असुरक्षित पासवर्ड के लिए उपयोगकर्ताओं को दंडित करना [बंद]


13

मैं उन उपयोगकर्ताओं के अधिकारों को सीमित करने के बारे में सोच रहा हूं जो असुरक्षित पासवर्ड चुनते हैं (पासवर्ड की असुरक्षा लंबाई द्वारा निर्धारित की जा रही है, कितने प्रकार के वर्ण (ऊपरी / निचले मामले, संख्या, प्रतीक, आदि) का उपयोग किया जाता है, और क्या यह हो सकता है एक इंद्रधनुष तालिका में स्थित) यह सीमित करने के लिए कि उनके खाते को कितना नुकसान हो सकता है अगर समझौता किया जाए।

मेरे पास इस विचार के लिए अभी तक कोई एप्लिकेशन नहीं है, लेकिन कहते हैं कि मैं एक मंच या कुछ लिख रहा हूं: उपयोगकर्ता जो पासवर्ड के रूप में 1234 का उपयोग करते हैं, उन्हें पोस्ट करने से पहले एक कैप्चा भरना पड़ सकता है, या कठोर एंटी-स्पैम उपायों के अधीन हो सकते हैं जैसे समयबाह्य या बायेसियन फ़िल्टर उनकी सामग्री को अस्वीकार करते हैं। यदि यह मंच बहुत अधिक पदानुक्रमित है, तो मॉडरेटरों को "पदोन्नति" या जो कुछ भी माध्यम से अनुमति देता है, यह या तो उन्हें विशेषाधिकार प्राप्त करने से रोक देगा या उन्हें बताएगा कि उनके पास विशेषाधिकार हैं, लेकिन उन्हें अधिक सुरक्षित बदलाव के बिना व्यायाम करने की अनुमति न दें। कुंजिका।

बेशक यह सुरक्षा का एकमात्र उपाय नहीं हो सकता है, लेकिन यह अन्यथा अच्छी सुरक्षा प्रथाओं के बगल में अच्छी तरह से जा सकता है।

तुम क्या सोचते हो? क्या यह सिर्फ अतिदेय है, और अधिक महत्वपूर्ण सुरक्षा प्रथाओं से ध्यान चुरा रहा है, या क्या यह जोखिम को सीमित करने और उपयोगकर्ताओं को सुरक्षित पासवर्ड का उपयोग करने के लिए प्रोत्साहित करने का एक अच्छा तरीका है (और उम्मीद है कि आप अच्छे सुरक्षा अभ्यासों का उपयोग कर रहे लोगों को मना सकते हैं)?


24
इसका क्या लाभ है जब आप पहले से ही अपने सिस्टम तक पहुँचने से अनुचित पासवर्ड वाले उपयोगकर्ताओं को पहले ही प्रतिबंधित कर सकते हैं?
पीट

12
अधिकांश लोग संभवतः "लेटमिन" का उपयोग करते रहेंगे, चाहे आप उन पर जो भी प्रतिबंध लगा दें। पासवर्ड बनाते समय / बदलते समय या तो पासवर्ड नियम लागू करें।
जॉन स्ट्राका

3
@ कैरसन मायर्स: नहीं अगर आप इसे कैट 6 केबल से बाहर निकालते हैं, तो यह नहीं है: डी
पिस्कॉर ने इमारत

13
सबसे पहले, क्या के उपयोगकर्ता? मैं उन वेबसाइटों से थक गया हूँ, जिन्हें एक मंच पर पोस्ट की गई छवि को देखने के लिए लॉगिन की आवश्यकता होती है, फिर अंक और विशेष वर्णों के साथ मिश्रित-केस 10-वर्ण की आवश्यकता होती है और बिना रेखांकित और संख्या के 1. पासवर्ड की आवश्यकताओं को आनुपातिक बनाना डेटा की रक्षा की।
एसएफ।

6
फ्लोरिडा में, जो लोग अपने केबल टीवी बिलों का भुगतान देर से कर रहे थे, वे कभी-कभी एक चैनल तक सीमित हो जाते हैं। CSPAN। यह उनके लिए काम किया। <shrug>
माइक शेरिल 'कैट रिकॉल'

जवाबों:


35

YAGNI , KISS , सूखी , 10 सेकंड नियम और तथ्य यह है कि "[यू] SERS आप के बारे में परवाह नहीं है" शायद इसे नीचे एक ही समाधान करने के लिए संकीर्ण चाहिए: क्या नहीं।

  • यह अधिक विकास कार्य है जिसे विश्वसनीय और सुरक्षित होने के लिए बहुत परीक्षण की आवश्यकता होगी ।
  • यह संभवतः साइट की सुरक्षा को कम कर देता है जिस तरह से आप इसे देखते हैं। एक भयानक पासवर्ड के साथ विशेषाधिकार वृद्धि के लिए कुछ बग का मौका बहुत बड़ा है।
  • यह डेवलपर, परीक्षक, अनुचर, DBA, sysadmin और उपयोगकर्ता के लिए जटिलता बढ़ाता है।
  • जितनी अधिक जटिलता है, उतना ही कठिन है कि किसी तरह से खुद को दोहराने से बचें।
  • उपयोगकर्ताओं के पास आपकी जानकारी को पढ़ने और उस पर अनुसरण करने के लिए ध्यान देने की अवधि नहीं है। जब तक यह इनपुट को स्वीकार नहीं करता, तब तक पंजीकरण फॉर्म को ट्विक करने के लिए उनका उपयोग किया जाता है, जब तक कि वे कुछ आदर्श स्तर तक नहीं पहुंच जाते।
  • उपयोगकर्ताओं को परवाह नहीं है।

मजबूत अंक, सभी, शायद DRY को छोड़कर। क्यों DRY? इसके अलावा, यह हो सकता है की जरूरत नहीं है कि जटिल, आदि पूरी "एमओडी को बढ़ावा देने के" बस कुछ ही अतिरिक्त उदाहरण था। चूंकि अधिकांश वेबसाइटें पहले से ही असुरक्षित पासवर्ड का पता लगाती हैं, और कई सामान्य प्लेटफ़ॉर्म (वर्डप्रेस दिमाग में आते हैं) आपको पहले से ही असुरक्षित पासवर्ड के साथ पंजीकरण करने की अनुमति देते हैं, क्या इन उपयोगकर्ताओं के लिए कैप्चा जोड़ना इन सभी चिंताओं को बढ़ाता है? यह कष्टप्रद हो सकता है, लेकिन अन्य विकल्प उपयोगकर्ताओं को पूरी तरह से दूर कर देते हैं, या उन्हें और अधिक स्पैम जोखिम में डालते हैं। उदाहरण के लिए।
कार्सन मायर्स

3
+1 उपयोग के लिए लिंक के लिए। अच्छी साइट अच्छी है। UI / UX साइट के लिए विडंबना बदसूरत है।
स्टुपरयूजर

4
+1 उपयोगकर्ताओं के लिए आपकी परवाह नहीं करता है। यदि यह कुछ मूर्खतापूर्ण ब्लॉग / क्यू एंड ए साइट है और मुझे एक जटिल उपयोगकर्ता नाम / pwd कॉम्बो याद रखना है तो मैं इसका उपयोग नहीं करूंगा।
ElGringoGrande

@ElGringoGrande मैं जरूरी नहीं कि इसे मूर्खतापूर्ण कुछ के लिए प्रस्तावित कर रहा हूं, बल्कि "सभी पासवर्डों को अनुमति दें" और "सभी खराब पासवर्डों को अस्वीकार करें" के बीच एक मध्य मैदान के रूप में, जहां प्रत्येक विधि को नियुक्त करने वाली बहुत सारी साइटें हैं। हालांकि, यह अच्छी तरह से नहीं है, हाहा
कार्सन मायर्स

13

या तो पंजीकरण परिवर्तन पर एक सुरक्षित पासवर्ड लगाने के लिए, या एक OpenId (जेफ एटवुड 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ) का उपयोग करें। फिर अधिक दिलचस्प कार्यक्षमता पर ध्यान केंद्रित करें।

एक बात के लिए, उपयोगकर्ताओं को सुरक्षित पासवर्ड बनाने या उनके OpenId का उपयोग करने के लिए मजबूर किया जाता है, इसलिए यह उनके लिए सरल है।


मैं मानता हूं कि OpenId इस तरह की चीज के लिए बहुत अच्छा है, लेकिन मुझे लगता है कि आप यह सोचकर पक्षपाती हो सकते हैं कि ज्यादातर उपयोगकर्ता उन चीजों में से किसी एक के लिए उपयोग किए जाते हैं। ज्यादातर लोगों को मैं जानता हूँ कि OpenId के बारे में कभी नहीं सुना है, और इससे भी अधिक असुरक्षित पासवर्ड का उपयोग करते हैं
कार्सन मायर्स

1
अच्छी बात। मैंने SE से पहले OpenId का उपयोग नहीं किया था, लेकिन मेरे पास जटिलता की कमी के कारण पासवर्ड अस्वीकृत थे। यदि यह कुछ सरल और सुरक्षित रखने के बीच है, तो सुरक्षा पहले आती है, भले ही आपके उपयोगकर्ताओं को शिक्षित करने की जिम्मेदारी आपके नीचे हो। आपको उनके पासवर्ड की जटिलता के आधार पर उनकी जिम्मेदारियों के अनुसार उन्हें शिक्षित करने के लिए प्रयास करना होगा, यह उन्हें सुरक्षा / सामान्य लॉगिन को बढ़ावा देने के लिए शिक्षित करने के लिए उपयोग करना बेहतर लगता है।
स्टुपरयूजर

एक सामान्य लॉगिन आदर्श है, लेकिन अगर एप्लिकेशन प्रकृति में तकनीकी नहीं है, तो उपयोगकर्ताओं का एक अच्छा हिस्सा केवल अपने उसी पासवर्ड का उपयोग करने का चयन करेगा (या यदि उपलब्ध नहीं है तो छोड़ दें)। मेरे उदाहरण में, मैं सोच रहा हूं कि क्या यह उपयोगकर्ताओं को दूर करने के लिए नीचे आना चाहिए (उनके पासवर्ड को अस्वीकार करके), या उन्हें एक दृश्य अनुभव दे रहा है (हम आपको ऐसा करने की अनुमति नहीं दे सकते क्योंकि हम नहीं जानते हैं कि आपका खराब पासवर्ड है खराब पासवर्ड द्वारा बनाई गई समस्याओं को दिखाने के लिए आपने अपने खाते से छेड़छाड़ की)
कार्सन मायर्स

अधिकांश उपयोगकर्ताओं के पास एक फेसबुक या हॉटमेल या जीमेल अकाउंट होगा (कई साइटों पर क्रेडेंशियल पुनर्प्राप्ति के लिए एक मेल खाते की आवश्यकता है), जिससे यह स्पष्ट हो जाता है कि साइन अप / लॉगिन के लिए उन का उपयोग कैसे किया जा सकता है।
स्टुपरयूजर

मुझे लगता है कि मैं फेसबुक कनेक्ट आदि के बारे में भूल गया था
कार्सन मायर्स

12

आपको पहले से महसूस होने वाले पासवर्ड को खराब क्यों होने दें? स्रोत पर समस्या को रोकना आपको बहुत सारे डिज़ाइन समय को बचाने की कोशिश कर रहा है जो यह पता लगाने की कोशिश कर रहा है कि पासवर्ड की कौन सी कक्षाएं किस भूमिका में आती हैं। चूंकि एक व्यवस्थापक, परिभाषा के अनुसार, पूर्ण अधिकार होगा, आपको पहले से ही यह सुनिश्चित करने के लिए कार्यक्षमता की आवश्यकता होगी कि वह एक पासवर्ड दर्ज नहीं करता है जो उसे प्रतिबंधित करेगा।

मेरा जवाब सिर्फ वास्तव में करने के लिए नीचे आता है KISS


1
यह कोई समाधान नहीं है, क्योंकि यह उपयोगकर्ता को काउंटरमेसर को अपनाने के लिए धक्का देता है जो सुरक्षा नीति को और भी अधिक तोड़ देता है।
डेडलिंक

@ डेडलोनिक्स कैसे? मुझे लगता है कि वह केवल पूरे विचार को त्यागने के लिए कह रहा है और सिर्फ खराब पासवर्ड को अस्वीकार कर रहा है, जबकि इस बात का उदाहरण प्रदान करता है कि मेरे विचार से अधिक जलन क्यों हो सकती है
कार्सन मायर्स

@ डीडालनिक्स का क्या मतलब है? एक सुरक्षित पासवर्ड के विरुद्ध कौन-सा काउंटर उपयोगकर्ता अपनाएगा?
स्टुपरयूजर

7
@StuperUser: यह, विशेष रूप से: दूसरे के लिए एक भेद्यता स्विच करना।
पिस्कोर ने

1
@StupidUser: यदि कोई उपयोगकर्ता हर साइट के लिए एक ही पासवर्ड का पुन: उपयोग कर रहा है, और उन्हें बताया जाता है कि "mypassword" स्वीकार्य नहीं है, क्योंकि इसमें कोई संख्या नहीं है, तो एक बहुत अच्छा मौका है जो वे "mypassword1" में डाल देंगे
elwyn

7

एक उपयोगकर्ता के रूप में, जो शायद मुझे समझाएगा कि मैं आपकी साइट का उपयोग न करूं। मेरा मतलब है, गंभीरता से, मेरा बैंक मुझे बताता है कि 6-अंकीय कोड ऑनलाइन बैंकिंग के लिए पूरी तरह से सुरक्षित है, लेकिन जब मैं कुछ कम-ज्ञात ब्लॉग पर टिप्पणी लिखना चाहता हूं, तो मुझे एक अद्वितीय पासवर्ड याद रखना चाहिए जिसमें कम से कम 8 ऊपरी भाग शामिल हों - और निचले मामले के चरित्र, एक अंक, एक विशेष चरित्र और एक ग्रीक या सिरिलिक प्रतीक जिसे केवल तभी दर्ज किया जा सकता है यदि आप यूनिकोड अनुक्रम को हृदय से जानते हैं। और इसे नियमित रूप से बदलें।

मुझे गलत मत समझो, सुरक्षा महत्वपूर्ण है। लेकिन अगर आपको अपने उपयोगकर्ताओं को तब तक नाराज नहीं करना चाहिए जब तक कि आपके पास यह विश्वास करने के लिए वास्तव में मजबूत कारण नहीं है कि कोई आपकी साइट तक पहुंच प्राप्त करने के लिए उनके पासवर्ड को क्रैक करने का प्रयास करेगा। यदि आपकी साइट एफबीआई नेटवर्क को वीपीएन एक्सेस प्रदान करने के लिए होती है, तो नाराज होकर आगे बढ़ें। लेकिन अगर यह एक उपयोगकर्ता मंच है जहां कोई भी ईमेल पते के साथ साइन अप कर सकता है, तो वास्तव में क्या बात है?


एक के लिए अच्छी तरह से, अगर हम एक सामुदायिक साइट के बारे में बात कर रहे हैं, तो स्पैम एक मुद्दा हो सकता है (और वास्तव में कुछ परियोजना में मैंने भाग लिया है)। IMO यह अधिक उपयोगकर्ताओं को केवल उनके पासवर्ड को अस्वीकार करने के लिए दूर ले जाएगा, और अगर हम कैप्चा (असामान्य नहीं) का उपयोग करके स्पैम को कम करने जा रहे हैं, तो उपयोगकर्ताओं को उस झुंझलाहट को डालने के लिए बेहतर है, यह कारण नहीं है?
कार्सन मायर्स

इसके अलावा, मुझे लगता है कि यह एक आम गलतफहमी है कि यदि आप छोटे हैं, तो टूटने का प्रयास करना दुर्लभ है। मैं छोटे से मध्यम ऑनलाइन समुदायों के एक जोड़े में शामिल रहा हूं, और यह हमेशा एक समस्या थी। इस ServerFault प्रश्न का समर्थन करने के लिए लगता है
कार्सन मायर्स

5
स्पैमर्स छोटे पासवर्ड का उपयोग क्यों करेंगे? वे अन्य लोगों के पासवर्ड को क्रैक करने की कोशिश क्यों करेंगे, अगर वे सिर्फ एक नया खाता बना सकते हैं? मुझे यहां लंबे पासवर्ड का फायदा नहीं दिखता है।
निकी

मुझे कुछ पता नहीं है, मैं अभी थोड़ी देर पहले आया था और यह देखने का फैसला किया कि यह कैसे जांच के लिए खड़ा है :) अच्छा नहीं, ऐसा लगता है ...
कार्सन मायर्स

1
मुझे आपका उत्तर पसंद है क्योंकि यह इस विचार को लागू करने की सोच की उदासी को भी इंगित करता है: गैर-सुरक्षित डेटा वाली साइट के लिए अनावश्यक सुरक्षा बनाना।
टुंडी

6

बेहतर उपाय: स्माइली चेहरे।

मैं गंभीर हूँ! व्यवहार संबंधी अर्थशास्त्र की किताबें पढ़ना जैसे "नजद: स्वास्थ्य, धन, और खुशी के बारे में निर्णय में सुधार" ने मुझे कुछ चीजों के लिए आश्वस्त किया:

  1. आप सभी को समझदारी से निर्णय लेने के लिए मजबूर नहीं कर सकते।
  2. लोगों को चुनने के लिए स्वतंत्र होना पसंद है, लेकिन उन्हें बहुत सारे विकल्प पसंद नहीं हैं।
  3. हालांकि, आप सरल चाल के साथ बेहतर के लिए उनकी पसंद को महत्वपूर्ण रूप से प्रभावित कर सकते हैं।

मैं देख रहा हूं कि ये सिद्धांत आपकी स्थिति पर इस तरह लागू होते हैं:

  1. असुरक्षित पासवर्ड के आधार पर उपयोगकर्ताओं को प्रतिबंधित करना सबसे अधिक संभावना है कि वे निराश हों और उन्हें भ्रमित करें ... विशेष रूप से ऐसे अधिकांश लोगों के लिए जो संवाद बॉक्स में सावधानीपूर्वक लिखे गए स्पष्टीकरणों को नहीं पढ़ते हैं, और बस हेल्पडेस्क को यह कहने के लिए कहते हैं, "यह नहीं है काम।"
  2. पासवर्ड बनाते समय, उपयोगकर्ताओं को विशेष वर्णों की सभी संभावनाओं की सूची देखने की आवश्यकता नहीं होती है और जैसे वे उपयोग कर सकते हैं। उन्हें थोड़ा पॉप-अप दिखाने के लिए बेहतर है, यह सुझाव देते हुए कि वे केवल कुछ जटिलताएं जोड़ते हैं यदि उनकी प्रविष्टि आवश्यकताओं को पूरा नहीं करती है।
  3. लोग सामाजिक संकेतों से बहुत प्रभावित होते हैं - यहां तक ​​कि छोटे लोग भी खुश चेहरे की तरह दिखाते हैं कि हम उनके व्यवहार को स्वीकार करते हैं, या अगर हम नहीं करते हैं तो चेहरे को भद्दा दिखाते हैं। बेहतर डिज़ाइन की गई कुछ वेबसाइटें एक रंगीन प्रगति बार दिखाएंगी जो लाल रंग से नहीं अच्छे से बदलती हैं :( अच्छी नौकरी के लिए हरे रंग में ! :) जैसा कि उपयोगकर्ता उनके (प्रस्तावित) पासवर्ड और पुष्टि में टाइप करते हैं। यह यूआई उन्हें मानकों को पूरा करने के लिए कुछ सामाजिक दबाव देता है - बार को हरा करने के लिए, या एक मुस्कान में भ्रूभंग को बदलने के लिए - जैसा कि वे खुद के लिए खोजते हैं कि तत्काल प्रतिक्रिया की सहायता से अधिक सुरक्षित पासवर्ड कैसे बनाएं। रंग बदलता है।

2
मेरा प्रारंभिक विचार यह था कि आप उपयोगकर्ताओं को उनके पासवर्ड में स्माइली चेहरे का उपयोग करने की आवश्यकता का सुझाव दे रहे थे।
aslum

4
@ दास: वास्तव में, पासवर्डों में स्माइली चेहरे इस तरह के एक बुरा विचार नहीं है। उनमें से लगभग सभी गैर-अल्फ़ान्यूमेरिक वर्णों से बने होते हैं, इसलिए अन्यथा एक कमज़ोर पासवर्ड के अंत में एक :) टॉस करने से यह केवल खोज स्थान बढ़ाकर इसे और अधिक मजबूत बना देगा।
अफ्रीकी जूल

@afrazier: जब तक यह आम बात नहीं हो जाती, और उन्हें पात्रों की सूची में जोड़ा जा सकता है, है ना?
सर्व-इन

4

ढेर-पर नहीं, लेकिन मैंने "बैड आइडिया" के तहत इसे दर्ज करने का एक और कारण सोचा था जिसका मैंने अभी तक उल्लेख नहीं किया है - ग्राहक सहायता।

यदि यह एक ऐसा उत्पाद है जिसके ग्राहक सहायता प्रतिनिधि इसके पीछे हैं, तो वे इसे बहुत पसंद नहीं करेंगे। समर्थन की अंतर्निहित मान्यताओं में से एक यह है कि वे उपयोगकर्ता के अनुभव को समझ सकते हैं और अनुमान लगा सकते हैं - यदि वे एक नियमित उपयोगकर्ता की सहायता कर रहे हैं, तो पेज 1 में पेज 2, 3 और 4 के लिंक होने चाहिए, जहां वे एक्स, वाई, जेड कर सकते हैं। , आदि।

अब, आप उन्हें एक और चर दे रहे हैं, जिस पर उन्हें नज़र रखना है। यदि उपयोगकर्ता पेज 4 का लिंक नहीं देखता है, तो क्या यह इसलिए है क्योंकि उन्होंने कुछ बेवकूफ किया है? या ऐसा इसलिए है क्योंकि उनका पासवर्ड बेकार है और आपका सिस्टम उन्हें पेज 4 तक पहुंचने से इनकार कर रहा है? रुको ... बकवास, एक बुरा पासवर्ड के लिए दंड के पेज 4 पर पहुंच से इनकार कर रहा है, या क्या मैं पृष्ठ 5 के बारे में सोच रहा हूं? मुझे लगता है कि ऊपर देखो, बस एक पल ... ठीक है, यह कहता है कि एक पासवर्ड के लिए जो ऊपरी और निचले मामलों के पत्रों को नहीं मिलाता है, यहां तक ​​कि गिने हुए पृष्ठों तक पहुंच की अनुमति है लेकिन केवल पढ़ने के लिए प्रतिबंधित है ... ठीक है, सर, आपका पासवर्ड, क्या इसमें सभी ऊपरी मामले या सभी निचले मामले पत्र शामिल हैं? मामला। जब आप केवल पत्र लिखते हैं, तो यह निम्न स्थिति है; जब आप पारी का उपयोग करते हैं, तो जब यह ऊपरी मामला होता है। क्या आपने अपने पासवर्ड में मामलों को मिलाया है? पासवर्ड जिसे आप सिस्टम में लॉग इन करते थे। एक तुम बस इस्तेमाल किया। ठीक है, संपादन पर जाएं, फिर प्राथमिकताएं चुनें, फिर सुरक्षा। "सेव्ड पासवर्ड" का चयन करें ... नहीं, सर, मैं आपके पासवर्ड यहाँ से नहीं देख सकता ...।

हाँ। यह मत करो।


2

या तो पासवर्ड प्रतिबंधित करें या उपयोगकर्ताओं को कमजोर पासवर्ड के जोखिम के बारे में सूचित करें। मुझे लगता है कि यदि कोई उपयोगकर्ता अपने डेटा के बारे में परवाह नहीं करता है तो आप दूसरे तक पहुंच को प्रतिबंधित करना चाहते हैं। हो सकता है कि यदि उपयोगकर्ता लापरवाह पासवर्ड प्रथा का पालन करते हैं तो वे अधिक आत्मविश्वास महसूस करते हैं। अगर कीबोर्ड के नीचे एक चिपचिपा नोट खत्म होने वाला है या लैपटॉप पर टैप किया जा रहा है, तो एक मजबूत पासवर्ड की जरूरत नहीं है।


मेरे प्रश्न का एक हिस्सा उपयोगकर्ताओं के खराब पासवर्ड का उपयोग करते समय एक-दूसरे पर प्रभाव को सीमित कर रहा था, इसलिए आप उन्हें सीधे नहीं भेजते हैं, लेकिन आप यह सुनिश्चित करते हैं कि उनके बुरे व्यवहार को दूसरों के कष्ट में न डालें। इस लंबी चर्चा के बाद, यह इसके लायक नहीं लगता है। फिर भी, एक मजेदार मुझे लगता है, मुझे लगता है।
कार्सन मायर्स

2

और क्या यह एक इंद्रधनुष तालिका में स्थित हो सकता है

मुझे लगता है कि आपका मतलब डिक्शनरी है न कि इंद्रधनुष तालिका। यदि शब्द पासवर्ड से मेल खाते हैं तो शब्दकोश हमले के सभी शब्दों का परीक्षण करने पर काम करता है। इस हमले को 5 प्रयासों और एक्स मिनटों के लिए अवरुद्ध करके तय किया जा सकता है ...

एक इंद्रधनुष तालिका का उपयोग केवल तभी किया जाएगा जब आपके पास पासवर्ड हो और हमलावर को हैश का पता हो। अगर वह सिर्फ "12345" या कुछ इसी तरह का है तो इंद्रधनुष की तालिका में हैश ढूंढ सकता है।

बस राउंड ट्रिप को पूरा करने के लिए: एक इंद्रधनुष तालिका को बेकार बनाने के लिए आपको पासवर्ड को नमक करना चाहिए। और हर पासवर्ड के लिए बिना नमक वाला नमक इस्तेमाल करें और सभी के लिए सिर्फ एक ही नहीं। यदि आप ऐसा करते हैं, तो हमलावर को प्रत्येक खाते के लिए अद्वितीय नमक के साथ एक इंद्रधनुष तालिका बनाने की आवश्यकता होती है जिसे वह एक्सेस करना चाहता है। आपके पक्ष में किया गया चतुर, आप हैशिंग को मसाले के साथ कई हैश एल्गोरिथ्म के साथ मसाला दे सकते हैं ताकि एक पीढ़ी को आधा सेकंड लग सके। यदि आपने ऐसा किया है, तो आपकी वेबसाइट पर किसी खाते तक पहुंचना दिनों के लायक होना चाहिए, संभवतः इस खाते से मिलान खोजने के लिए हैश बनाने का महीना ... मैं एक हमलावर के बारे में नहीं सोच सकता जो सभी पासवर्ड प्राप्त करने का प्रयास करेगा। उस लंबे समय तक ले लो।

हैशिंग के समय के लिए: एक लॉगिन तंत्र के लिए 500 मी वेटिंग टाइम के बारे में सोचें। मुझे लगता है कि यह स्वीकार्य है ... (एक अनुस्मारक: लगभग एक सेकंड एसएसएल के लिए एक हाथ हिला लेता है)


हां, मेरा मतलब था एक शब्दकोश, धन्यवाद। और आप निश्चित रूप से सही हैं कि सुरक्षा के अन्य रूप आवश्यक हैं
कार्सन मायर्स
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.