1. घर
  2. सवाल और जवाब
  3. मुझे हैशिंग पासवर्ड के बारे में क्यों परवाह करना चाहिए?

मुझे हैशिंग पासवर्ड के बारे में क्यों परवाह करना चाहिए?

2008-11-13 13 views
18

यदि किसी हैकर को मेरे डीबी में हैश तक पहुंच है, तो उसे डीबी में बाकी की जानकारी तक पहुंच है। तो वह पासवर्ड को डिक्रिप्ट करने का प्रयास क्यों परेशान करेगा? क्या मुझे अपने शेष डेटा पर एक अलग सर्वर पर पासवर्ड संग्रहीत करना चाहिए? यही एकमात्र परिदृश्य है जिसमें मैं इसे उपयोगी होने की कल्पना कर सकता हूं।मुझे हैशिंग पासवर्ड के बारे में क्यों परवाह करना चाहिए?

स्रोत

2008-11-13 paulogrady

उत्तर

51

  1. कभी कभी एक हैकर आपके डीबी के लिए पूरा उपयोग नहीं मिलता है। कभी-कभी उन्हें थोड़ा एसक्यूएल इंजेक्शन होल या अन्य कमजोरी मिलती है जिसे किसी ने सही ढंग से कोड नहीं किया है, और इसलिए वे पहले ही सरल चीजें केवल एक ही समय में प्रिंट आउट डेटाबेस सेल की तरह ही कर सकते हैं। यदि वे एक असली पासवर्ड प्रिंट कर सकते हैं तो अचानक चीजें बहुत खराब हो जाती हैं।

  2. डेटाबेस आमतौर पर टेप तक बैक अप लेते हैं, और कभी-कभी उन टेप खो जाते हैं या यहां तक ​​कि फेंक दिया जाता है। अगर किसी हैकर को स्नैपशॉट तक पहुंच मिलती है तो वह आपके सिस्टम के बारे में बहुत कुछ सीख सकता है। लेकिन अगर पासवर्ड अभी भी धोए गए हैं तो वह कुछ दुर्भावनापूर्ण करने के लिए सिस्टम का उपयोग भी नहीं कर सकता है, जैसे किसी भिन्न उपयोगकर्ता के रूप में लॉग इन करना और चीजों को बदलना शुरू करना। इससे भी बदतर, अधिकांश उपयोगकर्ता कई प्रणालियों में एक या कुछ पासवर्ड रखते हैं। डंप में पुराना बैकअप टेप ढूंढना अन्य खातों के लिए एक सोनामाइन हो सकता है, भले ही टेप एक निष्क्रिय प्रणाली के लिए हो। उचित रूप से पासवर्ड इसके खिलाफ सुरक्षा है।

  3. मैंने सुना है कि अधिकांश हैक एक अंदरूनी नौकरी हैं। उन लोगों के लिए भी क्षमता को दूर करने के लिए बेहतर है जिन्हें आप दूसरों के रूप में लॉग इन करने के लिए भरोसा करते हैं।

आपको लगता है बात इस तरह का, ऐसा नहीं होता है reddit पर लोगों से बात जाएँ।

स्रोत

2008-11-13 17:30:53

+0

मैं सिर्फ एक सवाल का 11+ upvotes हो रही प्यार के बाद मैं पहले से ही दिन o_0 –

+1

+1 के लिए मेरे प्रतिनिधि बाहर maxed है: काम के अंदर। पासवर्ड कभी स्टोर न करें। –

+3

+1 जोएल को अधिक अपरिपक्व प्रतिनिधि के साथ टाटा करने के लिए। –

33

  1. लोग अक्सर अन्य वेबसाइटों पर विभिन्न खातों के लिए समान उपयोगकर्ता नाम/पासवर्ड का उपयोग करते हैं (उदाहरण के लिए, बैंक खातों में ऑनलाइन पहुंच सहित)।

  2. एक बार जब आप इस हैक की खोज कर चुके हैं और अपना डेटाबेस सुरक्षित कर लिया है, तो हैकर के पास अभी भी आपके उपयोगकर्ता के खातों में लॉगिन करने की क्षमता होगी।

स्रोत

2008-11-13 17:31:34 Cybis

3

क्योंकि यदि आपके पास डेटा तक पहुंच है, तो आवेदन करने तक पहुंच वास्तव में अधिक महत्वपूर्ण है। आवेदन, उदाहरण के लिए, डेटा में हेरफेर करना अधिक आसान बनाता है।

पासवर्ड को धक्का देना सभी आंखों से आकस्मिक एक्सपोजर को रोकता है।

उदाहरण के लिए, आपके पास कई साइटों पर एक ही पासवर्ड हो सकता है। डीबी में एक त्वरित नज़र न केवल आपके आवेदन से समझौता करता है, बल्कि शायद कई अन्य।

यह आपके पास पासवर्ड हैश करने के लिए यह एक अच्छा, ठोस अभ्यास है।

स्रोत

2008-11-13 17:32:15

+0

मैं असहमत हूं। लाइव डेटाबेस तक पहुंचने के लिए बहुत अधिक खतरनाक है। कम से कम आवेदन के माध्यम से आप अपने व्यापार नियमों तक ही सीमित हैं।संभवतः एप्लिकेशन आपको डीआरओपी टेबलों की अनुमति नहीं देगा, उदाहरण के लिए, और आप समझौता किए गए उपयोगकर्ता खातों को लॉकआउट कर सकते हैं। – Cybis

4

मैं अपने डेटा के आराम करने के लिए एक अलग सर्वर पर पासवर्ड संग्रहीत किया जाना चाहिए?

इससे आपके सिस्टम में जटिलता बढ़ जाती है, लेकिन अगर ऐसा कुछ है तो आप निश्चित रूप से एक सुधार कर सकते हैं।

ध्यान दें कि प्रमाणीकरण सर्वर जैसे कि केर्बेरोस, रैडियस, या विंडोज डोमेन प्रमाणीकरण का उपयोग करके प्रभावी रूप से आपको किसी अन्य सर्वर पर पासवर्ड डाल दिया जाता है।

स्रोत

2008-11-13 17:34:32

+0

चलो ओपनिड को न भूलें;) –

2

कभी-कभी, आप नहीं जानते कि सिस्टम प्रशासक कौन होगा।आप अभी भी अपने उपयोगकर्ताओं से उनकी रक्षा करना चाहते हैं .. इसलिए, हैशिंग पासवर्ड और सभी महत्वपूर्ण जानकारी (जैसे कि क्रेडिट कार्ड) द्वारा, आप हैकर या व्यवस्थापक के लिए इसे वास्तव में कठिन बनाते हैं। और, मुझे लगता है कि पासवर्ड को सचमुच कभी नहीं लिखा जाना चाहिए। मेरा मतलब है, मैंने 2 साल से पासवर्ड इस्तेमाल किया है और मैंने इसे कभी नहीं लिखा है .. एक प्रशासक जो मुझे नहीं पता वह मेरा पासवर्ड देखना चाहिए?

स्रोत

2008-11-13 17:42:39 user35978

+0

सह-स्थान एक अच्छा उदाहरण है। यह आपका सर्वर है, लेकिन यह किसी और के डेटा सेंटर में बैठता है जहां किसी और के पास मशीन तक भौतिक पहुंच है। –

1

एक हैश पासवर्ड का उपयोग करके हमलावर को आपके ऐप में लॉग इन करने में सक्षम होने से रोकता है, भले ही वे हैश को जानते हों। आपका लॉगिन पेज मूल पासवर्ड मांगता है, इसलिए इसका उपयोग करके लॉग इन करने के लिए, उन्हें हैश को उलटना होगा (टकराव की गणना करें)। इंद्रधनुष तालिका का उपयोग करना, यह एमडी 5 के लिए काफी छोटा है, उदाहरण के लिए, जहां सल्टिंग आती है। तब हमलावर को पता होना चाहिए 1) जिस तरह से आप नमक और पासवर्ड को जोड़ते हैं (वहां ज्यादा सुरक्षा नहीं), 2) नमक (जो पहले से डीबी में होने की संभावना है) और 3) उन्हें पासवर्ड और नमक के प्रत्येक संयोजन के लिए उस मान की गणना करना है। यह सामान्य पासवर्ड की गणना करने और एक मैच की तलाश करने की तुलना में बहुत अधिक है।

स्रोत

2008-11-13 17:49:55 rmeador

3

मुख्य रूप से क्योंकि यह अच्छी तरह से करने के लिए लगभग छोटा है, और लाभ बहुत अधिक हो सकते हैं।

स्रोत

2008-11-13 17:53:17

9

बेस्ट सुरक्षा प्रथाओं सुझाव देते हैं:

  • प्रत्येक खाते के लिए आपके पास एक विशिष्ट (userId, पासवर्ड) जोड़ी का उपयोग करना चाहिए। लेकिन ज्यादातर लोग कई संसाधनों के लिए एक जोड़ी का उपयोग करते हैं (ईमेल, बैंक, आदि)। एक हमलावर उन्हें एक संसाधन से चुरा सकता है और दूसरे का उपयोग करने के लिए उनका उपयोग कर सकता है। नमकhttp://en.wikipedia.org/wiki/Salt_(cryptography) — इस प्रकार के हमले को रोकता है, के साथ पासवर्ड को हशिंग करना।

  • आपको अपने डेटाबेस में सभी संवेदनशील डेटा को एन्क्रिप्ट करना चाहिए, न केवल पासवर्ड। आपका मुद्दा है कि कोई आपके पूरे डीबी (या आपका सर्वर) चुरा सकता है पूरी तरह से मान्य है।

  • आपको अपने वेब सर्वर को अपने डेटाबेस और किसी अन्य बहुमूल्य संसाधन से अलग करना चाहिए, ताकि आप कम से कम मूल्यवान संपत्ति पर हमला कर सकें।

वहाँ व्यावसायिक कारणों से, पासवर्ड हैश करने के लिए भी हैं। याद रखें, हैशिंग का अर्थ है, आप अपने उपयोगकर्ताओं के पासवर्ड अपने उपकरणों पर कहीं भी स्टोर नहीं करते हैं।

  • कानून है कि लागू आधार पर, आप हो सकता है आवश्यक कुछ स्थितियों में यह करने के लिए।

  • यदि आपका डेटा चोरी हो गया है तो आप अपने जोखिम को बहुत कम कर देते हैं।

  • आप सोशल इंजीनियरिंग हमलों से सुरक्षित हैं, जिसमें एक हमलावर एक वैध उपयोगकर्ता का प्रतिरूपण करता है और एक कर्मचारी को पासवर्ड प्रकट करने के लिए एक कर्मचारी को कैजोल करता है। http://en.wikipedia.org/wiki/Social_engineering_(security) देखें।

स्रोत

2008-11-14 02:39:59

0

एक हैकर पहुँच अपने डेटाबेस इसका मतलब यह नहीं है कि वह प्रक्रियात्मक कोड का उपयोग कर सकते, उन प्रक्रियाओं को हैक कर लिया डेटाबेस सीमाओं के बाहर डेटाबेस को बदल सकते हैं या समावेशी अन्य प्रक्रियाओं में परिवर्तन कर सकते हैं।

वैसे अब मैं तुम्हें कुछ पूछने के लिए जा: एक उपयोगकर्ता को हैक कर लिया गया है, तो और किसी ने उसके या उसके पासवर्ड, तुम कैसे स्पष्ट कर सकता हूँ कि आपके एप्लिकेशन की या सुरक्षा गलती नहीं है?

यदि आपके पास पासवर्ड संग्रहीत नहीं हैं तो आपके पास ऐसी उत्तरदायित्व नहीं है!

स्रोत

2009-04-22 04:26:52 backslash17

0

एक आवेदन विश्वविद्यालय में ग्रेड जानकारी दिखाने के लिए है, तो पासवर्ड के लिए होने का उपयोग आप उस व्यक्ति के लिए ग्रेड प्राप्त करने के लिए अनुमति देगा। यदि पासवर्ड आपको ऑनलाइन पाठ्यक्रम प्रणाली में लॉग इन करने की अनुमति देता है तो आप उस उपयोगकर्ता के रूप में परीक्षण जमा कर सकते हैं।

डेटा और भी अधिक संवेदनशील, क्रेडिट कार्ड नंबर या स्वास्थ्य रिकार्ड के रूप में ऐसी है, तो आप मुकदमों के लिए खुले हैं।

बाधाओं है कि और अधिक संवेदनशील जानकारी एक अधिक सुरक्षित सिस्टम पर हो सकता है मजबूत फ़ायरवॉल के पीछे, हैं, इसलिए वे प्रमाणीकरण डेटाबेस में हैकिंग से एक कमजोरी पाया है हो सकता है।

पासवर्ड hashing, तो उन है कि प्रमाणीकरण डेटाबेस के लिए उपयोग किया पासवर्ड नहीं देख सकते हैं और इसलिए एक अन्य उपयोगकर्ता के रूप बहुत ही संवेदनशील सिस्टम में लॉग इन करके।

स्रोत

2009-04-22 04:40:36

0

पूरे LinkedIn"scandal" सभी लीक किए गए हैंड पासवर्ड के बारे में था।

मैं इसे देखना के रूप में, सुरक्षा डेटा पुनर्प्राप्ति असुविधाजनक बनाने के अलावा और कुछ के बारे में नहीं है।

और हम मतलब है कि यह आप गणना वर्ष की लाखों (यानी ही पासवर्ड पर लगता है कि लाखों साल के पैमाने पर ले जाएगा कोशिश कर सीपीयू) तक पहुँचने के लिए ले लेंगे आदर्श मामले में असुविधाजनक द्वारा।

यदि आप cleartext में पासवर्ड संग्रहीत करते हैं, तो पहुंचने के लिए कुल 0 गणना वर्ष लगते हैं। लिंक्डइन घोटाला बहुत खराब दिखता। आपको बस SELECT * FROM USERS (इंजेक्शन या अंदरूनी सूत्र के माध्यम से) करना है।

लोग अक्सर पासवर्ड का पुनः उपयोग, इसलिए यदि लोगों को अपने पासवर्ड जानने के लिए, यह (न सिर्फ उनके लिंक्डइन, उदाहरण के लिए) का अर्थ है डेटा की एक पूरी दुनिया उन्हें सुलभ हो जाता है। तो यह एक बहुत ही व्यक्तिगत जोखिम बन जाता है। एक वेबमास्टर के रूप में यह अशिष्ट नहीं पासवर्ड तक कम से कम हैश है: आपको लगता है कि अपने उपयोगकर्ताओं के लिए बहुत सम्मान उनकी जानकारी को बचाने की कोशिश की बुनियादी कदम उठाने की जरूरत नहीं है।

यहां तक ​​कि अगर टुकड़ों में बांटा पासवर्ड फटा जा सकता है, आप कम से कम अपने उपयोगकर्ताओं को सुरक्षित रखने न्यूनतम कदम बढ़ा रहे हैं।

स्रोत

2013-04-21 16:26:10 bobobobo

-1

वह पासवर्ड को डिक्रिप्ट कर सकते हैं, वह शायद अन्य साइटों पर आपके उपयोगकर्ता के खातों तक पहुँच के रूप में अच्छी तरह से (के रूप में, कितनी बार हम फिर से उपयोग करने के लिए पासवर्ड नहीं लोगों को बता, कोई फर्क नहीं पड़ता वे करते हैं) मिल सकता है। सादे टेक्स्ट पासवर्ड को संग्रहीत करना आपके सभी उपयोगकर्ताओं के पेपैल, ईबे & अमेज़ॅन खातों को दूर करने का एक अच्छा तरीका है।

स्रोत

2013-04-22 16:50:58

संबंधित मुद्दे

 संबंधित मुद्दे