐप कार्यक्षमता और / या व्यावसायिक नियमों के प्रमुख पहलुओं के लिए जिम्मेदारी पारित नहीं करना चाहते हैं। इसके बजाय, वे डेटाबेस को केवल डेटा को स्टोर और पुनः प्राप्त करने के लिए एक उपकरण के रूप में देखते हैं।

कुछ मामलों में, यह अदूरदर्शी हो सकता है; कई RDBMSes में कमाल की विशेषताएं हैं जो ऐप देव को बहुत आसान बना सकती हैं (पंक्ति-स्तरीय सुरक्षा, स्तंभ अनुक्रमणिका, फ़ाइलस्ट्रीम संग्रहण, आदि)।

लेकिन इनमें से कुछ कूलर सुविधाएँ केवल नए संस्करणों में उपलब्ध हैं, और संगठन हमेशा मौजूदा वातावरण को अपग्रेड करने के लिए त्वरित नहीं हैं ( 2014 से इस चार्ट को देखें )।

और अन्य मामलों में, एप्लिकेशन लेयर पर उन चीजों को संभालना पसंद किया जाता है (और न केवल डेटाबेस प्लेटफ़ॉर्म पोर्टेबिलिटी के लिए, मुझे स्पष्ट रूप से लगता है कि दावा ओवरब्लोज़ है)।

उस बिंदु पर विभाजन रेखा थोड़ी सी फूली जा रही है, लेकिन मैं उपयोगकर्ताओं और डेटाबेस स्तर पर उपयोगकर्ताओं और अनुमतियों पर विचार करूंगा कि स्कीमा का हिस्सा डेटा का हिस्सा न हो, और सामान्य अनुप्रयोगों में स्कीमा को संशोधित करने का कोई स्थान नहीं है (वहाँ हैं,) हमेशा की तरह, इस नियम के अपवाद)।

मैं आवेदन (नों) को अनुमति नहीं दूंगा कि उन्हें स्कीमा ऑब्जेक्ट्स (लॉगिन, उपयोगकर्ता और अनुमतियां) प्रबंधित करने की आवश्यकता है क्योंकि नए उपयोगकर्ताओं की आवश्यकता है और पुराने लोग छोड़ देते हैं, क्योंकि यदि वह एप्लिकेशन हमलावर को हैक कर लेता है तो उन अनुमतियों तक पहुंच होती है इससे डेटाबेस को खोलना आसान हो जाता है। MS SQL सर्वर में जब तक आप पूर्ण रूप से समाहित डेटाबेस का उपयोग नहीं कर रहे हैं, लॉगइन सर्वर स्तर की वस्तुएं हैं, इसलिए आपको एकल एप्लिकेशन डेटाबेस से परे अधिकारों को सौंपने की आवश्यकता है ताकि यह और भी अधिक जोखिम भरा हो।

इसके अलावा, भले ही आपके डेटाबेस स्तर पर प्रति-एप्लिकेशन-उपयोगकर्ता खाते हों, फिर भी आपको गैर-प्रमाणित अनुरोधों से निपटने के लिए एप्लिकेशन स्तर उपयोगकर्ता खातों की आवश्यकता है - अर्थात यदि एप्लिकेशन को डेटाबेस से जानकारी की आवश्यकता है, तो इससे पहले कि आवेदन उपयोगकर्ता सफलतापूर्वक प्रमाणित हो (शायद स्वागत / लॉगिन स्क्रीन पर स्थिति की जानकारी प्रदर्शित करें?)।

यदि डेटाबेस इंजनों के बीच पोर्टेबिलिटी एक लक्ष्य है (शायद आपका ऐप mysql और पोस्टग्रेज दोनों पर चलने में सक्षम होना चाहता है?) तो आपके अनुप्रयोगों को प्रत्येक इंजन के लिए उपयोगकर्ता / लॉगिन प्रबंधन कार्यों को सार करने की आवश्यकता होगी क्योंकि वे उन दोनों के बीच मानक नहीं हैं। - यदि आप उस प्रयास में जा रहे हैं, तो आप पासवर्ड को स्वयं लागू कर सकते हैं और उन प्रबंधन विकल्पों को प्राप्त कर सकते हैं जो आप सबसे सामान्य सामान्य सुविधा-इंजन ऑफ़र को स्वीकार करने के बजाय चाहते हैं।

प्रश्न को बहाल करना

यूजर्स पासवर्ड आखिर क्यों स्टोर करते हैं?

सबसे सरल उत्तर यह है कि आपको ऐसा करना होगा। आप अभी भी पासवर्ड को अपनी वैकल्पिक विधि में संग्रहीत करते हैं। यह सिर्फ इतना है कि आप भंडारण को प्रबंधित करने के लिए डेटाबेस की अंतर्निहित प्रणाली का उपयोग करते हैं। तो आपका तरीका केवल आपके डेटाबेस के रूप में अच्छा है। जो अभी तक आप अन्यथा कर सकते हैं, उससे बेहतर हो सकता है, लेकिन यह भंडारण से परहेज नहीं है। यह वास्तव में सिर्फ कोडिंग स्टोरेज से बचना है।

यह भी बेहतर नहीं हो सकता है। यदि मैं किसी डेटाबेस से समझौता करता हूं और फ़ाइलों की प्रतियां प्राप्त करता हूं, तो मैं सीधे तालिकाओं तक पहुंच सकता हूं। तो एक शानदार पासवर्ड प्रबंधन प्रणाली का उपयोग करने का कोई मतलब नहीं है। क्योंकि अगर कोई पासवर्ड या हैशेड पासवर्ड वाले सिस्टम लेवल टेबल को एक्सेस कर सकता है, तो वे सीधे फाइल भी एक्सेस कर सकते हैं। जब आपके पास पहले से ही डेटा है तो पासवर्ड क्रैक करने से परेशान क्यों? यह ऐसा नहीं है कि आप डेटा को आसानी से एन्क्रिप्ट कर सकते हैं। प्रत्येक उपयोगकर्ता को इसे एक्सेस करने में सक्षम होना चाहिए। तो उपयोगकर्ता-स्तर एन्क्रिप्शन इतनी अच्छी तरह से काम नहीं करेगा।

लेकिन जो आप वास्तव में पूछ रहे हैं वह है

जब डेटाबेस पहले से ही है तो एप्लिकेशन स्तर प्रमाणीकरण योजना का उपयोग क्यों करें?

सुरक्षा

इस संभावना को अनदेखा करते हुए कि आप अधिक सुरक्षित संस्करण लिख सकते हैं, दूसरों ने कई कारण सुझाए हैं। मैं आमतौर पर सहमत हूँ। लेकिन एक और है जिसका अभी तक किसी ने उल्लेख नहीं किया है। आप अपने डेटाबेस की सुरक्षा से समझौता कर रहे हैं।

इस प्रणाली में, आपके एप्लिकेशन के प्रत्येक उपयोगकर्ता के पास एक डेटाबेस उपयोगकर्ता और पासवर्ड होता है। बेशक, यह एक सीमित उपयोगकर्ता है, लेकिन यह अभी भी एक उपयोगकर्ता है जो डेटाबेस से जुड़ सकता है। यदि आप पंक्ति स्तर सुरक्षा का उपयोग करते हैं, तब भी आप अंतिम उपयोगकर्ताओं को डेटाबेस कनेक्शन जानकारी जानने की अनुमति दे रहे हैं। यदि कभी कोई ऐसा शोषण होता है जहाँ उपयोगकर्ता तालिका स्तर तक पहुँच प्राप्त कर सकता है, तो आपने अपने डेटाबेस को हमला करने के लिए खोल दिया है। और कुछ कारनामे प्रशासक की पहुंच से परे हो गए हैं।

सुरक्षा प्याज की परतों में, सामान्य प्रणाली है:

• डेटाबेस, जो केवल कुछ मशीनों से कनेक्शन की अनुमति देता है।
• डेटाबेस, केवल कुछ उपयोगकर्ता / पासवर्ड संयोजन के रूप में कनेक्शन की अनुमति देता है।
• डेटाबेस अनुमतियों के साथ सर्वर जो अनुप्रयोगों से कनेक्शन की अनुमति देते हैं।
• एप्लिकेशन सर्वर पर चलाए जाते हैं।
• अनुप्रयोगों में सीमित विशेषाधिकारों के साथ डेटाबेस कनेक्शन की जानकारी है।
• अनुप्रयोग उपयोगकर्ताओं को डेटाबेस को संशोधित करने की अनुमति देने से पहले प्रमाणित करते हैं (संभवतः नए खाते बनाने के लिए छोड़कर)।

इस प्रणाली में:

• अंतिम उपयोगकर्ताओं को उपयोगकर्ता / पासवर्ड संयोजन पता है जो डेटाबेस पर काम करेगा, यह बहुत कम विशेषाधिकारों के साथ है।
• केवल एक सर्वर को शामिल करने या अधिकृत सर्वर होने का ढोंग करने की आवश्यकता है।

हमने सुरक्षा के संपूर्ण अनुप्रयोग स्तर को खो दिया है। और हमने स्वेच्छा से डेटाबेस लेयर का हिस्सा छोड़ दिया है। इसलिए हमें केवल दो कारनामे चाहिए:

1. एक अधिकृत सर्वर को स्पूफ या समझौता करना।
2. सीमित विशेषाधिकार खाते की पहुंच बढ़ाएं।

यदि हम उन दो कामों को कर सकते हैं, तो हमारे पास डेटाबेस तक पहुंच है। तो हम तीन परतों से दो तक नीचे जाते हैं। (सामान्य प्रणाली में तीसरी परत यह है कि आपको डेटाबेस से जुड़ने के लिए एक वैध उपयोगकर्ता की आवश्यकता है।)

आप इन खातों का बहुत प्रबंधन करने जा रहे हैं। अगर आप गलती करते हैं तो क्या होगा? उपयोगकर्ता एक्स को केवल कुछ पंक्तियों तक सीमित करने के बजाय, आप उन्हें एक महत्वपूर्ण तालिका तक सभी पहुंच प्रदान करते हैं। इस तरह का सामान सामान्य रूप से मैन्युअल रूप से किया जाता है और उनमें से कुछ ही होते हैं, इसलिए उन्हें ऑडिट करना आसान होता है। लेकिन आपके सिस्टम में, आप हजारों या लाखों या अरबों उपयोगकर्ता खाते बना सकते हैं, जिनमें से प्रत्येक अपनी स्वयं की idiosyncratic पहुंच के साथ होता है।

उस मामले के लिए, डेटाबेस का सिस्टम लाखों या अरबों उपयोगकर्ताओं को स्केल करता है? यदि ऐसा होता है, तो नियमों की संख्या के बारे में क्या? यदि प्रत्येक उपयोगकर्ता एक सौ या अधिक नियम लेता है जो वे कर सकते हैं और उपयोग नहीं कर सकते हैं, तो क्या यह बिलियन उपयोगकर्ताओं तक होता है? आप सामान्य रूप से छोटे पैमाने पर प्रणाली ले रहे हैं और इसे बड़े पैमाने पर बना रहे हैं। यह जरूरी काम नहीं होगा। जैसे-जैसे आप बढ़ते हैं, आपको सिस्टम की सीमाएँ मिल सकती हैं।

आप जो भी वर्णन करते हैं वह प्रमाणीकरण को नियंत्रित करेगा, लेकिन प्राधिकरण नहीं (उपयोगकर्ता किस डेटा तक पहुंच सकता है) या केवल उपयोग के मामले में सबसे सरल में।

Stackexechange के साथ अपने उदाहरण को जारी रखने के लिए: आप हटाए गए पोस्ट को केवल उच्च प्रतिनिधि उपयोगकर्ता को कैसे दिखाई देंगे? इसलिए एक्सेस नियमों के लिए, आपको कोड में तर्क की आवश्यकता होगी। डेटाबेस नियमों, और एप्लिकेशन एक्सेस नियमों के बीच एक्सेस लॉजिक को साझा करने के बजाय, अधिकांश डेवलपर एक ही स्थान पर उन सभी को पसंद करते हैं।

उपयोगकर्ता की जानकारी संग्रहीत करने के लिए आपको एक तालिका की भी आवश्यकता होगी: एक उपयोगकर्ता सिर्फ उपयोगकर्ता नाम + पासवर्ड नहीं है। उसके पास एक ईमेल, एक प्रतिष्ठा और इतने पर है। तो आपको अभी भी उपयोगकर्ता तालिका की आवश्यकता है, जिसे आपको सुनिश्चित करना है कि डेटाबेस उपयोगकर्ता तालिका के साथ सिंक है, बशर्ते आप इसे एक्सेस कर सकते हैं।

अपने समाधान के साथ, आप बस एक पासवर्ड कॉलम को छोड़ सकते हैं, जिसे भरना मुश्किल नहीं है: इसमें पासवर्ड / हैश पासवर्ड को संभालने के तरीके के बारे में अच्छे पुस्तकालय और प्रलेखन हैं।

एक अन्य बिंदु: आप एक कनेक्शन पूल कैसे बनाएंगे? मैं केवल jdbc (java <-> db) जानता हूं, और आपको कनेक्शन पाने के लिए एक उपयोगकर्ता नाम + पासवर्ड की आपूर्ति करने की आवश्यकता है, जिसे आप तब पूल कर सकते हैं।

मैंने कुछ अन्य बिंदुओं के बारे में सोचा जो स्थापित तरीके से लागू करने के लिए कठिन / अधिक जटिल होंगे:

• पासवर्ड पुनर्प्राप्ति से निपटने
• प्रारंभिक कार्यान्वयन के 2 साल बाद, आपका उत्पाद प्रबंधक आपसे ओउथ योजना के लिए समर्थन जोड़ने के लिए कहता है, या डबल फैक्टर ऑर्थर की अनुमति देता है

एक अन्य बिंदु: कई [1] वेब एप्लिकेशन आपको ऐप के माध्यम से ऑन-लाइन एक उपयोगकर्ता खाता पंजीकृत करने और बनाने की अनुमति देते हैं। जिसका अर्थ है कि आपका अनाम उपयोगकर्ता (जिसके पास कम से कम विशेषाधिकार होने चाहिए) को उपयोगकर्ता बनाने और विशेषाधिकार प्रदान करने के अधिकार होने चाहिए!

ठीक है, यह संभव हो सकता है कि वह कौन से विशेषाधिकार दे सकता है, उसे सीमित करना और उच्च-स्तरीय उपयोगकर्ताओं को अधिक अनुदान विकल्प देना (मुझे पता नहीं है कि यह - हालांकि "विशेषाधिकार विशेषाधिकार" अक्सर नहीं है)। लेकिन फिर भी, इसका मतलब है कि हर किसी को हैक करने के लिए अनुदान विशेषाधिकारों के साथ ऑन-लाइन कुछ डालना। मुझे पूरा यकीन है कि अगर मैंने ऐसा किया तो मेरा डीबीए मुझे पसंद नहीं आएगा :)

मुझे पता है कि एक स्तर पर यह समस्या वैसे भी मौजूद है, लेकिन आपके पास रक्षा की परतें हैं, खासकर डेटा को हटाने के लिए, यदि आप वेब ऐप को डीबी उपयोगकर्ताओं का प्रबंधन करने की अनुमति नहीं देते हैं।

इसके अलावा, यह जमा या पुन: उपयोग किए गए DB कनेक्शन के किसी भी उपयोग को रोक देगा।

[१] अधिकांश मैं कहूंगा, लेकिन इसे वापस करने के आंकड़े नहीं