سناریو 1 - ذخیره پسورد کاربران و اعتبارسنجی آن در نرم افزار اتوماسیون اداری

[Behrouz_Rad]

به نظر شما چه فاکتورهایی میتواند برای تمیز دادن یک پسورد Strong از یک پسورد Weak مورد استفاده قرار گیرد؟لطفا" نظرات خود را در این خصوص بیان نمایید ،/

طبق تحقیقات شرکت مک آفی مشخص شد که شکستن کلیدهای طولانی اما ساده، بیشتر از کلیدهای پیچیده اما کوتاه زمان بر هست!
پس کلیدهای طولانی و پیچیده بیشترین بازدهی رو دارند.

موفق باشید.

[علیرضا مداح]

در بحث Password Strength ، فاکتورهای زیر میتوانند مورد بحث قرار گیرند :
1)حداقل طول پسورد ،
2)Case-Sensitive بودن پسورد ،
3)تعیین گروه کاراکترها که حتما" باید پسورد شامل عضوی از آنها شود ،
4)حداقل تعداد کاراکتر از هر گروه که باید پسورد شامل آن شود ،
5)تعیین کاراکترهای غیرمجاز یا مجاز ،
6)محدودیت استفاده از نام کاربری به عنوان بخشی از پسورد ،
7)محدودیت استفاده از پسورد قبلی به عنوان بخشی از پسورد جدید به هنگام تغییر پسورد ،
7)...

[razavi_university]

کمی دیر متوجه این بحث شدم
پس ببخشید کمی عقبم!

نظر دوستان در مورد نگهداری دو پسورد چیست؟
هر پسورد برای کاری خاص، تقریبا مشابه دستگاههای ATM بانکها که اگه پسورد رو برعکس بزنی حالت امنیتی اون فعال میشه و ...
البته شاید کمی این حالت امنیت اغراق آمیز باشه ولی بستگی داره این سیستم ما در کجا و برای چه کاری استفاده می شود.

[علیرضا مداح]

هر پسورد برای کاری خاص، تقریبا مشابه دستگاههای ATM بانکها که اگه پسورد رو برعکس بزنی حالت امنیتی اون فعال میشه و ...
البته شاید کمی این حالت امنیت اغراق آمیز باشه ولی بستگی داره این سیستم ما در کجا و برای چه کاری استفاده می شود.

ایده خوبیست ، اما باید دید که آیا این روش در سیستم مورد نظر کارایی دارد یا خیر . در صورتی هم که رابطه ای خاص بین دو پسورد مانند مورد ذکر شده وجود داشته باشد و همگان از آن مطلع باشند ، هنگامیکه نفوذگر به یک پسورد دست پیدا کند در واقع به پسورد دیگر نیز دست پیدا کرده است ،
این حالت چندان هم اغراق آمیز نیست ، در بعضی موارد که یک سیستم متشکل از چند Sub-System میباشد ، میتوان برای ورود به هر سیستم پسوردی جداگانه برای کاربران در نظر گرفت ، اما به هر حال ایده ایست که در موارد خاص پیاده سازی میشود ،

در حال حاضر نظرات خود را در رابطه با مباحث مطرح شده در پست 42 که در مورد Password Stength میباشد ، مطرح نمایید ،/

پ.ن : به دوستانی که به تازگی به بحث می پیوندند خوش آمد میگویم ،/

[jaza_sa]

3)تعیین گروه کاراکترها که حتما" باید پسورد شامل عضوی از آنها شود ،

که میتونه شامل عدد ، کاراکترهای خاص و حروف باشه

[mohammed]

در بحث Password Strength ، فاکتورهای زیر میتوانند مورد بحث قرار گیرند : ....

سلام

به نظر من Password Strength چیز لازمی است اما باید بسیار ضعیفتر از آنچه مسوولین شبکه ها درخواست می کنند باشد. بطور مثال وضعیت پیش فرض Windows Server در این مساله را نگاه کنید.

ترکیبی از حرف کوچک، حرف بزرگ و عدد یا علامت و حداقل طول 7 (حدودا همین باید باشد)

فکر می کنید در سیستمهای زیر بار با مجبور کردن کاربران به تبعیت از آن به چه می رسیم؟ یا پسوردهای یکسان تکراری (مثلا EWQqwe3 که اگر روی کی برد نگاه کنید فهمیدنش مثل آب خوردن است.) یا درخواست بهره بردار در غیر فعال کردن کلی آن که آنهم نتیجه اش بدتر از اولی است.

[mohammed]

در دات نت و در فضای نام System.Security.Cryptography پیاده سازی های متفاوتی از الگوریتم SHA موجود میباشد ، کدامیک را پیشنهاد میکنید؟چرا؟

• SHA1
• SHA256
• SHA384
• SHA512

م ،

تا جایی که می دانم الگوریتمهای فوق در ماهیت یکسان بوده فقط در تعداد بیت متفاوتند. اولی 160 بیتی است و تعداد بیت بقیه هم در اسمشان پیداست.

توصیه می شود از یکی از الگوریتمهای 2 تا 4 استفاده شود. این مجموعه را SHA2 نیز می نامند.

[علیرضا مداح]

@mohammed
به بحث ما خوش آمدید ،/

به نظر من Password Strength چیز لازمی است اما باید بسیار ضعیفتر از آنچه مسوولین شبکه ها درخواست می کنند باشد. بطور مثال وضعیت پیش فرض Windows Server در این مساله را نگاه کنید.

ما قصد طراحی یک سیستم امن را داریم ، پس امنیت سیستم از بالاترین اولویت برخوردار است ، در صورتیکه پسورد کاربران از لحاظ طبقه بندی جزو دسته ی Weak قرار گیرند ، بسیاری از فعالیت های دیگر که جهت سخت تر کردن حملات Brute-Force-Dictionary و ... صورت میگیرند ، کاربرد مناسب خود را نخواهند داشت ،
بله ، موردی که ذکر کردید نمونه ای شایع در بین کاربران سیستم های ادارای میباشد و ناشی از دست پایین گرفتن خطر از دست دادن و لو رفتن اطلاعات توسط مدیران میباشد ،
روشهایی برای جلوگیری از این امر وجود دارد که میتوانیم بر روی آنها بحث کنیم :
1)وادار نمودن کاربر به تعویض پسورد به صورت دوره ای و Expire شذن پسورد ،
2)نگهداری تاریخچه ای از پسوردها و محدود کردن کاربر به انتخاب یک پسورد جدید که در Password History وجود نداشته باشد ،
3)اعمال محدودیت برای استفاده از نام کاربری به عنوان بخشی از پسورد ،
4)...

[mohammed]

علیرضای عزیز - سلام

با شما موافقم. ضمن آنکه مواردی که گفتی را درست می دانم نظرم را درباره Password Strength گفتم. یعنی پیشنهاد می کنم سختگیری زیادی روی قواعد حاکم بر وضعیت کلمه رمز نباشد. به عنوان مثال: کاربر به تعویض پسورد ملزم باشد اما دوره تعویض زیاد باشد (مثلا 3 ماه) - نوع ترکیب خیلی ساده نباشد اما خیلی سخت هم نباشد مثلا طول آن حداقل 4 حرف باشد و حداقل از دو گروه حروف کوچک، حروف بزرگ، اعداد، علایم استفاده نماید. - ...

ایده ای که سعی به ارائه آن دارم این است: اولین نقطه ای که یک هکر حرفه ای برای نفوذ به سیستم انتخاب می کند بخش فنی سیستم نیست بلکه بخش انسانی آن است. پس با اعمال قواعد سختگیرانه در نام کاربر و کلمه رمز چندان توفیقی حاصل نمی شود.

[razavi_university]

برای داشتن یک پسورد قوی باید پسورد وارد شده توسط کاربر رو بررسی کنیم (شبیه Password Meterها) و فاکتور های اون میتونه اینها باشه
1- حداقل 8 حرف باشد
2- شامل حروف کوچک باشد
3- شامل حروف بزرگ باشد
4 شامل اعداد باشد
5 شامل علامتها باشد

اگر N رو تعداد کاراکتر ممکن در نظر بگیریم و L تعداد آن در پسورد لگاریتم در مبنای 2 اون با فرمول زیر محاسبه کنیم H کنیم مقدار قوی بودن اون رو حدودا نشون میده




منبع ویکیپدیا

و البته قوانین حاکم بر اونها:
- کاراکترها تا حد امکان تکراری و ترتیبی نباشند
- عدم استفاده از اسم کاربری یا ترکیب آن برای پسورد
- از کلمات فرهنگ لغات نباشد
- در صورتی که برای جاهای مختلف چند پسورد مورد نیاز باشد این پسورد ها یکسان یا شبیه نباشد
- به صورت دوره عوض شود و پسورد جدید با قبلی یکسان یا مشابه نباشد

و برای ایمنی بیشتر پسورد در قالب میل و .. ارسال نشود و پیشنهاد دهنده پسورد (PassGenerator) هم وجود داشته باشد

در اولین فرصت یک Password Meter اینجا قرار میدم(WinApp)

[علیرضا مداح]

علیرضای عزیز - سلام

با شما موافقم. ضمن آنکه مواردی که گفتی را درست می دانم نظرم را درباره Password Strength گفتم. یعنی پیشنهاد می کنم سختگیری زیادی روی قواعد حاکم بر وضعیت کلمه رمز نباشد. به عنوان مثال: کاربر به تعویض پسورد ملزم باشد اما دوره تعویض زیاد باشد (مثلا 3 ماه) - نوع ترکیب خیلی ساده نباشد اما خیلی سخت هم نباشد مثلا طول آن حداقل 4 حرف باشد و حداقل از دو گروه حروف کوچک، حروف بزرگ، اعداد، علایم استفاده نماید. - ...

ایده ای که سعی به ارائه آن دارم این است: اولین نقطه ای که یک هکر حرفه ای برای نفوذ به سیستم انتخاب می کند بخش فنی سیستم نیست بلکه بخش انسانی آن است. پس با اعمال قواعد سختگیرانه در نام کاربر و کلمه رمز چندان توفیقی حاصل نمی شود.

هنگامیکه سیستم از لحاظ فنی دارای ضعف باشد ، مسلما" تمام تلاشهای دیگر که در جهت آگاه سازی کاربران و بخش انسانی یک سازمان صورت میگیرد بی فایده خواهد بود ، Password Policy ها در صورت اعمال باید به گونه ای بازدارنده پیاده سازی گردند تا راه را برای نفوذگر دشوارتر کنند - البته غنی سازی سازمان از لحاظ فنی باید در راستای دیگر فعالیت های لازم نیز باشد ،

@razavi_university
ایده های مطرح شده جالب و کاربردی هستند ، در صورتیکه این Password Policy ها در جای مناسب خود و به طور صحیح پیاده سازی شوند ، نقش بسیار مهمی را در جلوگیری از حملات گوناگون ایفا میکنند ،

و برای ایمنی بیشتر پسورد در قالب میل و .. ارسال نشود و پیشنهاد دهنده پسورد (PassGenerator) هم وجود داشته باشد

این Password Generator میتواند در هنگام ایجاد کاربر جدید و همچنین فراموشی پسورد ، یک پسورد Unique که تمام شرایط را دارا باشد ، ارائه دهد ،

[mostafaaa]

البته یک چیزی که به نظر اینجانب میرسه توجه به این مطلب هست که همیشه ما در پروژه های بزرگ مجبور به استفاده از Roule ها یا گروه های کاربران هستیم که هر کدام نیز دسترسی های خاص خودشان رو دارن.
حالا اگه من یکی از یوزر های سیستم باشم و به هر دلیلی به DB دست پیدا کنم ، اصلا لزومی نمیبینم که پسوورد ادمین رو بدست بیارم، چرا دسترسیهای یوزر خودم رو تغییر ندم.
برای مثال دیتابیس نمونه ASPNETDB رو بررسی کنید.
با اینکه برای ذخیره پسوورد کاربران از Salt هم استفاده کرده ولی به راحتی میتونید با دسترسی به DB به یه یوزر مجوز رول ADMIN رو بدید.

[علیرضا مداح]

خوب از دوستانی که تا بدینجا بحث را دنبال کردند سپاسگزارم ،

حال میخواهیم بر روی این مسئله بحث کینم که :
هنگامیکه پروژه توسط C#‎ پیاده سازی شد ، اگر نفوذگر به سورس کد پروژه دست پیدا کند و از روش ترکیب پسورد با SALT یا الگوریتم های Hash و کلا" از چگونگی پیاده سازی عملیات ذکر شده اطلاع پیدا کند :
-آیا این امر موجب کاهش امنیت سیستم میگردد؟ یا به عبارتی یک نقص/ضعف امنیتی محسوب میشود؟
اگر جواب مثبت است ، لطفا" راهکار(های) خود را در این خصوص بیان نمایید ،

[razavi_university]

با اجازه دوستان
مسلما این یک نقص امنیتی است و باعث کاهش (یا کلا از بین رفتن) امنیت نرم افزار ما می شود.
اگر کل الگوریتمهای رمزنگاری و پیاده سازیهای آنها را یکجا پیاده سازی کنیم با شکستن کد همه چیز به باد می رود.
فکر می کنم اگر اطلاعات در جاهای مختلف باشند مثلا کدها به صورت رمزگذاری شده نگهداری شوند و برای اجرا رمز نگاری شده و اجرا شوند (شبیه عملکرد برخی قفلهای نرم افزاری که کدها را داخل رم لود کرده و اجرا می کنند)
و یا اطلاعات خاصی مانند روش ترکیب پسورد و هش را در قفل سخت افزاری (مثل قفلهای USB حافظه دار) نگهداری شوند تا دستیابی به آنها سخت تر باشد
هرچند باید در نظر گرفت که همیشه یک سوراخ دیگر وجود دارد(هیچ قفلی نیست که شکسته نشود)

[علیرضا مداح]

خوب در اینحالت دو ایده جهت بحث وجود دارد :
1)از ابزارهای Protector همانند XenoCode و ... استفاده کنیم ،
2)اسمبلی مورد نظر که سورس کد پیاده سازی امور امنیتی در آن وجود دارد را توسط الگوریتم های موجود Encrypt کرده ، سپس در زمان اجرا ، آن را Decrypt کرده و توسط تکنیک Reflection در دات نت به اعضای آن به صورت Hard-Code و توسط اشیاء فضای نام System.Reflection دسترسی داشته باشیم ، در این خصوص نیز این 2 مبحث جهت بحث مطرح خواهد بود که :
الف)نظر شما در رابطه با امنیت این روش چیست؟
ب)کلید عمومی(Public Key) یا کلید خصوصی(Private Key) در چه مکانی ذخیره گردد؟

-شما نیز ایده های خود را جهت بحث مطرح نمایید ،/

[Fh_prg]

به عنوان كسي كه سالها تو امنيت نرم افزار تجربه داره ميگم: (البته حرفام كليه و مربوط به موضوع ميشه)

اطلاعات اصلي مربوط به كاربر چيه؟

كاربر
نام و نام خانوادگي كاربر
كلمه رمز
سطح دسترسي

چيكار كنم كه يك كاربر خرابكار با دسترسي به ديتابيس و پيدا كردن پسوردهش شده مدير ، نتونه با جايگزين كردن پسورد هش شده خودش به جاي پسورد مدير راه خودش رو براي ورود به صورت مدير باز كنه؟

پسورد هش شده حتما بايد يك رابطه رياضي با نام كاربري داشته باشه تا قابل جايگذاري نباشه (مثلا ميتونه يك رابطه رياضي ساده يا پيچيده با CRC نام كاربر داشته باشه)
بهتره براي اينكه از تداخلها و توليد پترنهاي يكسان جلوگيري كنيم هميشه نام كاربري رو با يك مقدار تصادفي جمع كنيم البته اين عمل فقط يك بار و در لحظه تعريف كردن نام كاربر اتفاق ميفته...

من به عنوان يك خرابكار ابتدا سعي ميكنم از خود برنامه شروع كنم: پشت سيستم ميشينم و نام كاربري كه قبلا از كسي شنيدم وارد ميكنم...كلمه رمز چيه؟ چندتا كلمه رمز پيش فرض دارم كه هميشه اول اونا رو چك ميكنم بعد از وارد كردن كلمه رمز دهم سيستم يك اخطار بهم ميده : نام كاربري شما دچار تخلف شده و هم اكنون تخلف شما به مدير گزارش شد! كمي ميترسم ! با خودم ميگم برنامه رو از طريق تسك منيجر ميبندم و دوباره سعي ميكنم ولي نه بعد از اجراي دوباره بازم همون پيغامو ميده و ميگه مدير بايد قفل و باز كنه...بهتر ميبينم بلند شم برم پي كارم تا گندش در نيومده... با خودم فكر ميكنم چرا بعد از ده بار اشتباه بايد پيغام بده چرا مثل بقيه برنامه ها بعد از 3 يا 4 بار اين اتفاق نيفتاد؟ اهان احتمالا كاربراي اينجا اينقد ناشي و كم حواسن كه معمولا بعد از 5-6 باز اشتباه تازه كلمه رمزشون يادشون مياد!

به عنوان خرابكار ميرم سراغ sql injection تجربه بهم ثابت كرده حتي برنامه هاي دسكتاپ و غير وب هم ميتونن اين ضعف بزرگ رو داشته باشن چندتا فرمان sql به جاي نام كاربر ميدم ولي اتفاقي نميفته چون به خوبي فرمانهاي كليدي sql رو موقع كد نويسي فيلتر كردن بيخيال اين روش......

با خودم ميگم كافيه رو سيستم يكي از كاربرا يك اسنيفر نصب كنم و اطلاعاتي كه در لحظه ورود از سيستمش وارد شبكه ميشه بدست بيارم شايد بتونم كاري كنم...بعد از انجام اينكار يك مشت اطلاعات كد شده وبي معني رو دستم موند به احتمال زياد اطلاعات بين سرور و كلاينت به صورت كد شده جابجا ميشه و clear text نيست اينم بي خيال...

اي بابا چرا زودتر به فكرم نرسيد؟ يك كيلاگر نصب ميكنم پسوردشو ميزنم هه هه .... بعد از بدست آوردن پسورد وقتي ميخوام وارد شم پيغام ميده كلمه رمز اشتباه است! يعني چي شده؟ ممكن نيست كاربر فهميده باشه و پسوردشو عوض كرده باشه.. از طرفي كي لاگرم خيلي دقيقه و اشتباه نميكنه پس مشكل چيه؟ 2 تا علت داره يكي اينكه احتمالا برنامه يك آنتي كي لاگر داره كه وقتي ميخواد كلمه رمز رو دريافت كنه با هوك كردن كيبورد بعد از دريافت كاراكتر از كاربر يك كاراكتر ديگه رو جايگزينش ميكنه و به سيستم پاس ميده واسه همين كي لاگرم با اينكه درست كار كرده ولي كلمه نادرست رو ثبت كرده... ولي نه برنامه نويساش دانش بالايي ندارن كه بتونن همچين كاري كنن پس احتمالا از كلمه رمز متغير استفاده كردن... اينم پس بيخيال...

من به عنوان يك خرابكار توانستم جدول مربوط به كاربرها رو در ديتابيس پيدا كنم ولي همه چي غير عادي به نظر مياد نميتونم نام كاربري خودم رو توش پيدا كنم گرچه تونستم رديف نام و نام خانوادگي خودم رو پيدا كنم ولي چيزي شبيه كلمه رمز و نام كاربري خودم تو اون رديف وجود نداره فقط يك رشته بسيار طولاني ميبينم كه نامفهومه معلوم نيست با چي هش شده ! به خودم ميگم احتمالا يك الگوريتم هشينگه جديده يا من دراوردي پس به اين راحتي نميشه فهميد چيه شايد تركيبي از MD5 , SHA512 باشه كه اگه باشه ديگه بايد برم بميرم ...ياد قديما ميفتم كه چقدر پسورد MD5 رو با BF پيدا كرده بودم ولي يه روز يه پسورد SHA به تورم خورد دهنم سرويس شد تا تونستم تو اينترنت يه برنامه درست حسابي براي BF كردن SHA384 پيدا كنم و تازه اون برنامه هم كه در نوع خودش بي نظير بود به بدبختي تونسته بود يك پسورد 6 كاراكتري خيلي ساده رو در عرض 24 ساعت كار بي وقفه پيدا كنه اگه يه زماني مجبور باشم يك پسورد SHA512 رو BF كنم چي ميشه؟ هيچي بايد تا قيامت صبر كنم ! تازه اگه ابزار مناسبي براش پيدا بشه!!! ولي اين چيزي كه من ميبينم اصلا شبيه هيچكدوم از الگوريتمهايي كه ميشناسم نيست .... اي بابا بيخيال......
با خودم فكر ميكنم كه همين رشته رو با رشته مدير جايگزين ميكنم شايد بتونم با كلمه رمز خودم و كاربر مدير وارد شم خوب نام كاربري مدير رو هم نميدونم چيه چون ديده نميشه فقط نام و نام خانوادگيشو ميبينم خوب حدس ميزنم كه admin باشه ولي با پيغام كلمه رمز اشباه است برق از كلم ميپره!

چيكار كنم؟ يه رفيقي دارم كه ختم مهندسي معكوسه يك روز يواشكي ميارمش اداره ميگم برنامه رو برام ريورس كنه و بگه چيكار ميتونيم بكنيم شايد بتونه الگوريتم رمزنگاريشو پيدا كنه..... اهان اومد با اون فلش ديسك كذاييش كه هميشه همراشه و معلوم نيست چه گندايي به سيستماي ملت باهاش زده...وصلش ميكنه به دستگاه يه مشت برنامه عجيب غريب اجرا ميكنه ميوفته به جون برنامه.... با دات نت و سي شارپ نوشتنش... خوب چي شد؟ صبر كن....خوب چي شد؟!!! اه چقد حرف ميزني بابا يه قفل خفن روش گذاشتن نميتونم ديكامپايلش كنم! ااااا تو مگه نميگفتي اگه با دات نت نوشته باشنش سه سوت سورسشو برام در مياري دخلشو مياري؟!!! اره گفتم ولي اين يكي خيلي خفنه با دوتا پروتكتور خيلي خفن قفلش كردن : SmartAssembly , InteliLock هيچي از سورس برنامه معلوم نيست ميبيني كه تموم برنامه هامو روش تست كردم نميتونن....اي بابا چيكار كنيم؟ فقط تو كل ايران 3-4 نفر ميتونن اين قفلو باز كنن كه اونا هم اهل كار خلاف نيستن...فايل اصلي برنامه يك فايل exe هست كه 15 مگابايت حجمشه ميدوني حتي اگه سورسشو در بياريم از اون همه كد درهم برهم چي ميخواي بفهمي؟ چون با Obfuscator كاملا بهم ريختنش...دور من يكيو خيط بكش مارفتيم....

كلمه رمز متغير چيه؟ اين اصطلاحو خودم در آوردم چند سال پيش وقتي تو يه بانك نشسته بودم متوجه شدم يكي از كارمندا از پشت سيستمش از دوستش پرسيد پسوردت چي بود؟
اونم گفت اسم پسرم : Reza و من هم اتفاقي شنيدم تو دلم خنديدم گفتم به به اگه يه روز بتونم واسه چند لحظه پشت اون سيستم بشينم چي ميشه ههه... بعد فكر كردم كه چجوري ميشه كاري كرد كه حتي اگه من پسورد يه نفر رو بشنوم حتي با نشستن پشت سيستم نتونم ازش استفاده كنم؟ راهي كه به ذهنم رسيد همين روش بود گفتم اگه تو صفحه لوگين كاربر بعد از وارد كردن اسم خودش مجبور باشه يه محاسبه كوچيك انجام بده به اين هدف ميرسم مثل اين سيستماي ضد ربات كه در قسمت جستجوي سايت استفاده شده كاربر مجبوره يك عكس كه به صورت تصادفي توليد شده رو بخونه و محتوياتش رو وارد كنه تا كارش انجام شه... ولي ميشه با يكم فكر پيچيده ترش كرد جوري كه هم سخت تر شه هم كاربراي معمولي هم بتونن راحت بفهمن و يادشون بمونه مثلا يك عدد تصادفي توليد شه كه كاربر اون رو در يك عدد خاص كه فقط خودش ميدونه ضرب كنه يا جمع كنه جوري كه خيلي سخت نباشه و نتيجه رو به سيستم بده...اينجوري من با داشتن كلمه رمز هم نميتونم كاري بكنم... اينر روش رو بعدها تو چند برنامه ديگه هم ديدم و فهميدم چند نفر ديگه هم قبلا مثل من فكرشون به اينجا رسيده بوده...

خسته شدم.... اين داستان ادامه داره اگه خوشتون اومد ادامش ميدم.... اگه نه ببخشيد ديگه...فعلا.

[علیرضا مداح]

@FH_prg
از ذکر نکات بسیار مفید شما و شرکت شما در این بحث سپاسگزارم ،

پسورد هش شده حتما بايد يك رابطه رياضي با نام كاربري داشته باشه تا قابل جايگذاري نباشه (مثلا ميتونه يك رابطه رياضي ساده يا پيچيده با CRC نام كاربر داشته باشه)

بله ، در اینصورت با تغییر نام کاربری ، پسورد کاربر هم تغییر خواهد کرد ، پس نفوذگر نمیتواند در صورت یافتن پسورد یک کاربر ، پسورد کاربر دیگری را با آن جایگزین کند ، البته اگر نام کاربری هم Hash شده باشد که پیدا کردن نام کاربری نیز بسیاز دشوار خواهد بود ،

بهتره براي اينكه از تداخلها و توليد پترنهاي يكسان جلوگيري كنيم هميشه نام كاربري رو با يك مقدار تصادفي جمع كنيم البته اين عمل فقط يك بار و در لحظه تعريف كردن نام كاربر اتفاق ميفته...

به این روش هم Salted Hash گفته میشود که پیش از این راجع به آن بحث شد ، اما مجددا" بر به کارگیری آن تاکید میشود ،

چندتا كلمه رمز پيش فرض دارم كه هميشه اول اونا رو چك ميكنم

میتوانیم در هنگام ایجاد پسورد و چک کردن Password Strength به کاربر اجازه ندهیم تا یکسری واژگان خاص یا ترکیبات آنها را در پسورد خود وارد کند ،

نام كاربري شما دچار تخلف شده و هم اكنون تخلف شما به مدير گزارش شد

در سیستم های ایمن عموما" در صورتیکه کاربر برای تعداد مشخصی پسورد خود را اشتباه وارد کند ، نام کاربری وی قفل شده و مدیر سیستم باید آن را محددا" فعال نماید یا اینکه تنها برای یک بازه زمانی قفل میشود ،

به عنوان خرابكار ميرم سراغ sql injection تجربه بهم ثابت كرده حتي برنامه هاي دسكتاپ و غير وب هم ميتونن اين ضعف بزرگ رو داشته باشن چندتا فرمان sql به جاي نام كاربر ميدم ولي اتفاقي نميفته چون به خوبي فرمانهاي كليدي sql رو موقع كد نويسي فيلتر كردن بيخيال اين روش......

SQL Injection هم از حملات شایع است که برای جلوگیری از آن باید از Parameterized Queries و Stored Procedure ها استفاده نمود و برای امنیت بیشتر دیتا را نیز باید پیش از پاس دادن به SP و همچنین در داخل SP و پیش از اجرای کوئری اعتبارسنجی نماییم ،
در ضمن فیلتر کردن واژگان کلیدی SQL به تنهایی کافی نیست ، چون ممکن است خرابکار از معادل هگزادسیمال این واژگان استفاده کند ، پس باید سیستم در مقابل Hexadecimal SQL Injection نیز ایمن گردد ،

با خودم ميگم كافيه رو سيستم يكي از كاربرا يك اسنيفر نصب كنم و اطلاعاتي كه در لحظه ورود از سيستمش وارد شبكه ميشه بدست بيارم شايد بتونم كاري كنم...بعد از انجام اينكار يك مشت اطلاعات كد شده وبي معني رو دستم موند به احتمال زياد اطلاعات بين سرور و كلاينت به صورت كد شده جابجا ميشه و clear text نيست اينم بي خيال...

البته بسیاری از نرم افزارهای Sniffer ممکن است توسط ابزارهای امنیتی شناخته شده و به کاربر اطلاع دهند ، برای تبادل دیتا بین سرور و کلاینت پیشنهاد میشود از SSL استفاده کنیم تا اطلاعات رد و بدل شده به صورت Plain-Text/Clear-Text نباشند ،

اي بابا چرا زودتر به فكرم نرسيد؟ يك كيلاگر نصب ميكنم پسوردشو ميزنم

بله ، این مورد نیز ممکن است نوسط ابزارهای امنیتی به کاربر اطلاع داده شده و از فعالیت مخرب آن جلوگیری به عمل بیاید ،

فقط يك رشته بسيار طولاني ميبينم كه نامفهومه معلوم نيست با چي هش شده ! به خودم ميگم احتمالا يك الگوريتم هشينگه جديده يا من دراوردي پس به اين راحتي نميشه فهميد چيه شايد تركيبي از MD5 , SHA512 باشه

البته تا جایی که ممکن است نباید از الگوریتم های Hash که ساخته خودمان استفاده کرد یا اینکه باید امنیت آن با دقت تمام مورد بررسی قرار گیرد ، چون ممکن است الگوریتم ابداعی ما بر خلاف تصور خود که گواه بر قوی بودن آن است ، به سادگی شکسته شود ،

يك پسورد 6 كاراكتري خيلي ساده رو در عرض 24 ساعت كار بي وقفه پيدا كنه

به خاطر همین موضوع است که باید مبحث Password Strength جدی گرفته شده و از ایجاد پسوردهای Weak جلوگیری به عمل بیاید ،

تو مگه نميگفتي اگه با دات نت نوشته باشنش سه سوت سورسشو برام در مياري دخلشو مياري؟!!! اره گفتم ولي اين يكي خيلي خفنه با دوتا پروتكتور خيلي خفن قفلش كردن : SmartAssembly , InteliLock هيچي از سورس برنامه معلوم نيست ميبيني كه تموم برنامه هامو روش تست كردم نميتونن

بله ، استفاده از Protector ها همواره جهت بالا بردن امنیت نرم افزار توصیه میشود ، البته تاکید میکنم جهت بالابرن امنیت ، چون باز هم این ابزار به طور کامل تضمینی بر روی لو نرفتن سورس کد نخواهند داشت ،

البته ایده ی استفاده از Captcha نیز موجب ارتقاء امنیت سیستم میگردد ، چرا که کاربر باید پیش از ورود به پنجره/صفحه لاگین ابتدا از این مرحله عبور کرده و یکسری علائم رندوم ایجاد شده را که به صورت تصاویر در هم ریخته است ، وارد نماید ،

پ.ن :

خسته شدم.... اين داستان ادامه داره اگه خوشتون اومد ادامش ميدم.... اگه نه ببخشيد ديگه...فعلا.

مسلما" شرکت شما و دیگر دوستان موجب هر چه پربارتر شدن این بحث خواهد شد ،/

[razavi_university]

1)از ابزارهای Protector همانند XenoCode و ... استفاده کنیم ،
2)اسمبلی مورد نظر ... Encrypt کرده ...

الف)نظر شما در رابطه با امنیت این روش چیست؟
ب)کلید عمومی(Public Key) یا کلید خصوصی(Private Key) در چه مکانی ذخیره گردد؟

/

استفاده از ابزارهای Protector مثل XenoCode و Termida و ... درسته که امنیت نسبتا خوبی رو می تونن تامین کنند ولی باید توجه داشته باشیم که این ابزارها برای تمامی کراکرها شناخته شده اند و بسیاری از الگوریتمهایی که این ابزارها استفاده می کنند پس از مدتی از عرضه آنها مشخص می شوند.
استفاده از روشهایی دیگری که Fh_prg گفتند فکرمی کنم بهتر است.

می توان برای بالا بردن ضریب امنیتی کلید عمومی یا خصوصی را در قفلهای سخت افزاری ذخیره کرد.

[علیرضا مداح]

كلمه رمز متغير چيه؟

این راهکار با نام (OTP(One-Time Password شناخته میشود ،
میخواهیم کمی بر روی این ایده بحث کنیم ،
یک پسورد استاتیک در چه زمانی تغییر می یابد؟
الف)کاربر پسورد خود را فراموش کرده و باید آن را Reset کند ،
ب)پسورد Expire شده است ،
ج)کاربر خود اقدام به تغییر پسورد کرده است ،

خوب این پسورد ها بر روی هارد درایو ذخیره میشوند ، پس مستعد نفوذ و کرک شدن هستند ،
بر خلاف پسورد استاتیک ، OTP در هر بار که کاربر قصد لاگین به سیستم را دارد تغییر میکند ، و عموما" به دو گونه زیر پیاده سازی میشود و کاربر باید یک سخت افزار کوچک را جهت هماهنگ سازی با سرور با خود حمل کند :

• Time-Synchronized : در این روش کاربر باید پسورد را در یک بازه زمانی مشخص و پیش از Expire شدن آن وارد کند ، در غیر اینصورت باید پسورد جدید تولید شود ، البته این روش مشکل Clock Skew را نیز در پی خواهد داشت ، یعنی اگر سرور و توکن کاربر هر دو حامل یک "زمان" نباشند ، پسورد مورد نظر تولید نشده و درنتیجه عملیات اعتبار سنجی کاربر شکست میخورد ،
• Counter-Synchronized : در این روش ، یک شمارنده(Counter) بین سرور و دستگاه کلاینت Synchronize شده و در هر بار که یک OTP درخواست میشود ، مقدار آن افزوده میشود ، در این هنگام ، همانند روش پیشین ، کاربر باید OTP ی را که بر روی دستگاه مشاهده میکند را وارد نماید ،

البته توجه داشته باشید که در دو روش فوق ، کاربر باید یک مقدار از پیش تعریف شده مانند PIN Code را برای تولید OTP وارد نماید ،/
جهت اطلاع بیشتر و ادامه بحث میتوانید به لینک زیر مراجعه نمایید :
MSDN Magaznine - Safer Authentication with a One-Time Password Solution

[multiTech]

باسلام
مواردی که در لاگین کردن به حساب بانکم تا حالا برایم پیش اومده رو میگم ، شاید ایده مفیدی داخلشون باشه:

بانک بطور مرتب آمار میگیره و متوجه میشه که من بطور میانگین تراکنشی بالاتر از 400 تومان ندارم . وقتی یک بار تراکنشی مثلا با یک میلیون تومان رو میبینه ، این اجازه رو نمیده و بلافاصله به تلفن من تماس میگیره و اطلاع میده که قراره چنین تراکنشی از حسابم انجام بشه .

پس از چند بار وارد کردن پسورد اشتباه، باز هم اکانتم رو تعلیق میکنه و با من تماس گرفته میشه.

اگر مدتی - مثلا دو ماه - از آخرین لاگین به حسابم گذشته باشه ، خودبخود پسوردم اکسپایر میشه . باید پسورد جدیدی از بانک درخواست کنم.

با تغییر مشخصات سیستمی ، آدرس آیپی و ... که از اون معمولا به حسابم لاگین میکنم ، پسوردم رو تغییر نمیده ولی اجازه ورود نمیده و سوالات امنیتی که قبلا از من در هنگام افتتاح حساب پرسیده بوده رو سوال میکنه - مثلا نام معلم کلاس اول دبستان و ... - و اگر جوابشون درست بود اجازه لاگین میده .

[hdv212]

با تشکر از همه ی دوستان در این بحث مفید.
یه سوال برام پیش اومده و اون اینکه برای ایجاد یک بستر امنیتی در این سناریو، حتما باید امنیت با Password بررسی بشه ؟
استفاده از سنسور های Finger Print هم میتونه امنیت یک سیستم رو به صورت قابل قبولی برای ما تصمین کنه، به دلایل زیر :
1. حجم پردازش پسوردها توسط سیستم یا برنامه بسیار کم میشه، در نتیجه باعث افزایش کارایی میشه.
2. دقت بالایی دارند (برای یک موردی که سه چهار سال پیش روش کار میکردن، دقت آن تا یک در میلیارد قابل افزایش بود!)
3. ضمن اینکه ترکیب سنسور تشخیص اثر انگشت (Finger Print) و پسورد، میتونه امنیت بسیار بالایی رو برای ما تضمین کنه.
تا ببینیم نظر دوستان چیه.
متشکرم.

[anubis_ir]

يك مطلب رو بايد هميشه مد نظر داشت. افراد مسن.
عموما همين‌ها رئيس اون شركتي هستند كه قرار است شما برنامه اتوماسيون براشون بنويسيد.
نمي‌تونيد وادارشون كنيد هر ماه پسورد عوض كنند.
نمي‌تونيد وادارشون كنيد پسوردهاي طولاني و سخت انتخاب كنند. (سن بالا و حافظه نامرتب)
و مواردي از اين دست.

[علیرضا مداح]

ضمن اینکه ترکیب سنسور تشخیص اثر انگشت (Finger Print) و پسورد، میتونه امنیت بسیار بالایی رو برای ما تضمین کنه.

ایده جالبیست و میتوان بر روی آن بحث کرد ، اثر انگشت بدلیل Unique بودن و دقت بالای آن میتواند امنیت بالایی را تضمین کند ، اما باید دید که این ایده در چه سناریو هایی کاربرد دارد ، چون نیاز به یک دستگاه جهت اعتبارسنجی میباشد که ممکن است در دسترس نباشد ، در سیستم پیشنهادی شما ، پسورد و اثر انگشت چگونه با یکدیگر ترکیب میشوند؟

عموما همين‌ها رئيس اون شركتي هستند كه قرار است شما برنامه اتوماسيون براشون بنويسيد.
نمي‌تونيد وادارشون كنيد هر ماه پسورد عوض كنند.
نمي‌تونيد وادارشون كنيد پسوردهاي طولاني و سخت انتخاب كنند. (سن بالا و حافظه نامرتب)
و مواردي از اين دست.

یکی از وظایف برنامه نویس و توسعه گر ، ارائه ی راهکار و سیستم مناسب جهت تامین امنیت میباشد ، پس او با توجه به سناریوی ارائه شده ، اقدام به ایجاد/مکانیزه کردن سیستم میکند ، اینکه مسئله ی امنیت برای یک مدیر مهم تلقی نمیشود ، ناشی از تفکر غلط/قدیمی/غیرفنی وی به مقوله امنیت و دست پایین گرفتن خطر ازدست رفتن/سرقت اطلاعات میباشد ،/

[hdv212]

ایده جالبیست و میتوان بر روی آن بحث کرد ، اثر انگشت بدلیل Unique بودن و دقت بالای آن میتواند امنیت بالایی را تضمین کند ، اما باید دید که این ایده در چه سناریو هایی کاربرد دارد ، چون نیاز به یک دستگاه جهت اعتبارسنجی میباشد که ممکن است در دسترس نباشد

مرسی از لطفت، خدمت شما عرض کنم که برای این کار فقط نیاز به یک سنسور تشخیص اثر انگشت داریم (البته یه مقدار گرونه، ولی برای شرایط بحرانی ارزشش رو داره)، مدلهای مختلفی توی بازار هست، بسته به قابلیتها و ...

در سیستم پیشنهادی شما ، پسورد و اثر انگشت چگونه با یکدیگر ترکیب میشوند؟

زیاد سخت نیست، در جایی که کاربر میخواد وارد بشه، فقط یه فیلد اضافه میشه برای تشخیص اثر انگشت، بعد از اینکه پسورد رو در جای مربوطه وارد کرد، اثر انگشت خودش رو هم ثبت میکنه و Submit میکنه، حالا سیستم پسورد و اثر انگشت اون رو در دیتابیس بررسی میکنه.
نکته ای که الان یادم میاد ولی بهش شک دارم اینه که سنسوری که دوستان باهاش کار میکردن، ظاهرا پسورد رو در حافظه ی خودش ذخیره میکرد و بعد از تشخیص اثر انگشت فقط یه جواب True و False بود که میداد، بنا بر این دیگه نیازی به ذخیره ی اثر انگشت در دیتابیس نیست.

[razavi_university]

چرا بحث خوابیده !!!

استفاده از سنسور اثر انگشت (و مشابه آن مثلا قرنیه و ...) ضریب امنیتی را بسیار بالا می برد اما نکته ای که باید توجه داشت اینست که اگر اطلاعات درون دستگاه ذخیره شوند سیستم ما از لحاظ مکانی محدودیت پیدا می کند.
هرچند در موارد خاصی صرفا کسانی می توانند به سیستم وارد شوند که در داخل همان مرکز هستند

جناب مداح لطفا بحث جدید رو مطرح کنین . . .

[علیرضا مداح]

از تمام دوستانی که در این بحث شرکت کردند ، کمال سپاسگزاری را دارم ،
تا مدتی دیگر ، بحث جدیدی آغاز شده و مستندات این بحث نیز آماده شده و در اختیار علاقه مندان قرار خواهد گرفت ،/