विश्व स्तर पर अद्वितीय पासवर्ड की असावधानी के लिए उद्धरण

20

मैं सिस्टम के लिए उपयोगकर्ता की पहचान / प्रमाणीकरण प्रक्रिया के बारे में किसी (एक ग्राहक) से असहमत हूं। इसकी विशेषता यह है कि वे चाहते हैं कि प्रत्येक उपयोगकर्ता के पास विश्व स्तर पर अद्वितीय पासवर्ड हो (यानी कोई भी दो उपयोगकर्ता एक ही पासवर्ड नहीं रख सकते)। मैंने इसके खिलाफ सभी स्पष्ट तर्क दिए हैं (यह एक सुरक्षा भेद्यता है, यह प्रमाणीकरण के साथ पहचान को भ्रमित करता है, यह व्यर्थ है, आदि) लेकिन वे जोर दे रहे हैं कि इस दृष्टिकोण के साथ कुछ भी गलत नहीं है।

मैंने इस पर आधिकारिक (या अर्ध-आधिकारिक, या यहां तक ​​कि स्वतंत्र) राय की तलाश में विभिन्न Google खोजों को किया है, लेकिन कोई भी नहीं मिल सकता है (मुख्य रूप से यह सिर्फ इतना स्पष्ट अशुद्ध है कि इसके खिलाफ चेतावनी के लायक नहीं लगता है, जैसा कि जहां तक ​​मैं बता सकता हूं)। क्या कोई मुझे इस तरह की स्वतंत्र राय की ओर इशारा कर सकता है, कृपया

[संपादित करें]
आपके सभी उत्तर के लिए धन्यवाद, लेकिन मैं पहले से ही इस प्रस्तावित दृष्टिकोण / आवश्यकता के साथ समस्याओं को समझता हूं, और यहां तक ​​कि उन्हें क्लाइंट को समझा सकता हूं, लेकिन क्लाइंट उन्हें स्वीकार नहीं करेगा, इसलिए स्वतंत्र और / या आधिकारिक स्रोतों के लिए मेरा अनुरोध ।

मुझे डेली डब्ल्यूटीएफ लेख भी मिला, लेकिन यह उस समस्या से ग्रस्त है जो जॉन हॉपकिंस ने इंगित की है - कि यह एक ऐसा स्व-स्पष्ट डब्ल्यूटीएफ है जो यह समझाने के लायक नहीं है कि क्यों

और हाँ, पासवर्ड नमकीन और हैशेड होने जा रहे हैं। जिस मामले में वैश्विक विशिष्टता सुनिश्चित करना मुश्किल हो सकता है, लेकिन यह मेरी समस्या का समाधान नहीं करता है - इसका मतलब यह है कि मेरे पास एक आवश्यकता है कि ग्राहक पर निर्भर नहीं होगा, यह न केवल बीमार है, बल्कि मुश्किल भी है लागू। और अगर मैं यह कहने की स्थिति में था कि "मैं नमकीन और हैशिंग पर हिलता नहीं हूँ", तो मैं यह कहने की स्थिति में रहूँगा कि "मैं विश्व स्तर पर अद्वितीय पासवर्ड लागू नहीं कर रहा हूँ"।

स्वतंत्र और / या आधिकारिक स्रोतों के लिए कोई संकेत क्यों यह एक बुरा विचार है फिर भी आभारी है ...
[/ EDIT]

security  passwords 
gkrogers
स्रोत
2
यह एक अजीब पर्याप्त विचार है जो मुझे लगता है कि आप भाग्यशाली होने जा रहे हैं, इसके बारे में बहुत कुछ लिखा है। मेरे दिमाग में यह स्पष्ट रूप से दोषपूर्ण है कि इसे सुरक्षा विशेषज्ञों द्वारा लिखने के लिए पर्याप्त गंभीर नहीं माना जाएगा।
जॉन हॉपकिंस
3
मैं वास्तव में, वास्तव में आशा करता हूं कि आप प्लेनटेक्स्ट पासवर्ड स्टोर नहीं कर रहे हैं, बल्कि नमकीन और हैशेड। यदि वे नमकीन और हैशेड हैं, तो वैश्विक विशिष्टता सुनिश्चित करना मुश्किल हो जाएगा। यदि नहीं, तो मुझे आपकी सुरक्षा की परवाह नहीं है, क्योंकि मुझे पहले से ही पता है कि यह खराब है।
डेविड थॉर्नले 18
1
सुरक्षा कमजोरियों के बावजूद, क्या आप पासवर्ड को अस्वीकार नहीं कर सकते हैं यदि यह विशिष्ट रूप से हैश में विफल रहता है?
रॉबर्ट हार्वे
पोस्ट संपादित करें, मैं अपना जवाब पुन: दर्ज करता हूं - यह एक "नहीं" हो सकता है "इसकी" नहीं कर सकता है (जिस तरह से पासवर्ड संग्रहीत करने की आवश्यकता है) - इसलिए यह समझाने के बजाय कि इसका कोई ईएनपी क्यों बुरा है ' t दिलचस्पी है कि आपको इस प्रक्रिया को आगे बढ़ाने की ज़रूरत है और समझें कि ग्राहक को क्यों लगता है कि यह पहली जगह में आवश्यक है।
मर्फ़
2
दिलचस्प है कि वे आपको अपने सिस्टम को डिजाइन करने के लिए पर्याप्त भरोसा करते हैं, लेकिन उनके सिस्टम के डिजाइन पर उन्हें सलाह देने के लिए पर्याप्त नहीं है।
गैरी रोवे

जवाबों:

24

जब भी कोई क्लाइंट पहले से मौजूद पासवर्ड बनाने की कोशिश करता है, तो उसे फीडबैक मिलता है कि कुछ उपयोगकर्ता पहले से ही उस पासवर्ड का उपयोग करते हैं, आमतौर पर गोपनीयता समझौते का उल्लंघन होता है।

उसके आगे, उपयोगकर्ता नाम का अनुमान लगाना बहुत आसान है (और यदि कोई मंच है, तो आप वहां केवल उपयोगकर्ता नाम पा सकते हैं) और आप वेबसाइट को हैक करने के लिए उपयोगकर्ता के तरीकों को इंगित कर रहे हैं।

इंटरनेट पर कहीं न कहीं कोई ऐसा पेज होना चाहिए जो गोपनीयता समझौते के उल्लंघन वाले हिस्से का वर्णन करता है, इसके अलावा यह सिर्फ सामान्य ज्ञान है: वे मूल रूप से किसी को एक कुंजी और घर के पते की एक सूची देंगे।

संपादित करें: प्राधिकरण के करीब नहीं, लेकिन शायद आपको समझाने के बाद कि डब्ल्यूटीएफ का मतलब क्या है: http://thedailywtf.com/Articles/Really_Unique_Passwords.aspx

deltreme
स्रोत
+1 इसके अलावा, अधिकांश प्रमाणीकरण योजनाएं आपको जितनी चाहें उतनी उपयोगकर्ता नाम आज़मा सकती हैं, जबकि केवल एक पासवर्ड पर आपको तीन प्रयास करने देती हैं।
माइकल के
1
वह डब्ल्यूटीएफ किसी अन्य चीज़ से अधिक प्राथमिक / विदेशी कुंजी के रूप में पासवर्ड का उपयोग करने के लिए है। वैसे शायद सादे टेक्स्ट पासवर्ड के लिए भी।
मर्फ़
2
+1: आपको कभी भी ऐसा नहीं करना चाहिए कि किसी अन्य उपयोगकर्ता के पास एक ही पासवर्ड हो। बड़े पैमाने पर सुरक्षा दोष के बारे में बात करें ... आप बार-बार अपना पासवर्ड बदलकर ब्रूट फोर्स पासवर्ड हमलों को चला सकते हैं। यह बहुत सारे निगरानी प्रणाली के रडार के नीचे उड़ जाएगा।
शैतानिकपुप्पी
दरअसल, एक लॉगिन क्रेडेंशियल के लिए एक ही क्षेत्र वाले कुछ संदर्भों में उचित होगा, यदि पासवर्ड चुना जाना आवश्यक था ताकि कुछ विशेष भाग [जैसे पहला अक्षर] अद्वितीय हो। यदि किसी के पास 26 या उससे कम उपयोगकर्ता हैं, उदाहरण के लिए, कोई कह सकता है कि प्रत्येक उपयोगकर्ता को एक पासवर्ड चुनना होगा जो एक अलग अक्षर से शुरू होता है। ऐसी प्रणाली 26 विशिष्ट एकल-वर्ण उपयोगकर्ता नामों के बराबर होगी, लेकिन नाम और पासवर्ड के बीच 'टैब' या 'एंटर' को हिट करने की आवश्यकता से बचेंगी।
सुपरकैट
10

आवश्यकता को पूरा करने के तरीके में सर्वोत्तम अभ्यास प्राप्त होता है:

आप ऐसा नहीं कर सकते क्योंकि आपको पता नहीं है कि पासवर्ड क्या हैं इसलिए आप उनकी तुलना नहीं कर सकते हैं क्योंकि आप जो भी स्टोर करते हैं वह पासवर्ड का हैश और एक नमक है (जिसे आप हैशेड पासवर्ड के बगल में स्टोर कर सकते हैं)। यह सबसे अच्छा अभ्यास है, इसलिए आप यही करते हैं। किया हुआ।

एक और संपादन: दोहा! हेंडसाइट आसान है - आप अभी भी विशिष्टता के लिए जांच कर सकते हैं क्योंकि (निश्चित रूप से) आपके पास नमक है ... बस मुझे अभी शूट करें ... बेशक आपको ग्राहक को इस विवरण का उल्लेख नहीं करना है।

Fwiw, इसकी नहीं काफी गूंगा के रूप में आपको लगता है कि यह है के रूप में - उद्देश्य उपयोगकर्ताओं के लिए सहमत होने और एक ही पासवर्ड है, जो लोगों को साझा करने के समूहों को रोकने के लिए है क्या करेंगे विश्वास है कि यह उनके जीवन आसान हो जाएगा में।

यदि पासवर्ड को नियमित रूप से बदलने की आवश्यकता के साथ लागू किया जाता है और एक बाधा जो लोगों को वर्तमान या पहले से उपयोग किए गए पासवर्ड (सभी, हमेशा) और समझदार "शक्ति" आवश्यकताओं (या कम से कम पूर्व-लोड किए गए शब्दकोश "अवरुद्ध" का उपयोग करने से रोकता है। "पासवर्ड) आप एक बिंदु पर जा रहे हैं, काफी तेजी से, जहां ऑड वैसे भी हैकर के पक्ष में नहीं हैं।

ठीक है, मेरा जवाब मूल रूप से शुरू हुआ:

वहाँ प्रोविज़ोस के एक जोड़े को दिए जाने के साथ बहुत कम गलत है - जिनमें से अधिकांश यह है कि मैं मोटा हो रहा हूँ ...

स्पष्ट रूप से अनुचित हास्य - बिंदु यह था कि यदि आपके पास विश्व स्तर पर अद्वितीय बाधा नहीं है तो आप विभिन्न अवसरों का निर्माण कर रहे हैं, शायद कम खतरनाक - मुझे नहीं पता।

Murph
स्रोत
4
+1 कुछ अंतर्दृष्टि की पेशकश करने के लिए क्यों किसी को अद्वितीय पासवर्ड के लिए पूछ सकते हैं
माइकल हरेन
3
लेकिन यह एक सुरक्षा भेद्यता है - यदि आप एक उपयोगकर्ता हैं, तो एक नया पासवर्ड दर्ज करें और आपको बताया गया है कि यह अमान्य है अब आप कम से कम एक उपयोगकर्ता को उस पासवर्ड को जानते हैं। अन्य कारकों के साथ संयोजन करें (शब्द जिस भाषा में है, या कुछ संदर्भ / इसका अर्थ किसी से हो सकता है) को मिलाएं और आपने बहुत सीमित संख्या में विकल्पों की खोज की है जो आसानी से एक क्रूर बल के हमले में गिर सकते हैं - यहां तक ​​कि संभवतः एक मैनुअल एक।
जॉन हॉपकिंस
एर्म, मैंने यह नहीं कहा कि यह एक संभावित समस्या नहीं थी, मैंने कहा कि यह पूरी तरह से गूंगा नहीं था जैसा कि प्रश्न में सुझाया गया था क्योंकि यह कई उपयोगकर्ताओं को एक ही पासवर्ड (जो होता है) होने से रोकता है और जो बदतर है अगर वे पासवर्ड पहली जगह में कमजोर हैं। उपयोगकर्ताओं को एक सिस्टम तक पहुँच प्रदान करना सुरक्षा भेद्यता है ... लेकिन एक हमें साथ रखना होगा और इसलिए उसके बाद सब कुछ एक समझौता है।
मर्फ़
+1 यह इंगित करने के लिए कि यदि आप पासवर्ड सही ढंग से संभाल रहे हैं तो आप ऐसा नहीं कर सकते।
डेविड थॉर्नले
क्या हम यह भी नोट कर सकते हैं कि मेरा उत्तर यह है कि आप विशिष्टता के लिए परीक्षण नहीं कर सकते, क्योंकि आपको पासवर्ड वैसे भी हैशिंग चाहिए? तो अगर मुझे सुझाव है कि मैं जानना चाहता हूँ के लिए एक downvote मिल गया है क्यों?
मर्फ़
10

अप्राप्य पासवर्ड को लागू करने से जानकारी लीक हो जाती है

कैसे? क्योंकि हर बार जब कोई पटाखा एक नया पासवर्ड बनाने की कोशिश करता है, तो एक साधारण पासवर्ड जिसे आपका सिस्टम "नोप" के साथ जवाब देता है, वह पासवर्ड नहीं हो सकता है, तो पटाखा कहता है "गुडी, यह सूची के लिए एक है"।

आपकी सुरक्षा के बारे में जानकारी का लीक होना आमतौर पर एक बुरी बात है। ठीक है, एल्गोरिथ्म को जानने वाले तीसरे पक्ष ठीक हैं (इसे सहकर्मी समीक्षा की आवश्यकता है), लेकिन एक समर्पित पटाखे को कुंजी - खराब, वास्तव में, वास्तव में खराब होने की अनुमति देता है।

अच्छी और खराब पासवर्ड प्रबंधन नीतियों का वर्णन करने वाले संसाधन

पासवर्ड ताकत की गहन चर्चा के लिए सुरक्षा विशेषज्ञ ब्रूस श्नेयर का यह लेख पढ़ें ।

इस पीडीएफ को सुरक्षा शोधकर्ता फिलिप इंगलसेंट और एम। एंजेला सासे ने "अनयूएसबल पासवर्ड नीतियों की सच्ची लागत" की गहन चर्चा के लिए पढ़ें । निष्कर्ष से उद्धृत करने के लिए:

विश्व-दृष्टिकोण के खिलाफ कि "यदि केवल [उपयोगकर्ता] खतरों को समझते हैं, तो वे अलग तरह से व्यवहार करेंगे" [12], हम तर्क देते हैं कि "यदि केवल सुरक्षा प्रबंधकों ने उपयोगकर्ताओं और संगठन के लिए सही लागत को समझा, तो वे नीतियों को अलग तरीके से निर्धारित करेंगे"।

सुरक्षा का झूठा भाव

तो क्लाइंट के साथ पाइप होता है, "यदि किसी के पास एक ही पासवर्ड नहीं है, तो यदि कोई दरार है तो केवल एक व्यक्ति प्रभावित होता है।" नहीं। हर कोई प्रभावित है क्योंकि पटाखा ने प्रदर्शित किया है कि आपका पासवर्ड सिस्टम मौलिक रूप से त्रुटिपूर्ण है: यह ऑन-लाइन सिस्टम में एक शब्दकोश हमले के लिए असुरक्षित है। पटाखा के लिए एक पासवर्ड के खिलाफ कई अनुमान लगाने का प्रयास करना संभव नहीं होना चाहिए था।

ऑन-लाइन एक्सेस के लिए 6 वर्ण पर्याप्त हैं

ऑफ-टॉपिक जा रहा है, लेकिन मुझे लगा कि यह इच्छुक पाठकों के लिए ध्यान देने योग्य होगा। सुरक्षा के संदर्भ में एक ऑन-लाइन प्रणाली वह है जिसमें डेटा की पहुंच की निगरानी और नियंत्रण के लिए एक सक्रिय सुरक्षा प्रबंधन प्रक्रिया होती है। एक ऑफ-लाइन सिस्टम वह है जो ऐसा नहीं करता है (जैसे कि हार्ड डिस्क पर एन्क्रिप्ट किया गया डेटा चोरी हो गया है)।

यदि आपके पास एक पासवर्ड सिस्टम है जो ऑन-लाइन है तो आपको उच्च सुरक्षा पासवर्ड की आवश्यकता नहीं है। पासवर्ड को केवल 20 प्रयासों के भीतर अनुमानों को रोकने के लिए पर्याप्त रूप से जटिल होना चाहिए (इसलिए पति / पत्नी / बच्चे / पालतू जानवर के हमले का एक सरल नाम विफल हो जाएगा)। निम्नलिखित एल्गोरिथ्म पर विचार करें:

  1. क्रैकर अनुमानों को कम करने के लिए "रूट प्लस प्रत्यय" दृष्टिकोण का उपयोग करके पासवर्ड का अनुमान लगाता है
  2. क्रेडेंशियल अस्वीकार कर दिए गए और आगे लॉगिन प्रयास एन * 10 सेकंड के लिए रोक दिए गए
  3. यदि एन> 20 लॉक खाता और व्यवस्थापक को सूचित करें
  4. एन = एन +1
  5. उपयोगकर्ता को सूचित करें कि अगला लॉगिन समय टी (ऊपर की गणना) में हो सकता है
  6. गोटो स्टेप 1

एक सरल 6 वर्ण पासवर्ड के लिए उपरोक्त एल्गोरिथ्म शब्दकोश के हमलों को रोकेगा, जबकि एक मोबाइल कीपैड पर सबसे अयोग्य उपयोगकर्ता को अंततः प्राप्त करने की अनुमति देगा। कुछ भी तथाकथित "रबर नली हमले" को नहीं रोकेंगे जहां आप पासवर्ड धारक को रबड़ की नली से हराते हैं जब तक कि वे आपको नहीं बताते।

एक ऑफ-लाइन सिस्टम के लिए जब एन्क्रिप्टेड डेटा फ्लैश ड्राइव पर चारों ओर झूठ बोल रहा है और पटाखा इसके खिलाफ कुछ भी करने की स्वतंत्रता में है, तो आप अच्छी तरह से सबसे लचीला कुंजी चाहते हैं जो आप पा सकते हैं। लेकिन वह समस्या पहले से ही हल है

गैरी रोवे
स्रोत
1
"ऑन-लाइन" पहुंच से आपका क्या मतलब है? क्या कोई और किस्म है?
रॉबर्ट हार्वे
सुरक्षा शर्तों में अंतर के लिए अंतिम वाक्य देखें।
गैरी रोवे
4

यदि आपने उन्हें कार्रवाई के इस कोर्स के खिलाफ सलाह दी है, और उन्हें कारणों से आपूर्ति की है, तो मैं उन्हें उनके शब्द पर ले जाऊंगा और सिस्टम को लागू करने का सुझाव दूंगा। यह संतोषजनक नहीं हो सकता है, लेकिन आपने अपना काम कर दिया है, और वे बिल जमा कर रहे हैं, इसलिए उन्हें वह प्राप्त करना चाहिए जो वे चाहते हैं।

एक अपवाद है। यदि सिस्टम ब्रीच के नकारात्मक परिणाम गंभीर होंगे (जैसे कि यदि बहुत सी निजी जानकारी की सुरक्षा ब्रीच द्वारा समझौता किए जाने की संभावना है) तो आपका वास्तव में व्यावसायिक कर्तव्य हो सकता है कि वे जिस सिस्टम को चाहते हैं उसे लागू न करें। यदि आप इंकार करते हैं तो आप इसे लोकप्रिय बनाने की उम्मीद न करें, लेकिन इसे अपना मार्गदर्शक न बनने दें।

PeterAllenWebb
स्रोत
4

मैं सिर्फ मर्फ़ के जवाब को पुष्ट करना चाहता हूं। हां, यह एक सुरक्षा समस्या है और इसे लागू करने में जानकारी का खुलासा कमजोरियां हैं। लेकिन ग्राहक के दृष्टिकोण से, वह उस बारे में बहुत चिंतित नहीं लगता है।

आपको जो इंगित करना चाहिए वह यह है कि यह वास्तव में "अद्वितीय पासवर्ड" चेक को लागू करने के लिए शारीरिक रूप से अक्षम है। यदि आप पासवर्ड और हैशिंग पासवर्ड, और उन्हें स्पष्ट पाठ के रूप में संग्रहीत नहीं कर रहे हैं, तो यह वास्तव में विशिष्टता की जांच करने के लिए ओ (एन) (महंगा) संचालन है।

क्या आप कल्पना कर सकते हैं कि अगर आपके पास 10,000 उपयोगकर्ता हैं, और प्रत्येक उपयोगकर्ता के पासवर्ड के माध्यम से जाने के लिए 30 सेकंड लगते हैं, तो हर बार विशिष्टता की जांच करने के लिए कोई नया संकेत देता है या अपना पासवर्ड बदलता है?

मुझे लगता है कि यह वह प्रतिक्रिया है जो आपको अपने ग्राहक को लेने की आवश्यकता है।

डीन हार्डिंग
स्रोत
हाँ। यह बनाने के लिए एक अच्छा बिंदु होगा।
पीटरऑलेनवेब
1

सवाल पूछने के लिए उपयुक्त स्थान के संदर्भ में, स्टैक एक्सचेंज का आईटी सुरक्षा अनुभाग आपके लिए एक उपयोगी बिंदु होना चाहिए। Https://security.stackexchange.com/questions/tagged/passwords की कोशिश करें - आईटी सुरक्षा पर केंद्रित व्यक्तियों की एक श्रृंखला को विशिष्ट उत्तर देने में सक्षम होना चाहिए।

रोरी अलसॉप
स्रोत
0

वह शायद आरएसए दो कारक एन्क्रिप्शन की तरह होगा। यदि आप सक्रिय निर्देशिका, या ASP.NET सदस्यता का उपयोग कर रहे हैं तो यह नो-ब्रेनर है।

वैकल्पिक शब्द

हार्डवेयर या सॉफ्टवेयर टोकन एक समय पर निर्भर अद्वितीय पासवर्ड उत्पन्न करता है जो एक पिन कोड के बाद होता है। यह एक साथ प्रत्येक उपयोगकर्ता के लिए एक अनूठा पासवर्ड प्रदान करता है।

goodguys_activate
स्रोत
बीच-बीच में होने वाले हमलों को रोकने के लिए टू-फैक्टर बेकार है।
ब्रायनह डेस
यह सच है, लेकिन यह कथन प्रश्न से संबंधित नहीं है।
goodguys_activate
लेकिन अब मुझे आपका दूसरा कारक पता है !!! ओह प्रतीक्षा करें ... कृपया अपनी तस्वीर अपडेट करें
माइकल हारन
2
हम्म, मुझे लगता है कि यह एक एनिमेटेड GIF
goodguys_activate
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.