जब हैश सुरक्षा पर चर्चा बनाम जानवर बल हम खाते में अधिक कुछ नहीं लेना चाहिए?
सबसे पहले, विश्वसनीय क्षेत्र में संग्रहीत md5 obfuscated डेटा है या नहीं। दूसरे शब्दों में, क्या हम अपने डीबी व्यवस्थापक पर भरोसा करते हैं कि डेटाबेस से उपयोगकर्ता पासवर्ड पढ़ने की कोशिश न करें और ब्रूट फोर्स उन्हें उलट दें। इसे कुछ सुरक्षा प्रक्रियाओं के माध्यम से विश्वसनीय या तकनीकी रूप से दिया जा सकता है (डीबी व्यवस्थापक को उस पासवर्ड तक पहुंच नहीं हो सकती है जो पासवर्ड हैश स्टोर करता है, यह केवल सुरक्षा अधिकारी के लिए सुलभ हो सकता है)।
किसी अन्य व्यक्ति को लॉगिन की संभावना है + पासवर्ड हैश जोड़ी क्लाइंट या क्लाइंट-सर्वर लेनदेन से अपहरण कर रहा है। यदि ग्राहक में कोई ट्रोजन घोड़ा नहीं है और क्लाइंट और सर्वर के बीच संचार टीएलएस-सुरक्षित है, तो जोड़ी मैन-इन-द-बीच हमलों से सुरक्षित होनी चाहिए।
हमलावर के लिए क्या बचा है (सोशल इंजीनियरिंग, एक्सएसएस और होस्टिंग सुरक्षा ब्रेक के अलावा) लॉगऑन सर्वर पर जेनरेट किए गए अनुरोधों की संख्या भेजकर देखें कि कोई सफल है या नहीं। दोनों सफल और असफल प्रवेश के बाद
- कुछ यादृच्छिक अंतराल समय से पहले सेवा जानवर बल प्रक्रिया
- प्रवेश प्रक्रिया को धीमा करने के एक ही आईपी और से समानांतर लॉगिन अनुरोध कतार सकता है प्रतिक्रिया करता है हो सकता है: यह भी नियंत्रित किया जा सकता एक ही लॉगिन नाम के साथ समानांतर लॉगिन (ऊपर शासन लागू करने के लिए)
- वहाँ असफल लॉगिन के लिए लागू किया सीमा के बाद यह पार हो गई है खाता लॉक है और सुरक्षा चेतावनी
शुरू की है मेरा मानना है कि जब हो सकता है उपरोक्त नियम लागू किए गए हैं md5 हैश पर्याप्त सुरक्षित है। असल में यह सादा पासवर्ड के समान ही सुरक्षित है :) अगर हम मानते हैं कि हमारा एमडी 5 हैश सुरक्षित है तो हम इसे सुलझाने के लिए पासवर्ड छोड़ सकते हैं। मोड़ आजकल एमडी 5 का कोई उपयोग नहीं है (पासवर्ड obfuscating के मामले में)। क्या करना चाहिए इसे विश्वसनीय क्षेत्र में भंडारण में सादा छोड़ दें या विश्वसनीय क्षेत्र को प्रबंधित नहीं होने पर कुछ मजबूत टूल (जैसे SHA) का उपयोग करें। और मेरी राय में भरोसेमंद जोन अभी भी सर्वर (होस्टिंग सेवा) सुरक्षा ब्रेक के जोखिम में है, इसलिए एसएए (या बेहतर) के साथ पासवर्ड को आसानी से खराब करने का कोई फर्क नहीं पड़ता :) यह पासवर्ड को सख्त करने के लिए महंगा नहीं होना चाहिए और यह कुछ लाभ लाता है (जोखिम कम करता है) इसलिए मेरी सलाह कभी भी इस चर्चा पर फिर से विचार नहीं करना है।
अभी भी एसएचए हैशिंग के साथ सभी बोले गए सुरक्षा नियमों को लागू किया जाना चाहिए। विशेष रूप से टीएलएस जो समझौता लॉगिन + पासवर्ड जोड़ी को रोकता है (कोई फर्क नहीं पड़ता कि पासवर्ड सादा भेजा गया है या एमडी 5 या शा के साथ धोया गया है, यह सफल लॉगिन सक्षम कर सकता है)। लॉगिन प्रयासों की निगरानी की जानी चाहिए। भले ही हम मानते हैं कि हमारी साइट क्रूर-बल-सबूत है, यह जानना अच्छा है कि कोई सुरक्षा को तोड़ने की कोशिश कर रहा है।
स्रोत
2016-10-27 06:12:34
आपको बहुत उपयोगी धन्यवाद – user2160949
यदि आपको यह उपयोगी लगता है, तो इसे वोट दें! मेरी प्रतिष्ठा के लिए नहीं (केवल), लेकिन उन लोगों के लिए जिनके पास एक ही सवाल है। –