الرابط الضعيف الأمن
https://stackoverflow.com/questions/1759809
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لقد قرأت الكثير من المعلومات حول كلمات مرور التجزئة والتمليح ، لا تفعل ، وما إلى ذلك. المشكلة التي أراها هي: إذا كان المتسلل سوف يمر بجهود سرقة قائمة كلمات مرور التجزئة ، أليس كذلك ثم يمكنك الوصول إلى جميع البيانات المحمية بكلمة المرور؟ إنه مثل تخزين المجموعة لآمنة ، في الامان. اقتحام وسرقة المزيج. لو كنت اللص ، فسأخذ المال.
الآن شركة كبيرة ربما لديها خادم منفصل فقط للمصادقة. ومع ذلك ، يريد المتسلل البيانات ، وليس كلمات المرور. لذلك إذا كان كلا الخادمين متساويين ، فسأقتحم تلك التي تحمل البيانات.
هل هناك بعض العيوب الأساسية لأمن الكمبيوتر الذي أفتقده هنا؟ هل هناك طرق غير اجتماعية لكسر كلمة المرور بدون ملف التجزئة؟
شكرا لمساعدتك.
-ديف
المحلول
أنت تفترض أن هذا الشخص لديه حق الوصول إلى قاعدة البيانات بأكملها. هذا ليس هو الحال دائما. ربما يكون قد تعثروا على صفحة تتعرض فيها التجزئة بطريق الخطأ للمستخدمين (وبالتالي لا يمكنهم الوصول إلى أجزاء أخرى من DB) ، أو ربما استخدموا حقن SQL لسحب بيانات معينة بطريقة محدودة (على سبيل المثال ، ربما اكتشفوا أن جدول المستخدمين الخاص بك يسمى users, ، ولكن ليس أن جدول بطاقات الائتمان الخاص بك يسمى lolcats).
ومن اعتبار أمنية آخر هو أهل تكنولوجيا المعلومات الداخلي الخاص بك. لا يزال يتعين على المطورين الذين لديهم وصول شرعي إلى قاعدة البيانات عمومًا رؤية كلمات مرور الجميع في نص عادي.
نصائح أخرى
أحد الأسباب هو أن معظم المستخدمين لديهم نفس كلمة المرور لحسابات متعددة. كلمة مرور غير مثبتة تعني أن حساباتي على مواقع أخرى قد تتعرض للخطر - خاصة وأن البريد الإلكتروني هو حقل شائع لتسجيل الدخول. من خلال تجزئة كلمات المرور ، إذا سرقت موقع واحد من ديسيبل ، فأنا محمي من تعرض حساب البريد الإلكتروني الخاص بي في نفس الوقت.
سيقوم معظم المستخدمين بإعادة استخدام كلمات المرور عبر أنظمة متعددة. إذا اقتحم المهاجم نظامك ، فأنت لا تريد أن يكون قادرًا على استخدام بياناتك لاقتحام حسابات المستخدمين على مواقع الويب المختلفة.
أيضًا ، إذا قمت بتشفير البيانات باستخدام كلمة مرور المستخدم ، وقم بتخزين علامة المرور فقط من كلمة المرور ، فلن يتمكن المهاجم من فعل أي شيء حتى لو حصل على قاعدة بياناتك بالكامل ما لم يتمكن من كسر التجزئة. لاحظ أن هذا سيجعل من المستحيل تمامًا تنفيذ ميزة "نسيت كلمة المرور" إلا إذا كان لديك طريقة لفك تشفير البيانات باستخدام إجابة الأمان (مما يجعلها في الواقع كلمة مرور ثانية)
