असुरक्षित पासवर्ड के लिए उपयोगकर्ताओं को दंडित करना [बंद]

मैं उन उपयोगकर्ताओं के अधिकारों को सीमित करने के बारे में सोच रहा हूं जो असुरक्षित पासवर्ड चुनते हैं (पासवर्ड की असुरक्षा लंबाई द्वारा निर्धारित की जा रही है, कितने प्रकार के वर्ण (ऊपरी / निचले मामले, संख्या, प्रतीक, आदि) का उपयोग किया जाता है, और क्या यह हो सकता है एक इंद्रधनुष तालिका में स्थित) यह सीमित करने के लिए कि उनके खाते को कितना नुकसान हो सकता है अगर समझौता किया जाए।

मेरे पास इस विचार के लिए अभी तक कोई एप्लिकेशन नहीं है, लेकिन कहते हैं कि मैं एक मंच या कुछ लिख रहा हूं: उपयोगकर्ता जो पासवर्ड के रूप में 1234 का उपयोग करते हैं, उन्हें पोस्ट करने से पहले एक कैप्चा भरना पड़ सकता है, या कठोर एंटी-स्पैम उपायों के अधीन हो सकते हैं जैसे समयबाह्य या बायेसियन फ़िल्टर उनकी सामग्री को अस्वीकार करते हैं। यदि यह मंच बहुत अधिक पदानुक्रमित है, तो मॉडरेटरों को "पदोन्नति" या जो कुछ भी माध्यम से अनुमति देता है, यह या तो उन्हें विशेषाधिकार प्राप्त करने से रोक देगा या उन्हें बताएगा कि उनके पास विशेषाधिकार हैं, लेकिन उन्हें अधिक सुरक्षित बदलाव के बिना व्यायाम करने की अनुमति न दें। कुंजिका।

बेशक यह सुरक्षा का एकमात्र उपाय नहीं हो सकता है, लेकिन यह अन्यथा अच्छी सुरक्षा प्रथाओं के बगल में अच्छी तरह से जा सकता है।

तुम क्या सोचते हो? क्या यह सिर्फ अतिदेय है, और अधिक महत्वपूर्ण सुरक्षा प्रथाओं से ध्यान चुरा रहा है, या क्या यह जोखिम को सीमित करने और उपयोगकर्ताओं को सुरक्षित पासवर्ड का उपयोग करने के लिए प्रोत्साहित करने का एक अच्छा तरीका है (और उम्मीद है कि आप अच्छे सुरक्षा अभ्यासों का उपयोग कर रहे लोगों को मना सकते हैं)?

YAGNI , KISS , सूखी , 10 सेकंड नियम और तथ्य यह है कि "[यू] SERS आप के बारे में परवाह नहीं है" शायद इसे नीचे एक ही समाधान करने के लिए संकीर्ण चाहिए: क्या नहीं।

• यह अधिक विकास कार्य है जिसे विश्वसनीय और सुरक्षित होने के लिए बहुत परीक्षण की आवश्यकता होगी ।
• यह संभवतः साइट की सुरक्षा को कम कर देता है जिस तरह से आप इसे देखते हैं। एक भयानक पासवर्ड के साथ विशेषाधिकार वृद्धि के लिए कुछ बग का मौका बहुत बड़ा है।
• यह डेवलपर, परीक्षक, अनुचर, DBA, sysadmin और उपयोगकर्ता के लिए जटिलता बढ़ाता है।
• जितनी अधिक जटिलता है, उतना ही कठिन है कि किसी तरह से खुद को दोहराने से बचें।
• उपयोगकर्ताओं के पास आपकी जानकारी को पढ़ने और उस पर अनुसरण करने के लिए ध्यान देने की अवधि नहीं है। जब तक यह इनपुट को स्वीकार नहीं करता, तब तक पंजीकरण फॉर्म को ट्विक करने के लिए उनका उपयोग किया जाता है, जब तक कि वे कुछ आदर्श स्तर तक नहीं पहुंच जाते।
• उपयोगकर्ताओं को परवाह नहीं है।

या तो पंजीकरण परिवर्तन पर एक सुरक्षित पासवर्ड लगाने के लिए, या एक OpenId (जेफ एटवुड 2c: http://www.codinghorror.com/blog/2010/11/your-internet-drivers-license.html ) का उपयोग करें। फिर अधिक दिलचस्प कार्यक्षमता पर ध्यान केंद्रित करें।

एक बात के लिए, उपयोगकर्ताओं को सुरक्षित पासवर्ड बनाने या उनके OpenId का उपयोग करने के लिए मजबूर किया जाता है, इसलिए यह उनके लिए सरल है।

आपको पहले से महसूस होने वाले पासवर्ड को खराब क्यों होने दें? स्रोत पर समस्या को रोकना आपको बहुत सारे डिज़ाइन समय को बचाने की कोशिश कर रहा है जो यह पता लगाने की कोशिश कर रहा है कि पासवर्ड की कौन सी कक्षाएं किस भूमिका में आती हैं। चूंकि एक व्यवस्थापक, परिभाषा के अनुसार, पूर्ण अधिकार होगा, आपको पहले से ही यह सुनिश्चित करने के लिए कार्यक्षमता की आवश्यकता होगी कि वह एक पासवर्ड दर्ज नहीं करता है जो उसे प्रतिबंधित करेगा।

मेरा जवाब सिर्फ वास्तव में करने के लिए नीचे आता है KISS ।

एक उपयोगकर्ता के रूप में, जो शायद मुझे समझाएगा कि मैं आपकी साइट का उपयोग न करूं। मेरा मतलब है, गंभीरता से, मेरा बैंक मुझे बताता है कि 6-अंकीय कोड ऑनलाइन बैंकिंग के लिए पूरी तरह से सुरक्षित है, लेकिन जब मैं कुछ कम-ज्ञात ब्लॉग पर टिप्पणी लिखना चाहता हूं, तो मुझे एक अद्वितीय पासवर्ड याद रखना चाहिए जिसमें कम से कम 8 ऊपरी भाग शामिल हों - और निचले मामले के चरित्र, एक अंक, एक विशेष चरित्र और एक ग्रीक या सिरिलिक प्रतीक जिसे केवल तभी दर्ज किया जा सकता है यदि आप यूनिकोड अनुक्रम को हृदय से जानते हैं। और इसे नियमित रूप से बदलें।

मुझे गलत मत समझो, सुरक्षा महत्वपूर्ण है। लेकिन अगर आपको अपने उपयोगकर्ताओं को तब तक नाराज नहीं करना चाहिए जब तक कि आपके पास यह विश्वास करने के लिए वास्तव में मजबूत कारण नहीं है कि कोई आपकी साइट तक पहुंच प्राप्त करने के लिए उनके पासवर्ड को क्रैक करने का प्रयास करेगा। यदि आपकी साइट एफबीआई नेटवर्क को वीपीएन एक्सेस प्रदान करने के लिए होती है, तो नाराज होकर आगे बढ़ें। लेकिन अगर यह एक उपयोगकर्ता मंच है जहां कोई भी ईमेल पते के साथ साइन अप कर सकता है, तो वास्तव में क्या बात है?

बेहतर उपाय: स्माइली चेहरे।

मैं गंभीर हूँ! व्यवहार संबंधी अर्थशास्त्र की किताबें पढ़ना जैसे "नजद: स्वास्थ्य, धन, और खुशी के बारे में निर्णय में सुधार" ने मुझे कुछ चीजों के लिए आश्वस्त किया:

1. आप सभी को समझदारी से निर्णय लेने के लिए मजबूर नहीं कर सकते।
2. लोगों को चुनने के लिए स्वतंत्र होना पसंद है, लेकिन उन्हें बहुत सारे विकल्प पसंद नहीं हैं।
3. हालांकि, आप सरल चाल के साथ बेहतर के लिए उनकी पसंद को महत्वपूर्ण रूप से प्रभावित कर सकते हैं।

मैं देख रहा हूं कि ये सिद्धांत आपकी स्थिति पर इस तरह लागू होते हैं:

1. असुरक्षित पासवर्ड के आधार पर उपयोगकर्ताओं को प्रतिबंधित करना सबसे अधिक संभावना है कि वे निराश हों और उन्हें भ्रमित करें ... विशेष रूप से ऐसे अधिकांश लोगों के लिए जो संवाद बॉक्स में सावधानीपूर्वक लिखे गए स्पष्टीकरणों को नहीं पढ़ते हैं, और बस हेल्पडेस्क को यह कहने के लिए कहते हैं, "यह नहीं है काम।"
2. पासवर्ड बनाते समय, उपयोगकर्ताओं को विशेष वर्णों की सभी संभावनाओं की सूची देखने की आवश्यकता नहीं होती है और जैसे वे उपयोग कर सकते हैं। उन्हें थोड़ा पॉप-अप दिखाने के लिए बेहतर है, यह सुझाव देते हुए कि वे केवल कुछ जटिलताएं जोड़ते हैं यदि उनकी प्रविष्टि आवश्यकताओं को पूरा नहीं करती है।
3. लोग सामाजिक संकेतों से बहुत प्रभावित होते हैं - यहां तक ​​कि छोटे लोग भी खुश चेहरे की तरह दिखाते हैं कि हम उनके व्यवहार को स्वीकार करते हैं, या अगर हम नहीं करते हैं तो चेहरे को भद्दा दिखाते हैं। बेहतर डिज़ाइन की गई कुछ वेबसाइटें एक रंगीन प्रगति बार दिखाएंगी जो लाल रंग से नहीं अच्छे से बदलती हैं :( अच्छी नौकरी के लिए हरे रंग में ! :) जैसा कि उपयोगकर्ता उनके (प्रस्तावित) पासवर्ड और पुष्टि में टाइप करते हैं। यह यूआई उन्हें मानकों को पूरा करने के लिए कुछ सामाजिक दबाव देता है - बार को हरा करने के लिए, या एक मुस्कान में भ्रूभंग को बदलने के लिए - जैसा कि वे खुद के लिए खोजते हैं कि तत्काल प्रतिक्रिया की सहायता से अधिक सुरक्षित पासवर्ड कैसे बनाएं। रंग बदलता है।

ढेर-पर नहीं, लेकिन मैंने "बैड आइडिया" के तहत इसे दर्ज करने का एक और कारण सोचा था जिसका मैंने अभी तक उल्लेख नहीं किया है - ग्राहक सहायता।

यदि यह एक ऐसा उत्पाद है जिसके ग्राहक सहायता प्रतिनिधि इसके पीछे हैं, तो वे इसे बहुत पसंद नहीं करेंगे। समर्थन की अंतर्निहित मान्यताओं में से एक यह है कि वे उपयोगकर्ता के अनुभव को समझ सकते हैं और अनुमान लगा सकते हैं - यदि वे एक नियमित उपयोगकर्ता की सहायता कर रहे हैं, तो पेज 1 में पेज 2, 3 और 4 के लिंक होने चाहिए, जहां वे एक्स, वाई, जेड कर सकते हैं। , आदि।

अब, आप उन्हें एक और चर दे रहे हैं, जिस पर उन्हें नज़र रखना है। यदि उपयोगकर्ता पेज 4 का लिंक नहीं देखता है, तो क्या यह इसलिए है क्योंकि उन्होंने कुछ बेवकूफ किया है? या ऐसा इसलिए है क्योंकि उनका पासवर्ड बेकार है और आपका सिस्टम उन्हें पेज 4 तक पहुंचने से इनकार कर रहा है? रुको ... बकवास, एक बुरा पासवर्ड के लिए दंड के पेज 4 पर पहुंच से इनकार कर रहा है, या क्या मैं पृष्ठ 5 के बारे में सोच रहा हूं? मुझे लगता है कि ऊपर देखो, बस एक पल ... ठीक है, यह कहता है कि एक पासवर्ड के लिए जो ऊपरी और निचले मामलों के पत्रों को नहीं मिलाता है, यहां तक ​​कि गिने हुए पृष्ठों तक पहुंच की अनुमति है लेकिन केवल पढ़ने के लिए प्रतिबंधित है ... ठीक है, सर, आपका पासवर्ड, क्या इसमें सभी ऊपरी मामले या सभी निचले मामले पत्र शामिल हैं? मामला। जब आप केवल पत्र लिखते हैं, तो यह निम्न स्थिति है; जब आप पारी का उपयोग करते हैं, तो जब यह ऊपरी मामला होता है। क्या आपने अपने पासवर्ड में मामलों को मिलाया है? पासवर्ड जिसे आप सिस्टम में लॉग इन करते थे। एक तुम बस इस्तेमाल किया। ठीक है, संपादन पर जाएं, फिर प्राथमिकताएं चुनें, फिर सुरक्षा। "सेव्ड पासवर्ड" का चयन करें ... नहीं, सर, मैं आपके पासवर्ड यहाँ से नहीं देख सकता ...।

हाँ। यह मत करो।

या तो पासवर्ड प्रतिबंधित करें या उपयोगकर्ताओं को कमजोर पासवर्ड के जोखिम के बारे में सूचित करें। मुझे लगता है कि यदि कोई उपयोगकर्ता अपने डेटा के बारे में परवाह नहीं करता है तो आप दूसरे तक पहुंच को प्रतिबंधित करना चाहते हैं। हो सकता है कि यदि उपयोगकर्ता लापरवाह पासवर्ड प्रथा का पालन करते हैं तो वे अधिक आत्मविश्वास महसूस करते हैं। अगर कीबोर्ड के नीचे एक चिपचिपा नोट खत्म होने वाला है या लैपटॉप पर टैप किया जा रहा है, तो एक मजबूत पासवर्ड की जरूरत नहीं है।

और क्या यह एक इंद्रधनुष तालिका में स्थित हो सकता है

मुझे लगता है कि आपका मतलब डिक्शनरी है न कि इंद्रधनुष तालिका। यदि शब्द पासवर्ड से मेल खाते हैं तो शब्दकोश हमले के सभी शब्दों का परीक्षण करने पर काम करता है। इस हमले को 5 प्रयासों और एक्स मिनटों के लिए अवरुद्ध करके तय किया जा सकता है ...

एक इंद्रधनुष तालिका का उपयोग केवल तभी किया जाएगा जब आपके पास पासवर्ड हो और हमलावर को हैश का पता हो। अगर वह सिर्फ "12345" या कुछ इसी तरह का है तो इंद्रधनुष की तालिका में हैश ढूंढ सकता है।

बस राउंड ट्रिप को पूरा करने के लिए: एक इंद्रधनुष तालिका को बेकार बनाने के लिए आपको पासवर्ड को नमक करना चाहिए। और हर पासवर्ड के लिए बिना नमक वाला नमक इस्तेमाल करें और सभी के लिए सिर्फ एक ही नहीं। यदि आप ऐसा करते हैं, तो हमलावर को प्रत्येक खाते के लिए अद्वितीय नमक के साथ एक इंद्रधनुष तालिका बनाने की आवश्यकता होती है जिसे वह एक्सेस करना चाहता है। आपके पक्ष में किया गया चतुर, आप हैशिंग को मसाले के साथ कई हैश एल्गोरिथ्म के साथ मसाला दे सकते हैं ताकि एक पीढ़ी को आधा सेकंड लग सके। यदि आपने ऐसा किया है, तो आपकी वेबसाइट पर किसी खाते तक पहुंचना दिनों के लायक होना चाहिए, संभवतः इस खाते से मिलान खोजने के लिए हैश बनाने का महीना ... मैं एक हमलावर के बारे में नहीं सोच सकता जो सभी पासवर्ड प्राप्त करने का प्रयास करेगा। उस लंबे समय तक ले लो।

हैशिंग के समय के लिए: एक लॉगिन तंत्र के लिए 500 मी वेटिंग टाइम के बारे में सोचें। मुझे लगता है कि यह स्वीकार्य है ... (एक अनुस्मारक: लगभग एक सेकंड एसएसएल के लिए एक हाथ हिला लेता है)