এনক্রিপ্ট করা পাসওয়ার্ডগুলি

পাসওয়ার্ডগুলি এনক্রিপ্ট করার সবচেয়ে দ্রুততম, নিরাপদ উপায় (পিএইচপি পছন্দের), এবং যার জন্য আপনি যে পদ্ধতি বেছেছেন তা পোর্টেবল?

অন্য কথায়, যদি আমি পরে আমার ওয়েবসাইটকে একটি ভিন্ন সার্ভারে স্থানান্তরিত করি তবে আমার পাসওয়ার্ডগুলি কাজ চালিয়ে যাবে?

আমি এখন যেভাবে ব্যবহার করছি সেটি হল সার্ভারে ইনস্টল করা লাইব্রেরির সঠিক সংস্করণগুলির উপর ভিত্তি করে।

0
যোগ সম্পাদিত
মতামত: 1
ওহ মানুষ! শুধু উল্লেখ করে যে আমাকে যেতে এবং বায়ু ধরান এবং একটি piranha ট্যাংক একটি গুচ্ছ সেট আপ করতে চান ...
যোগ লেখক gyurisc, উৎস

7 উত্তর

ইভিল জিনিয়াসের জন্য একটি অফিসিয়াল প্যাচ (অন্যদের মধ্যে ফাইলপ্ল্যান্টে পাওয়া যায়) আছে, কিন্তু এখানে একটি আনহোসিয়াল প্যাচও আছে: http://www.n1nj4.com/EvilPlanet/TheGame/mod_unofficialpatch.php যা অনেক পরিবর্তন যোগ করে।

3
যোগ

আমি অপরিহার্যতম দ্রুততম কিন্তু একটি ভাল ভারসাম্য খুঁজছেন না, সার্ভারের জন্য এই কোডটি উন্নত করা হচ্ছে এই কোড মোটামুটি ধীরে ধীরে হয়, যে পাসওয়ার্ডটি hashes এবং সংরক্ষণ করা স্ক্রিপ্ট চালানোর জন্য 5-6 সেকেন্ড গ্রহণ করা হয়, এবং আমি করেছি হ্যাশিং এর নিচে এটি সংকুচিত করা (যদি আমি হ্যাশিং আউট মন্তব্য করে, এটি 1-2 সেকেন্ডের মধ্যে রান)।

এটি সবচেয়ে নিরাপদ হতে হবে না, আমি একটি ব্যাংকের জন্য কোডিং করছি না (এখনই) কিন্তু আমি নিশ্চিত না পাসওয়ার্ডগুলি সাধারণ পাঠ হিসাবে সংরক্ষণ করবে।

0
যোগ
যদিও এটি বন্ধ করা আছে, আপনি এখনও হ্যাশ পাসওয়ার্ডগুলি সবচেয়ে নিরাপদভাবে সম্ভব হবে। Someeones ব্যাংক অ্যাকাউন্ট পাসওয়ার্ড পেতে সবচেয়ে সহজ উপায় কি? আপনি সাইন আপ মানুষ পেতে একটি দুর্দান্ত খুঁজছেন ওয়েবসাইট তৈরি করুন। অধিকাংশ লোক বিদ্যমান পাসওয়ার্ড ব্যবহার করবে এখন আপনি পাসওয়ার্ড একটি বিশাল তালিকা আছে। পয়েন্ট হচ্ছে, যদি আমি জানতাম এটি একটি দরিদ্র বাস্তবায়ন ছিল তাহলে আপনার সিস্টেম হ্যাক করা অন্য লোকেদের পাসওয়ার্ড পেতে দ্রুততম উপায় হবে।
যোগ লেখক Andrew T Finnell, উৎস

এটি উল্লেখ করা উচিত যে আপনি এনক্রিপ্ট পাসওয়ার্ড চাই না, আপনি এটি হ্যাশ করতে চান

এনক্রিপ্ট করা পাসওয়ার্ডগুলি ডিক্রিপ্ট করা যায়, যাতে কেউ পাসওয়ার্ডটি দেখতে দেয়। হ্যাশিং হল এক-পথ অপারেশন যাতে ব্যবহারকারীর মূল পাসওয়ার্ডটি (ক্রপোগ্রাফোগ্রাফি) চলে গেছে।


যে জন্য আলগোরিদিম আপনাকে নির্বাচন করা উচিত - বর্তমানে গৃহীত মান ব্যবহার করুন:

  • আপনি রয়েছে SHA-256 করুন

এবং যখন আপনি ব্যবহারকারীর পাসওয়ার্ডটি হ্যাশ করেছেন, এটিতে অন্য কিছু জাঙ্কের সাথে হ্যাশটিও নিশ্চিত করুন। উদাঃ .:

  • password: password1
  • salt: PasswordSaltDesignedForThisQuestion

ব্যবহারকারীর পাসওয়ার্ডে লবণ যোগ করুন:

String s = HashStringSHA256("password1PasswordSaltDesignedForThisQuestion");
0
যোগ
-1 SHA-256 একটি পাসওয়ার্ড হ্যাশিং ফাংশন নয় এবং এটি এই উদ্দেশ্যে সুরক্ষিত নয়। এটি এক অংশ (PBKDF2) হতে পারে, কিন্তু এটি সম্পূর্ণ ভিন্ন কিছু। এছাড়াও আপনার উদাহরণ বিভ্রান্তিকর, কারণ লবণ একটি চতুর শব্দ করা উচিত নয়, এটি একটি র্যান্ডম (প্রতি-ব্যবহারকারী) মান হওয়া উচিত।
যোগ লেখক Brendan Long, উৎস

আমি পিতরের সাথে আছি। বিকাশকারী পাসওয়ার্ডগুলি বোঝাচ্ছে না। আমরা সব বাছাই (এবং আমি এই খুব দোষী) MD5 বা SHA1 কারণ তারা দ্রুত হয়। এটা সম্পর্কে চিন্তা ('cuz সম্প্রতি আমার কাছে এটি ইঙ্গিত করে) যে কোন অর্থে তৈরি করা হয় না। আমরা একটি হ্যাশিং এলগরিদম বাছাই করা উচিত যে মূঢ় ধীর আমি বলতে চাচ্ছি, জিনিষ স্কেলে, একটি ব্যস্ত সাইট হ্যাশ পাসওয়ার্ড কি হবে? প্রতি 1/2 মিনিট? কে জানত যদি এটি 0.8 সেকেন্ড বনাম 0.03 সেকেন্ডের সার্ভারে নিয়ে যায়? কিন্তু যে সব ধরনের সাধারণ বর্বর-আক্রমনের আক্রমন প্রতিরোধ করার জন্য এই অতিরিক্ত ধীরতাটি বিশাল।

আমার পড়া থেকে, bcrypt বিশেষভাবে সুরক্ষিত পাসওয়ার্ড হ্যাশিং জন্য ডিজাইন করা হয়। এটা blowfish উপর ভিত্তি করে, এবং অনেক বাস্তবায়ন আছে।

For PHP, check out PHPPass http://www.openwall.com/phpass/

For anyone doing .NET, check out BCrypt.NET http://derekslager.com/blog/posts/2007/10/bcrypt-dotnet-strong-password-hashing-for-dotnet-and-mono.ashx

0
যোগ

যদি আপনি আপনার লগইন সিস্টেমের জন্য একটি এনক্রিপশন পদ্ধতি নির্বাচন করেন তবে গতি আপনার বন্ধু নয়, জেফ পাসওয়ার্ডগুলি সম্পর্কে টমাস প্যাটেসকে একটি অচলাবস্থা এবং উপসংহার আপনি slowest ব্যবহার করা উচিত ছিল , সবচেয়ে নিরাপদ এনক্রিপশন পদ্ধতি যা আপনি বহন করতে পারেন

টমাস প্যাটেসের ব্লগ থেকে:
  স্পীড ঠিক কি আপনি একটি পাসওয়ার্ড হ্যাশ ফাংশন চান না।

     

ক্রমবর্ধমান পাসওয়ার্ড ক্র্যাকারগুলির সাথে আধুনিক পাসওয়ার্ড স্কিমগুলি আক্রমণ করা হয়।

     

ক্রমবর্ধমান ক্র্যাকার সকল সম্ভাব্য ফাটল পাসওয়ার্ডকে যথাযথ মূল্যায়ন করে না। তারা প্রতিটি পাসওয়ার্ড হ্যাশকে পৃথকভাবে বিবেচনা করে এবং পাসওয়ার্ড হ্যাশ ফাংশন এর মাধ্যমে তাদের পিএইচপি লগইন পৃষ্ঠাটি একইভাবে ভাগ করে নেয়। ওফারক্যাকের মতো রেইনবো টেবিল ক্র্যাকার পাসওয়ার্ডগুলি আক্রমণ করার জন্য স্থান ব্যবহার করে; জন দ্য রিপার, ক্র্যাক এবং এলসি 5 এর সাথে ক্রমাগত ক্র্যাকারগুলি সময়ের সাথে কাজ করে: পরিসংখ্যান এবং গণনা।

     

পাসওয়ার্ড আক্রমণের খেলাটি পাসওয়ার্ড এক্স ক্র্যাক করার সময় স্কোর করা হয়। রেইনবো টেবিলের সাথে, সেই সময় আপনার টেবিলের কত বড় প্রয়োজন এবং কত দ্রুত আপনি এটি অনুসন্ধান করতে পারেন তা নির্ভর করে। ক্রমবর্ধমান ক্র্যাকার সহ, আপনি পাসওয়ার্ড হ্যাশ ফাংশন চালানোর জন্য কত দ্রুত তা নির্ভর করে।

     

আপনি আপনার পাসওয়ার্ড হ্যাশ ফাংশনটি অপটিমাইজ করতে পারেন, দ্রুত আপনার পাসওয়ার্ড হ্যাশ ফাংশন পায়, আপনার স্কীমটি দুর্বল। MD5 এবং SHA1, এমনকি DES মত প্রচলিত ব্লক সাইফার, দ্রুত হতে পরিকল্পিত হয়। MD5, SHA1, এবং DES দুর্বল পাসওয়ার্ড হ্যাশ। আধুনিক CPU- র উপর, ডিএএস এবং MD5 মত কাঁচা ক্রিপ্টো বিল্ডিং ব্লকগুলি bitsliced, vectorized, এবং পাসওয়ার্ড অনুসন্ধানগুলি বাজ দ্রুততর করতে প্যারালিলেস করা যায়। খেলা -ভার FPGA বাস্তবায়ন শুধুমাত্র শত শত ডলার খরচ। ?

0
যোগ

bcrypt ব্যবহার করতে বিবেচনা করুন এটি লারেলের মতো অনেক আধুনিক কাঠামোর মধ্যে ব্যবহার করা হয়।

0
যোগ

যাই হোক না কেন, আপনার নিজের এনক্রিপশন অ্যালগরিদম লিখুন না। এই কাজটি প্রায় নিশ্চিত করবে (যদি না আপনি একটি ক্রিপ্টোগ্রাফার হন) যে অ্যালগরিদম একটি ত্রুটি থাকবে যা ক্র্যাক করতে তুচ্ছ করবে।

0
যোগ
এমনকি যদি আপনি একটি ক্রিপ্টোগ্রাফার হন তবে এটি সম্ভবত একটি ত্রুটি থাকবে - একটি অ্যালগরিদম 'জনপ্রিয়' হওয়ার আগে এটি পর্যালোচনা বছর লাগে
যোগ লেখক Tom Ritter, উৎস
এটাই সত্যি. এবং ডন নুথ থেকে একই রকম একটি কাহিনী সম্পর্কে আমাকে স্মরণ করিয়ে দেয়: দীর্ঘদিন আগে তিনি একটি র্যান্ডম সংখ্যা জেনারেটর লিখতে চেষ্টা করেছিলেন এবং তিনি অনেক অপ্রচলিত অপারেশন হিসাবে একত্রিত করেছিলেন যে তিনি মনে করতে পারেন। অবশেষে তিনি এই স্মরণীয় সৃষ্টি দৌড়ে এবং এটি সংখ্যা 4 অনির্দিষ্টকালের জন্য আউটপুট। (বিবরণ retelling মধ্যে পরিবর্তন করা হয়েছে।)
যোগ লেখক ndkrempel, উৎস