यदि किसी हैकर को मेरे डीबी में हैश तक पहुंच है, तो उसे डीबी में बाकी की जानकारी तक पहुंच है। तो वह पासवर्ड को डिक्रिप्ट करने का प्रयास क्यों परेशान करेगा? क्या मुझे अपने शेष डेटा पर एक अलग सर्वर पर पासवर्ड संग्रहीत करना चाहिए? यही एकमात्र परिदृश्य है जिसमें मैं इसे उपयोगी होने की कल्पना कर सकता हूं।मुझे हैशिंग पासवर्ड के बारे में क्यों परवाह करना चाहिए?
उत्तर
कभी कभी एक हैकर आपके डीबी के लिए पूरा उपयोग नहीं मिलता है। कभी-कभी उन्हें थोड़ा एसक्यूएल इंजेक्शन होल या अन्य कमजोरी मिलती है जिसे किसी ने सही ढंग से कोड नहीं किया है, और इसलिए वे पहले ही सरल चीजें केवल एक ही समय में प्रिंट आउट डेटाबेस सेल की तरह ही कर सकते हैं। यदि वे एक असली पासवर्ड प्रिंट कर सकते हैं तो अचानक चीजें बहुत खराब हो जाती हैं।
डेटाबेस आमतौर पर टेप तक बैक अप लेते हैं, और कभी-कभी उन टेप खो जाते हैं या यहां तक कि फेंक दिया जाता है। अगर किसी हैकर को स्नैपशॉट तक पहुंच मिलती है तो वह आपके सिस्टम के बारे में बहुत कुछ सीख सकता है। लेकिन अगर पासवर्ड अभी भी धोए गए हैं तो वह कुछ दुर्भावनापूर्ण करने के लिए सिस्टम का उपयोग भी नहीं कर सकता है, जैसे किसी भिन्न उपयोगकर्ता के रूप में लॉग इन करना और चीजों को बदलना शुरू करना। इससे भी बदतर, अधिकांश उपयोगकर्ता कई प्रणालियों में एक या कुछ पासवर्ड रखते हैं। डंप में पुराना बैकअप टेप ढूंढना अन्य खातों के लिए एक सोनामाइन हो सकता है, भले ही टेप एक निष्क्रिय प्रणाली के लिए हो। उचित रूप से पासवर्ड इसके खिलाफ सुरक्षा है।
मैंने सुना है कि अधिकांश हैक एक अंदरूनी नौकरी हैं। उन लोगों के लिए भी क्षमता को दूर करने के लिए बेहतर है जिन्हें आप दूसरों के रूप में लॉग इन करने के लिए भरोसा करते हैं।
आपको लगता है बात इस तरह का, ऐसा नहीं होता है reddit पर लोगों से बात जाएँ।
लोग अक्सर अन्य वेबसाइटों पर विभिन्न खातों के लिए समान उपयोगकर्ता नाम/पासवर्ड का उपयोग करते हैं (उदाहरण के लिए, बैंक खातों में ऑनलाइन पहुंच सहित)।
एक बार जब आप इस हैक की खोज कर चुके हैं और अपना डेटाबेस सुरक्षित कर लिया है, तो हैकर के पास अभी भी आपके उपयोगकर्ता के खातों में लॉगिन करने की क्षमता होगी।
क्योंकि यदि आपके पास डेटा तक पहुंच है, तो आवेदन करने तक पहुंच वास्तव में अधिक महत्वपूर्ण है। आवेदन, उदाहरण के लिए, डेटा में हेरफेर करना अधिक आसान बनाता है।
पासवर्ड को धक्का देना सभी आंखों से आकस्मिक एक्सपोजर को रोकता है।
उदाहरण के लिए, आपके पास कई साइटों पर एक ही पासवर्ड हो सकता है। डीबी में एक त्वरित नज़र न केवल आपके आवेदन से समझौता करता है, बल्कि शायद कई अन्य।
यह आपके पास पासवर्ड हैश करने के लिए यह एक अच्छा, ठोस अभ्यास है।
मैं असहमत हूं। लाइव डेटाबेस तक पहुंचने के लिए बहुत अधिक खतरनाक है। कम से कम आवेदन के माध्यम से आप अपने व्यापार नियमों तक ही सीमित हैं।संभवतः एप्लिकेशन आपको डीआरओपी टेबलों की अनुमति नहीं देगा, उदाहरण के लिए, और आप समझौता किए गए उपयोगकर्ता खातों को लॉकआउट कर सकते हैं। – Cybis
मैं अपने डेटा के आराम करने के लिए एक अलग सर्वर पर पासवर्ड संग्रहीत किया जाना चाहिए?
इससे आपके सिस्टम में जटिलता बढ़ जाती है, लेकिन अगर ऐसा कुछ है तो आप निश्चित रूप से एक सुधार कर सकते हैं।
ध्यान दें कि प्रमाणीकरण सर्वर जैसे कि केर्बेरोस, रैडियस, या विंडोज डोमेन प्रमाणीकरण का उपयोग करके प्रभावी रूप से आपको किसी अन्य सर्वर पर पासवर्ड डाल दिया जाता है।
चलो ओपनिड को न भूलें;) –
कभी-कभी, आप नहीं जानते कि सिस्टम प्रशासक कौन होगा।आप अभी भी अपने उपयोगकर्ताओं से उनकी रक्षा करना चाहते हैं .. इसलिए, हैशिंग पासवर्ड और सभी महत्वपूर्ण जानकारी (जैसे कि क्रेडिट कार्ड) द्वारा, आप हैकर या व्यवस्थापक के लिए इसे वास्तव में कठिन बनाते हैं। और, मुझे लगता है कि पासवर्ड को सचमुच कभी नहीं लिखा जाना चाहिए। मेरा मतलब है, मैंने 2 साल से पासवर्ड इस्तेमाल किया है और मैंने इसे कभी नहीं लिखा है .. एक प्रशासक जो मुझे नहीं पता वह मेरा पासवर्ड देखना चाहिए?
सह-स्थान एक अच्छा उदाहरण है। यह आपका सर्वर है, लेकिन यह किसी और के डेटा सेंटर में बैठता है जहां किसी और के पास मशीन तक भौतिक पहुंच है। –
एक हैश पासवर्ड का उपयोग करके हमलावर को आपके ऐप में लॉग इन करने में सक्षम होने से रोकता है, भले ही वे हैश को जानते हों। आपका लॉगिन पेज मूल पासवर्ड मांगता है, इसलिए इसका उपयोग करके लॉग इन करने के लिए, उन्हें हैश को उलटना होगा (टकराव की गणना करें)। इंद्रधनुष तालिका का उपयोग करना, यह एमडी 5 के लिए काफी छोटा है, उदाहरण के लिए, जहां सल्टिंग आती है। तब हमलावर को पता होना चाहिए 1) जिस तरह से आप नमक और पासवर्ड को जोड़ते हैं (वहां ज्यादा सुरक्षा नहीं), 2) नमक (जो पहले से डीबी में होने की संभावना है) और 3) उन्हें पासवर्ड और नमक के प्रत्येक संयोजन के लिए उस मान की गणना करना है। यह सामान्य पासवर्ड की गणना करने और एक मैच की तलाश करने की तुलना में बहुत अधिक है।
मुख्य रूप से क्योंकि यह अच्छी तरह से करने के लिए लगभग छोटा है, और लाभ बहुत अधिक हो सकते हैं।
बेस्ट सुरक्षा प्रथाओं सुझाव देते हैं:
प्रत्येक खाते के लिए आपके पास एक विशिष्ट (userId, पासवर्ड) जोड़ी का उपयोग करना चाहिए। लेकिन ज्यादातर लोग कई संसाधनों के लिए एक जोड़ी का उपयोग करते हैं (ईमेल, बैंक, आदि)। एक हमलावर उन्हें एक संसाधन से चुरा सकता है और दूसरे का उपयोग करने के लिए उनका उपयोग कर सकता है। नमक — http://en.wikipedia.org/wiki/Salt_(cryptography) — इस प्रकार के हमले को रोकता है, के साथ पासवर्ड को हशिंग करना।
आपको अपने डेटाबेस में सभी संवेदनशील डेटा को एन्क्रिप्ट करना चाहिए, न केवल पासवर्ड। आपका मुद्दा है कि कोई आपके पूरे डीबी (या आपका सर्वर) चुरा सकता है पूरी तरह से मान्य है।
आपको अपने वेब सर्वर को अपने डेटाबेस और किसी अन्य बहुमूल्य संसाधन से अलग करना चाहिए, ताकि आप कम से कम मूल्यवान संपत्ति पर हमला कर सकें।
वहाँ व्यावसायिक कारणों से, पासवर्ड हैश करने के लिए भी हैं। याद रखें, हैशिंग का अर्थ है, आप अपने उपयोगकर्ताओं के पासवर्ड अपने उपकरणों पर कहीं भी स्टोर नहीं करते हैं।
कानून है कि लागू आधार पर, आप हो सकता है आवश्यक कुछ स्थितियों में यह करने के लिए।
यदि आपका डेटा चोरी हो गया है तो आप अपने जोखिम को बहुत कम कर देते हैं।
आप सोशल इंजीनियरिंग हमलों से सुरक्षित हैं, जिसमें एक हमलावर एक वैध उपयोगकर्ता का प्रतिरूपण करता है और एक कर्मचारी को पासवर्ड प्रकट करने के लिए एक कर्मचारी को कैजोल करता है। http://en.wikipedia.org/wiki/Social_engineering_(security) देखें।
एक हैकर पहुँच अपने डेटाबेस इसका मतलब यह नहीं है कि वह प्रक्रियात्मक कोड का उपयोग कर सकते, उन प्रक्रियाओं को हैक कर लिया डेटाबेस सीमाओं के बाहर डेटाबेस को बदल सकते हैं या समावेशी अन्य प्रक्रियाओं में परिवर्तन कर सकते हैं।
वैसे अब मैं तुम्हें कुछ पूछने के लिए जा: एक उपयोगकर्ता को हैक कर लिया गया है, तो और किसी ने उसके या उसके पासवर्ड, तुम कैसे स्पष्ट कर सकता हूँ कि आपके एप्लिकेशन की या सुरक्षा गलती नहीं है?
यदि आपके पास पासवर्ड संग्रहीत नहीं हैं तो आपके पास ऐसी उत्तरदायित्व नहीं है!
एक आवेदन विश्वविद्यालय में ग्रेड जानकारी दिखाने के लिए है, तो पासवर्ड के लिए होने का उपयोग आप उस व्यक्ति के लिए ग्रेड प्राप्त करने के लिए अनुमति देगा। यदि पासवर्ड आपको ऑनलाइन पाठ्यक्रम प्रणाली में लॉग इन करने की अनुमति देता है तो आप उस उपयोगकर्ता के रूप में परीक्षण जमा कर सकते हैं।
डेटा और भी अधिक संवेदनशील, क्रेडिट कार्ड नंबर या स्वास्थ्य रिकार्ड के रूप में ऐसी है, तो आप मुकदमों के लिए खुले हैं।
बाधाओं है कि और अधिक संवेदनशील जानकारी एक अधिक सुरक्षित सिस्टम पर हो सकता है मजबूत फ़ायरवॉल के पीछे, हैं, इसलिए वे प्रमाणीकरण डेटाबेस में हैकिंग से एक कमजोरी पाया है हो सकता है।
पासवर्ड hashing, तो उन है कि प्रमाणीकरण डेटाबेस के लिए उपयोग किया पासवर्ड नहीं देख सकते हैं और इसलिए एक अन्य उपयोगकर्ता के रूप बहुत ही संवेदनशील सिस्टम में लॉग इन करके।
पूरे LinkedIn"scandal" सभी लीक किए गए हैंड पासवर्ड के बारे में था।
मैं इसे देखना के रूप में, सुरक्षा डेटा पुनर्प्राप्ति असुविधाजनक बनाने के अलावा और कुछ के बारे में नहीं है।
और हम मतलब है कि यह आप गणना वर्ष की लाखों (यानी ही पासवर्ड पर लगता है कि लाखों साल के पैमाने पर ले जाएगा कोशिश कर सीपीयू) तक पहुँचने के लिए ले लेंगे आदर्श मामले में असुविधाजनक द्वारा।
यदि आप cleartext में पासवर्ड संग्रहीत करते हैं, तो पहुंचने के लिए कुल 0 गणना वर्ष लगते हैं। लिंक्डइन घोटाला बहुत खराब दिखता। आपको बस SELECT * FROM USERS
(इंजेक्शन या अंदरूनी सूत्र के माध्यम से) करना है।
लोग अक्सर पासवर्ड का पुनः उपयोग, इसलिए यदि लोगों को अपने पासवर्ड जानने के लिए, यह (न सिर्फ उनके लिंक्डइन, उदाहरण के लिए) का अर्थ है डेटा की एक पूरी दुनिया उन्हें सुलभ हो जाता है। तो यह एक बहुत ही व्यक्तिगत जोखिम बन जाता है। एक वेबमास्टर के रूप में यह अशिष्ट नहीं पासवर्ड तक कम से कम हैश है: आपको लगता है कि अपने उपयोगकर्ताओं के लिए बहुत सम्मान उनकी जानकारी को बचाने की कोशिश की बुनियादी कदम उठाने की जरूरत नहीं है।
यहां तक कि अगर टुकड़ों में बांटा पासवर्ड फटा जा सकता है, आप कम से कम अपने उपयोगकर्ताओं को सुरक्षित रखने न्यूनतम कदम बढ़ा रहे हैं।
वह पासवर्ड को डिक्रिप्ट कर सकते हैं, वह शायद अन्य साइटों पर आपके उपयोगकर्ता के खातों तक पहुँच के रूप में अच्छी तरह से (के रूप में, कितनी बार हम फिर से उपयोग करने के लिए पासवर्ड नहीं लोगों को बता, कोई फर्क नहीं पड़ता वे करते हैं) मिल सकता है। सादे टेक्स्ट पासवर्ड को संग्रहीत करना आपके सभी उपयोगकर्ताओं के पेपैल, ईबे & अमेज़ॅन खातों को दूर करने का एक अच्छा तरीका है।
- 1. मुझे ओपेरा के बारे में क्यों परवाह करना चाहिए?
- 2. मुझे HTML 5 के बारे में परवाह करना चाहिए?
- 3. मैं किस पासवर्ड हैशिंग विधि का उपयोग करना चाहिए?
- 4. स्प्राउटकोर क्या है और मुझे इसकी परवाह क्यों करनी चाहिए?
- 5. Node.js में पिछली कॉमा के बारे में क्यों परवाह है?
- 6. सिल्वरलाइट बनाम फ्लैश बनाम एचटीएमएल 5, मुझे परवाह करना चाहिए?
- 7. मुझे इकाई फ्रेमवर्क के बारे में परेशान क्यों होना चाहिए?
- 8. एमएस विजुअल सी ++: कॉलिंग सम्मेलनों का उपयोग करने के बारे में आपको कब परवाह करना चाहिए?
- 9. निर्भरता इंजेक्शन फ्रेमवर्क: मुझे परवाह क्यों है?
- 10. जावा में SHA2 पासवर्ड हैशिंग
- 11. क्या मुझे पासवर्ड में यूनिकोड का समर्थन करना चाहिए?
- 12. ब्लेंड ऐड [डी: लेआउटऑवर्राइड्स = "ऊंचाई"] क्यों जोड़ता है और मुझे परवाह करना चाहिए?
- 13. पासवर्ड हैशिंग एपीआई क्वेरी
- 14. पासवर्ड हैशिंग क्या है?
- 15. क्या मुझे पासवर्ड फ़ील्ड में रिक्त स्थान ट्रिम करना चाहिए
- 16. हैशिंग पासवर्ड के लिए डबल नमक?
- 17. मुझे फ्लेक्स का उपयोग क्यों करना चाहिए?
- 18. मुझे डिस्पैचर का उपयोग क्यों करना चाहिए?
- 19. पासवर्ड हैशिंग जावा और PHP
- 20. मुझे GET के बजाय डेटा पोस्ट क्यों करना चाहिए?
- 21. क्लाइंट ब्राउज़र पर पासवर्ड हैशिंग
- 22. मुझे एमएक्सएमएल का उपयोग क्यों करना चाहिए?
- 23. मुझे glbindAttribLocation का उपयोग क्यों करना चाहिए?
- 24. मुझे डोलॉल्स का उपयोग क्यों करना चाहिए?
- 25. मुझे मैन्युअल डबल बफरिंग क्यों करना चाहिए?
- 26. मुझे @properties का उपयोग क्यों करना चाहिए?
- 27. मुझे गिटिनोरोर का उपयोग क्यों करना चाहिए?
- 28. डबल हैशिंग पासवर्ड - ग्राहक और सर्वर
- 29. मुझे ईएमएफ का उपयोग क्यों करना चाहिए?
- 30. पोर्टेबल (PHPass) पासवर्ड हैश। क्या मुझे उनका इस्तेमाल करना चाहिए?
मैं सिर्फ एक सवाल का 11+ upvotes हो रही प्यार के बाद मैं पहले से ही दिन o_0 –
+1 के लिए मेरे प्रतिनिधि बाहर maxed है: काम के अंदर। पासवर्ड कभी स्टोर न करें। –
+1 जोएल को अधिक अपरिपक्व प्रतिनिधि के साथ टाटा करने के लिए। –