सबसे सुरक्षित संभव डिवाइस डिवाइस कॉन्फ़िगरेशन क्या है?

Question

मैं संवेदनशील जानकारी के साथ काम करने के लिए हमारी कंपनी में एक कर्मचारी-केवल रेल एप्लिकेशन स्थापित करना शुरू कर रहा हूं। फ़ायरवॉल, भौतिक सुरक्षा उपायों आदि होंगे। मेरी चिंता अभी आवेदन के लिए लॉगिन प्रक्रिया है।

मैं प्रमाणीकरण के लिए डेविस का उपयोग करना चाहता हूं। डेविस के लिए सबसे सुरक्षित संभव कॉन्फ़िगरेशन क्या है?

मैं सोच रहा हूँ मैं तो निम्न कार्य करें wil: विफल लॉगिन प्रयास की एक छोटी संख्या के बाद

• लॉक खातों
• उपयोग config.paranoid तो एक हमलावर अगर वे एक वैध अनुमान लगाया गया है नहीं बता सकता ईमेल पता
• शायद ईमेल द्वारा पासवर्ड रीसेट अक्षम करें?

विशिष्ट बातें मैं के अनिश्चित हूँ, इटैलिक में devise.rb से बोलियां साथ में से कुछ:

• पेपर्स। डेविस के पास का विकल्प है "एन्क्रिप्टेड पासवर्ड उत्पन्न करने के लिए एक काली मिर्च सेट करें।" मेरी समझ यह है कि यह एक एकल, ऐप-विशिष्ट मान है जो "पासवर्ड 123" जैसे पासवर्ड "पासवर्ड 123" (! @ Akdlwekdf "या" *%! Kd39gpassword123 "या जो भी पहले हैशिंग में बदलता है। इसका मतलब है इंद्रधनुष टेबल हमलों को विफल करना, लेकिन this article से मेरी समझ यह है कि यह प्रति-पासवर्ड अद्वितीय नमक के रूप में उतना अच्छा नहीं है। फिर फिर, this article और this paper कहता है कि बीसीआरपीटी में लवण होता है। क्या ब्रिप्रेट के साथ एक काली मिर्च का उपयोग वास्तव में कुछ भी जोड़ता है? क्या मैं , और वहाँ के लिए, यह भी एक नमक स्तंभ है किसी भी आवश्यकता है?
• हिस्सों। पर this question आधार पर "bcrypt के लिए, यह 10 पासवर्ड और चूक hashing के लिए लागत है", मैं के बारे में सोच रहा हूँ 12 के एक कार्य कारक का उपयोग कर। क्या यह उचित लगता है?
• पासवर्ड की लंबाई। एक लंबा पासवर्ड सामान्य रूप से अधिक सुरक्षित लगता है, लेकिन मैं नहीं चाहता कि यह इतना कठिन हो कि उपयोगकर्ता इसे कागज के टुकड़े पर कहीं लिखता है। यदि हम bcrypt का उपयोग कर रहे हैं तो क्या पासवर्ड की लंबाई बहुत अधिक है?
• एसएसएल कुकीज़। SSL सक्षम के साथ सार्वजनिक ऐप्स के लिए, कुकीज़ को चिह्नित करना "यह केवल HTTPS पर प्रसारित किया जा सकता है" Firesheep -स्टाइल हमलों के विरुद्ध सुरक्षा करता है। लेकिन मुझे यकीन नहीं है कि एक आंतरिक ऐप के लिए सुरक्षा प्रमाण पत्र कितना समझ में आता है। क्या वह मूर्ख है?

मुझे और क्या याद आ रहा है?

Answer 1

मिर्च: हाँ आप सही हैं। यदि आप नमक का उपयोग कर रहे हैं तो मिर्च के साथ बहुत अधिक सुरक्षा प्राप्त नहीं की जाती है।

: 12 उचित है, हालांकि bcrypt केवल स्थिर समय सुनिश्चित करता है। आपको नए स्क्रिप का उपयोग करने पर विचार करना चाहिए क्योंकि यह आपको निरंतर समय और उपयोग करने के लिए स्मृति की मात्रा दोनों निर्दिष्ट करने की अनुमति देता है। Cryptyograhpically bcrypt और scrypt एक ही के बारे में हैं, लेकिन scrypt क्रूर मजबूर मजबूर बनाता है।

पासवर्ड की लंबाई: किसी भी प्रकार के पासवर्ड नियमों को मजबूर करने से पासवर्ड की एन्ट्रॉपी कम हो जाती है। एकमात्र प्रतिबंध न्यूनतम लंबाई होना चाहिए और कई अध्ययनों ने कम से कम 8 वर्णों का सुझाव दिया है।

एसएसएल कुकीज़: यदि आप कर सकते हैं उन्हें का उपयोग करें। सुरक्षा हमेशा शुरुआत से बनाई जानी चाहिए और बाद में नहीं जोड़ा जाना चाहिए। आप कभी भी यह सुनिश्चित नहीं कर सकते कि कौन सा आंतरिक नेटवर्क आपको स्नीफ कर सकता है। सिर्फ इसलिए कि आप मानते हैं कि कोई बाहरी व्यक्ति डेटा को स्नीफ नहीं कर सकता है, इसका मतलब यह नहीं है कि कर्मचारियों के अंदर एक कारण या किसी अन्य कारण के लिए नहीं होगा। आपके कर्मचारियों को एक-दूसरे के साथ-साथ बाहरी खतरों से बचाने की ज़िम्मेदारी है।

Answer 2

पासवर्ड के लिए, आप https://github.com/bitzesty/devise_zxcvbn जो कमजोर एन्ट्रापी साथ पासवर्ड, और ज्ञात फटा पासवर्ड विरुद्ध जांच को खारिज कर दिया चेकआउट कर सकते हैं।