क्या मुझे चिंतित होना चाहिए अगर मेरा Git होस्टिंग प्रदाता प्लेनटेक्स्ट में पासवर्ड स्टोर करता है?

0

मुझे Reddit पर एक टिप्पणी मिली जिसमें कहा गया था कि एक निशुल्क Git होस्ट ProjectLocker, अपने पासवर्ड को सादे पाठ में संग्रहीत करता है।

मुझे नहीं पता

  • (a) यदि यह सत्य है
  • (ख) इसे कैसे सत्यापित किया जाए या
  • (ग) अगर यह सही है तो मुझे कितना चिंतित होना चाहिए।

क्या इसका मतलब यह हो सकता है कि किसी के लिए मेरे निजी कोड रिपॉजिटरी में से किसी एक में प्रवेश करना बहुत आसान होगा?

security  hosting  git 
एस माइकल्स
स्रोत
आपके पासवर्ड को देखने के लिए डेटाबेस एक्सेस वाला कोई भी व्यक्ति, चाहे वह हैशेड और नमकीन हो या नहीं, संभवतः आपके निजी कोड को वैसे भी पढ़ने की सुविधा है।
फोसि
Phoshi: कि क्या मैं भी सोच रहा था। किसी भी Git होस्टिंग कंपनी में काम करने वाला कोई व्यक्ति यदि संभव हो तो अपने उपयोगकर्ताओं के कोड को देख सकता है।
एस। माइकल्स
बहुत ज्यादा। प्लेनटेक्स्ट पासवर्ड के बारे में एकमात्र बुरी बात यह है कि अगर किसी और दुर्भावनापूर्ण व्यक्ति ने डेटाबेस पर अपना हाथ जमाया - तो वह खराब हो सकता है।
फोसि
यह भयानक होगा यदि कोई व्यक्ति प्रोजेक्टलॉकर के बारे में गलत आरोप नहीं लगा सकता है। धन्यवाद!
19
अनुरोध के अनुसार शीर्षक संपादित किया गया। और इस सवाल का जवाब देने के लिए धन्यवाद। मैं किसी ऐसे व्यक्ति से सुनने की सराहना करता हूं जो प्रोजेक्टलॉकर पर काम करता है। इसके अलावा मैंने पहले एक अनुवर्ती प्रश्न पोस्ट किया था जो इस मुद्दे की तकनीकीताओं को बेहतर ढंग से समझने की कोशिश करने के लिए प्रोजेक्टलॉकर के लिए विशिष्ट नहीं है: सुपरयुसर.com/questions/ 46877/…
एस माइकल्स

जवाबों:

8

मैं ProjectLocker पर काम करता हूं, और मैं इस थ्रेड में कुछ स्पष्टता जोड़ना चाहूंगा। ओपी के सवालों का जवाब देने के लिए सबसे पहले:

क) यह अफवाह सच नहीं है। प्रोजेक्टलॉकर पासवर्ड को प्लेनटेक्स्ट में स्टोर नहीं करता है।

b) आप अपने बैकएंड सिस्टम तक पहुँच के बिना ProjectLocker या किसी अन्य वेबसाइट के लिए इसे सत्यापित नहीं कर सकते।

ग) मैं काफी चिंतित हूँ। हालाँकि, मुझे यह जानकर बहुत हैरानी होगी कि कोई भी बड़ी Subversion होस्टिंग या Git होस्टिंग साइटें प्लेनटेक्स्ट पासवर्ड स्टोर करती हैं। यह सिर्फ एक बुरा विचार है।

संयोग से, ProjectLocker पर सभी Git का उपयोग सार्वजनिक-कुंजी प्रमाणीकरण और पासवर्ड का उपयोग नहीं करता है।

जैसा कि दूसरों ने बताया है, ProjectLocker उपयोगकर्ताओं को खोए हुए पासवर्ड को पुनः प्राप्त करने की अनुमति देता है। हम दो-तरफ़ा फ़ंक्शन के साथ एन्क्रिप्ट किए गए पासवर्ड को संग्रहीत करके ऐसा करते हैं। (यदि आप कभी भी किसी ई-कॉमर्स वेबसाइट पर "बाद में इस कार्ड को बाद के लिए सहेजें" बॉक्स की जांच करते हैं, तो आपका क्रेडिट कार्ड उसी तरह संग्रहीत किया जाता है। समान रूप से सदस्यता साइटों के लिए चला जाता है जो समय-समय पर नेटफ्लिक्स जैसे बिल का उपयोग करते हैं।) सामान्य तौर पर, हम पासवर्ड को संवेदनशील मानते हैं। डेटा, जैसे क्रेडिट कार्ड या ग्राहक कलाकृतियों (कोड, आदि)। इस बारे में एक निष्पक्ष दार्शनिक बहस है कि क्या साइटों को पुनर्प्राप्ति योग्य प्रारूप में पासवर्ड संग्रहीत करना चाहिए, लेकिन हमारे उपयोगकर्ताओं की प्रतिक्रिया ने संकेत दिया कि वे पुनर्प्राप्ति योग्य पासवर्ड पसंद करते हैं।

Reddit पर पोस्ट के रूप में, मैं कह सकता हूं कि पोस्टर ने कभी ProjectLocker पर काम नहीं किया है और हमारे प्रमाणीकरण प्रणालियों का कोई वास्तविक ज्ञान नहीं है। सबसे अधिक संभावना पोस्टर दो-तरफा कार्यों से परिचित नहीं है, और गलती से "सादे" के साथ "प्रतिवर्ती" भ्रमित कर रहा है।

अंत में, यदि आप किसी तीसरे पक्ष के साथ अपने कोड को होस्ट करने पर विचार कर रहे हैं, और आप इस तरह के प्रश्न के उनके उत्तरों पर भरोसा नहीं करते हैं, तो आपको निश्चित रूप से अपना कोड वहां जमा नहीं करना चाहिए। यदि आप अपने मेजबान पर भरोसा नहीं करते हैं, तो आपको उनका उपयोग बिल्कुल नहीं करना चाहिए, भले ही वे आपके पासवर्ड को कैसे स्टोर करें।

रुनाको
स्रोत
2

अगर यह सच है तो यह एक सुरक्षा जोखिम है, क्योंकि एक्सेस (या किसी माध्यम से एक्सेस हासिल करने में सक्षम) आपके पासवर्ड को पढ़ने में सक्षम होगा।

अगर आप Reddit पर टिप्पणी सही है, तो आप हमेशा ProjectLocker पूछ सकते हैं। चाहे आप मानते हैं कि उनका जवाब आपके ऊपर है।

हालांकि, मुझे नहीं पता कि यह सच है या नहीं।

ChrisF
स्रोत
ओह, इसलिए यह संदर्भित है कि क्या ProjectLocker पर पहुंच वाले लोग मेरे पासवर्ड को पढ़ सकते हैं, बाहरी उपयोगकर्ताओं को नहीं। मुझे गलतफहमी हुई कि जोखिम कहां से आ रहा है। मुझे लगता है कि एक होस्टिंग प्रदाता के पास आपके सामान पर एक नज़र रखने के लिए हमेशा एक कर्मचारी का जोखिम होगा। अगर यह प्लेनटेक्स्ट में नहीं है, तो मैं कल्पना करूंगा कि यह अधिक कठिन है लेकिन फिर भी संभव है। हां, मैं उनसे पूछ सकता था लेकिन मुझे नहीं पता कि मैं उनके आश्वासन को कितना वजन दूंगा।
एस। माइकल्स
फिर सवाल यह है कि क्या यह सादा पाठ भंडारण सुरक्षित है।
क्रिस सेफ़
आपका मतलब है कि सादे पाठ भंडारण का उपयोग करते समय भी सुरक्षा के विभिन्न स्तर हो सकते हैं?
एस। माइकल्स
1
वैसे फ़ाइल / डेटाबेस स्वयं पासवर्ड संरक्षित हो सकता है, लेकिन मैं इस बारे में अधिक सोच रहा था कि क्या बाहर से कोई व्यक्ति डेटाबेस तक पहुंच सकता है (जो भी मतलब है)। यह देखते हुए कि यह प्रचारित किया गया है, मुझे लगता है कि हैकर्स अब पहुँच प्राप्त करने की कोशिश कर रहे हैं।
क्रिस सेफ़
3
मृत पेड़ों पर संग्रहीत एक सादा पाठ पासवर्ड और वॉल्ट 106 के भीतर एक अचिह्नित, लॉक और संरक्षित फाइलिंग कैबिनेट में गहरे दफन किए गए, जिसके दरवाजे पर "बीवेयर द लेपर्ड" साइन के साथ कैबिनेट सुरक्षित है, जो UserPasswords.txt फ़ाइल की तुलना में अधिक सुरक्षित है / var / में संग्रहीत फ़ाइल उदाहरण के लिए www / पासवर्ड /।
ग्रांट
1

यह सत्य है या नहीं यह सत्यापित करने का एक तरीका यह है कि आप अपना पासवर्ड भूल गए। यदि होस्ट आपको रीसेट करने के बजाय अपना वर्तमान पासवर्ड बताता है और आपको एक अस्थायी पासवर्ड देता है, तो आपके पास सबूत है कि वे इसे प्लेनटेक्स्ट में स्टोर करते हैं।

संपादित करें : यहोशू की टिप्पणी सही है: यह निश्चित प्रमाण नहीं है कि वे आपके पासवर्ड को प्लेनटेक्स्ट में संग्रहीत कर रहे हैं, लेकिन यह सबूत है कि वे आपके पासवर्ड को प्रतिवर्ती प्रारूप में संग्रहीत कर रहे हैं।

पासवर्ड का नमकीन एक तरफ़ा हैश स्टोर करना सबसे सुरक्षित है। यह आपके इनपुट को हैश करने के लिए तुच्छ है और इसे संग्रहीत हैश से तुलना करना है, लेकिन किसी के लिए अव्यावहारिक है कि आपके पासवर्ड को प्राप्त करने के लिए हैश को रिवर्स-इंजीनियर करें। यही कारण है कि जब आप इसे खो देते हैं, तो अधिकांश साइटें आपको एक अजीब यादृच्छिक पासवर्ड भेजती हैं: वे अब नहीं जानते कि आपका पासवर्ड क्या है, इसलिए उन्हें इसे उस चीज़ के लिए रीसेट करना होगा जो वे जानते हैं।

यदि ProjectLocker आपके पासवर्ड को प्रतिवर्ती प्रारूप में संग्रहीत करता है, तो आपके पास चिंता की भिन्न डिग्री होनी चाहिए। असंतुष्ट कर्मचारियों को केवल खतरा नहीं है; यदि कोई हमलावर डेटाबेस डंप प्राप्त करने में सक्षम है और पासवर्ड को डिकोड करने का तरीका निर्धारित कर सकता है (यदि वे डीबी डंप प्राप्त कर सकते हैं, तो वे स्रोत कोड प्राप्त कर सकते हैं) उनके पास बहुत सारे पासवर्ड होंगे। यदि आप एक उपयोगकर्ता नाम और पासवर्ड का उपयोग करते हैं जो आप उस साइट के लिए कहीं और उपयोग नहीं करते हैं, तो वे सबसे खराब आपके प्रोजेक्टलॉकर खाते को गड़बड़ कर सकते हैं। हालांकि, कई लोग कई अलग-अलग वेबसाइटों के लिए एक ही उपयोगकर्ता नाम और समान पासवर्ड का उपयोग करते हैं; यदि आप ऐसा करते हैं तो पासवर्ड को प्रतिवर्ती प्रारूप में संग्रहित करना आपको भारी जोखिम में डालता है।

मेरी राय में, यदि आप जिस पासवर्ड का उपयोग ProjectLocker में करते हैं, वह अन्य साइटों पर आपके द्वारा उपयोग किए जाने वाले पासवर्ड के समान नहीं है, तो आपको बहुत अधिक चिंता नहीं करनी चाहिए। हालांकि, यह उनके साथ एक शिकायत को आवाज़ देने के लायक होगा क्योंकि इससे यह बहुत अधिक संभावना है कि सुरक्षा में एक छोटी सी चूक से किसी को आपके खाते तक पहुंच प्राप्त हो सकती है।

OwenP
स्रोत
मुझे हमेशा पासवर्ड के शौकीन होने का शौक रहा है, साथ ही एक ज्ञात स्ट्रिंग का हैश, साथ ही उपयोगकर्ता के डेटा से कई कारकों के आधार पर यादृच्छिक संख्या का हैश। शायद ओवरकिल, लेकिन फिर भी।
फोसि
1
मुझे आशा है कि उन 'कई कारकों' में उपयोगकर्ता परिवर्तनशील डेटा शामिल नहीं है। मैं अपने पासवर्ड की वैधता से नफरत करना चाहूंगा जो मेरे फोन नंबर पर निर्भर नहीं है।
ग्रांट
ठीक है, मुझे लगा कि आपके पासवर्ड को वास्तव में उपयोगकर्ता के किसी भी डेटा को बदलने के लिए आपके पासवर्ड की आवश्यकता है, जो कि अप्रासंगिक था, क्योंकि मैं इसे तब अपडेट कर सकता हूं।
फ़ॉसी
1
अच्छा परीक्षण। वे वास्तव में आपको इस लिंक से अपने पुराने पासवर्ड की एक प्रति मेल करते हैं: portal.projectlocker.com/login/lost_password
S. Michaels
4
मैं केवल यह नहीं कहूंगा कि यदि आप इसे वापस लेते हैं तो इसे प्लेनटेक्स्ट में संग्रहीत किया जाता है। वे हैशिंग के बजाय एन्क्रिप्शन का उपयोग कर सकते हैं, जो उन्हें इसे डिक्रिप्ट करने और इसे आपको भेजने की अनुमति देगा। एन्क्रिप्शन अभी भी कुछ हद तक सुरक्षित है जब एक डेटाबेस में संग्रहीत किया जाता है और असुरक्षित होता है जब कोई हमलावर पासवर्ड पढ़ने के लिए एन्क्रिप्शन कुंजी प्राप्त कर सकता है। व्यक्तिगत रूप से, मैं अभी एक नमकीन sha1 हैश पसंद करता हूं (क्योंकि जावास्क्रिप्ट में इसे लागू करना आसान है, उपयोगकर्ताओं का पासवर्ड कभी तार पर नहीं जाता है)।
यहोशू
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.