1. घर
  2. सवाल और जवाब
  3. आप कभी भी डेटाबेस में एक सादे-पाठ या एन्क्रिप्टेड (नहीं धोया गया) पासवर्ड क्यों स्टोर करना चाहते हैं?

आप कभी भी डेटाबेस में एक सादे-पाठ या एन्क्रिप्टेड (नहीं धोया गया) पासवर्ड क्यों स्टोर करना चाहते हैं?

2010-09-16 8 views
5

मैंने डेटाबेस में हैश किए गए पासवर्ड संग्रहीत करने के कुछ कारणों को सुना है। हालांकि, सादे पाठ या एन्क्रिप्टेड के रूप में पासवर्ड स्टोर करने के लिए प्रमाणीकरण API में लगभग हमेशा विकल्प होते हैं।आप कभी भी डेटाबेस में एक सादे-पाठ या एन्क्रिप्टेड (नहीं धोया गया) पासवर्ड क्यों स्टोर करना चाहते हैं?

क्या कोई कारण है कि आप पासवर्ड को सादे पाठ के रूप में स्टोर करना चाहते हैं या डेटाबेस में एन्क्रिप्टेड करना चाहते हैं?

नोट स्पष्ट मुझे पता है कि भंडारण गैर टुकड़ों में बंटी पासवर्ड लगभग हमेशा बुरा कर रहे हैं (जैसा कि मैंने वैसे भी पता है जहाँ तक) होने के लिए। मेरा प्रश्न कारण है कि अधिकांश प्रमाणीकरण एपीआई के रूप में एन्क्रिप्टेड या सादे पासवर्ड स्टोर करने के लिए विकल्पों में शामिल हैं करते हैं पाठ।

स्रोत

2010-09-16 Earlz

+0

अत्यधिक खराब ग्राहक आवश्यकताएं यही कारण है कि मैं सोच सकता हूं। –

+3

इसके लिए कोई अच्छा कारण नहीं है। कभी। वेबसाइट पर भूल गए पासवर्ड फॉर्म जमा करने और अपना पासवर्ड ईमेल करने से भी कुछ भी बुरा नहीं है। ओह। –

+0

अर्लज़ - स्पष्टीकरण के लिए, आप पूछ रहे हैं कि क्यों कनेक्शन स्ट्रिंग सादा पाठ पासवर्ड, या आईआईएस प्रमाणीकरण की अनुमति देते हैं? क्यों नहीं प्रोग्रामर इसे कर सकते हैं (अगर वे बेहतर जानते हैं)? – Kobi

उत्तर

6

एकमात्र असली कारण है जिसके बारे में मैं सोच सकता हूं कि डेटाबेस एक ऐसे सिस्टम से संबंधित है जो स्वयं वास्तविक एप्लिकेशन को लक्षित कर रहा है। जैसे आपके पास ऐसे प्रोग्राम हैं जो आपके लिए कुछ लॉग इन करते हैं (ईमेल क्लाइंट, इंस्टेंट मैसेजिंग क्लाइंट इत्यादि)।उन सभी को पासवर्ड प्राप्त करने के लिए पुनर्प्राप्ति योग्य तरीके से पासवर्ड स्टोर करना होगा, क्योंकि लक्षित एप्लिकेशन वास्तविक उपयोगकर्ता और उपयोगकर्ता के बीच के माध्यम से उपयोगकर्ता का निर्णय नहीं लेगा। वास्तव में इस बिंदु पर OAuth और alikes हालांकि उपयोगकर्ता के पासवर्ड को सहेजने के लिए बनाए जाते हैं।

स्रोत

2010-09-16 07:06:05 poke

1

भले ही आप अपने डेटाबेस की सुरक्षा के बारे में निश्चित हैं, फिर भी आपके उपयोगकर्ता के पासवर्ड सभी प्रशासकों के लिए अभी भी पहुंच योग्य हैं।

यह समझना बेहद जरूरी है कि पासवर्ड एन्क्रिप्शन आपकी वेबसाइट की रक्षा नहीं करेगा, यह केवल आपके पासवर्ड की रक्षा कर सकता है।

यदि आपकी वेबसाइट में पर्याप्त सुरक्षा नहीं है, तो पासवर्ड एन्क्रिप्शन इसे क्रैकिंग से सुरक्षित नहीं बनाएगा। यदि आपका सिस्टम क्रैक हो गया है, तो एक हैकर इसे अपरिवर्तनीय क्षति पहुंचा सकता है और पासवर्ड डेटाबेस सहित गोपनीय जानकारी तक पहुंच प्राप्त कर सकता है। लेकिन अगर आप इस जानकारी को एन्क्रिप्टेड स्टोर करते हैं, तो हैकर्स व्यावहारिक रूप से इसका उपयोग नहीं कर सकते हैं। एन्क्रिप्टेड पासवर्ड को क्रैक करने से आज के कंप्यूटर पर भी बड़ी मात्रा में समय और प्रसंस्करण शक्ति होती है।

स्रोत

2010-09-16 06:55:13 Oyeme

+2

इस तरह के उत्तर के विपरीत जवाब;) –

5

शायद आप एक हैकर हैं, और उन्हें उपयोग या बेचना चाहते हैं? It'll be hilarious the first few times this happens.

स्रोत

2010-09-16 06:56:35 Kobi

+1

+1 हाल ही में XKCD –

+0

+1 को संदर्भित करने के लिए एक बहुत हालिया XKCD – Earlz

6

एक कारण मैं सोच सकता हूं कि पासवर्ड रिकवरी विकल्प की अनुमति देना है। उस पासवर्ड को पुनर्प्राप्त करने का कोई तरीका नहीं है जिसे सिस्टम नहीं जानता है।

बेशक विकल्प सिस्टम के लिए बस कुछ नया पासवर्ड रीसेट करने और आपको नया पासवर्ड भेजने का विकल्प है।

स्रोत

2010-09-16 06:56:36

+1

संदर्भित करने के लिए पासवर्ड को रीसेट करना अधिक बचत विकल्प होना चाहिए। –

+0

सहमत हुए। यह एकमात्र कारण था जिसे मैं सोच सकता था, हालांकि, पासवर्ड हैश नहीं है। –

+1

कभी-कभी पुराने पासवर्ड को पुनर्प्राप्त करना कुछ वेबसाइटों पर ठीक है –

0

बेशक, आप अपने पासवर्ड में सभी पासवर्ड को सादे पाठ के रूप में स्टोर कर सकते हैं (उदा। डेटाबेस)। लेकिन इसकी अनुशंसा नहीं की जाती है। अगर कोई आपके सर्वर को हैक करने का प्रबंधन करता है और डेटाबेस से आपका डेटा प्राप्त करता है तो उसे भी हर पासवर्ड मिल जाता है। यहां तक ​​कि एमडी 5 जैसी सामान्य विधियों के साथ एक पासवर्ड धोया गया है, इस मामले में काफी बचत नहीं है। चूंकि इंद्रधनुष-टेबल हैं (इसके लिए Google पर खोजें), पासवर्ड देखने के लिए।

तो मैं नमकीन पासवर्ड स्टोर करने की सलाह देता हूं। मुझे नहीं पता कि आप कभी भी अपने पासवर्ड को सादे पाठ के रूप में क्यों स्टोर करेंगे। मैं यह नहीं करूँगा :)

स्रोत

2010-09-16 06:56:37

0

एक कारण, बाहरी सेवा के लिए पासवर्ड को स्वत: पुन: उपयोग करने का एक कारण हो सकता है।

यदि मैं अपने जीमेल खाते को अन्य गैर-Google ई-मेल प्रदाता से अपना ई-मेल पुनर्प्राप्त करने के लिए कॉन्फ़िगर करता हूं तो मुझे अपना पासवर्ड देना होगा और Google को यह मेल मेरे जीमेल खाते में प्राप्त करने के लिए स्पष्ट रूप से होना चाहिए।

यह स्पष्ट रूप से प्राथमिक सेवा के समान पासवर्ड नहीं है, लेकिन यह वैसे भी "प्रकार का पासवर्ड" है।

स्रोत

2010-09-16 07:03:58 PeterMmm

+0

अच्छा बिंदु, लेकिन इस मामले में प्रदाता * ए * पासवर्ड संग्रहीत कर रहा है, न कि अपना पासवर्ड। – Kobi

+1

ओएथ इस उपयोग के मामले का समर्थन करने के लिए है, और धीरे-धीरे लोकप्रियता प्राप्त कर रहा है। –

0

एकमात्र 'अच्छा' कारण मैं सोच सकता हूं कि ग्राहक आपको ऐप या आपके प्रबंधक को विकसित करने के लिए भुगतान कर रहा है। मैं किसी भी तकनीकी इसके कारणों के बारे में सोच नहीं सकता।

स्रोत

2010-09-16 07:07:58 GrandmasterB

1

1) चुनौती-प्रतिक्रिया प्रमाणीकरण प्रोटोकॉल के अधिकांश सर्वर को सादे टेक्स्ट पासवर्ड जानने के लिए आवश्यक है। अपवाद हैं, लेकिन वे लागू करने के लिए अलोकप्रिय और कठिन हैं।

2) पासवर्ड संग्रहीत करने से पासवर्ड रिकवरी की अनुमति मिलती है।

स्रोत

2010-09-16 08:24:28 blaze

+0

यह सटीक शून्य ज्ञान पासवर्ड सबूत सिस्टम अधिक लोकप्रिय नहीं हैं। – Jacco

1

मैं निम्नलिखित तर्क कई बार सामना करना पड़ा:

प्लेन पासवर्ड भंडारण एक उपयोगकर्ता एक नंबर बढ़ाने तक यानी एक पुराने पासवर्ड के पास कुछ करने के लिए अपने पासवर्ड बदल जाता है जब आप पता लगाने के लिए अनुमति देता है, एक '1' उन्होंने कहा, या किसी अन्य कम सशर्त-एन्ट्रॉपी अद्यतन विधि द्वारा।

कोई भी उस तर्क को सादे टेक्स्ट पासवर्ड संग्रहीत करने के लिए एक अच्छे कारण के रूप में नहीं लेना चाहिए - यह कई कारणों से गुमराह है।

स्रोत

2010-09-17 05:29:15

संबंधित मुद्दे

 संबंधित मुद्दे