PDA

View Full Version : سیستمهایی که بجای یک پسورد از دو پسورد و لاگین دو مرحله ای استفاده میکنند!



eshpilen
چهارشنبه 30 اسفند 1391, 09:53 صبح
بارها دیدم که افراد درمورد قرار دادن دو پسورد و دو مرحلهء لاگین برای بعضی سیستمها یا عملیات صحبت کرده اند. بنظر میرسد که آنها فکر میکنند به این شکل امنیت بیشتری برقرار میشود.

بطور مثال این سوال را همین الان در فروم دیگری مطرح کرده بودند:


چطور میشه برای فایل ایندکس پنل مدیریت رمز دوم گذاشت؟
وقتی که این آدرس رو وارد میکنم mysite.ir/adminpanel دو کادر وجود داره که یوزر و پس رو میزنم و وارد پنل اصلی ادمین میشم!
حالا من میخوام وقتی که آدرس سیات رو میزنم ، از من یوزر و پس بخواد و وقتی که درست بود ، تازه وارد صفحه ایندکس بشه و دو کادر یوزر و پس رو بهم نشون بده!!؟

حالا بنده تحلیل و نکات مهم اینطور سیستمهای دو پسوردی و دو مرحله ای رو براتون میگم:

فرض کنید یک پسورد 12 کاراکتری داشته باشیم متشکل از حروف کوچک و اعداد.
فرضا پسورد کاملا رندوم باشه.
تعداد حالتهای این پسورد 36 به توان 12 است.

حالا پسورد 12 کاراکتری رو به دو پسورد 6 کاراکتری تقسیم میکنیم.
هرکدام از این پسوردها، 36 به توان 6 حالت خواهند داشت.

هکر برای Brute-force کردن پسورد اول حداکثر باید 36 به توان 12 حالت ممکن رو امتحان کنه.
اما برای کشف کردن دو پسورد در سناریوی دیگر، 2 تا 36 به توان 6 کار داره!

حالا حساب کنیم ببینیم که حالت اول (یک پسورد با دو برابر طول) چقدر قویتر از حالت دومه:


(36^12)/(2*(36^6))

که جوابش میشه: 1088391168

یعنی انتخاب یک پسورد با 12 کاراکتر طول، بیش از یک میلیارد برابر از انتخاب دو پسورد جداگانه با نصف طول (6)، امن تره!

پس همیشه به این نکته توجه داشته باشید که انتخاب یک پسورد با طول بیشتر، بسیار بسیار بسیار بهتر از انتخاب دو پسورد جداگانه است.

درمورد سیستم شما هم خب میتونید از دو پسورد استفاده کنید، ولی معمولا و بطور طبیعی این کار منجر به انتخاب دو پسورد ضعیف تر از طرف افراد میشه (یکی از دلایلش اینه که نیاز دارن بجای یک پسورد دو پسورد رو به خاطر بسپارن)؛ بخصوص که از این نکته که بهتون نشون دادم بی اطلاع باشن (که طبیعتا اکثر افراد نمیدونن).
بنابراین حداقل این نکته رو برای افراد مشخص کنید که هر دو پسورد نیاز دارن مستقلاً، بقدر کافی قوی باشن. اینطوری احتمال اینکه پسوردهای کوتاهتر یا ضعیف تری انتخاب کنن کمتر میشه.

حالا نمیدونم واقعا سیستمهایی که چند پسورد مجزا دارن تا چه حد میتونن مفید یا لازم باشن و چرا. این مسئله ایست که خودش جای بحث و تحقیق دارد. آیا واقعا ضرورت یا مزیتی اونقدر زیاد در این روش هست که ارزش تحمیل زحمت بیشتر به کاربر و ضعف احتمالی پسورد رو داشته باشه؟ خود شما چه دلیل یا استدلالی برای توجیه این روش داشتید؟

البته اگر نیاز باشه تا هر دو پسورد بطور همزمان وارد بشن (و نه در دو مرحله)، امنیت حداقل در بخشی که نیاز به هر دو پسورد داره بار دیگر به حداکثر ممکن خودش میرسه (با این فرض که پسوردها ضعیف انتخاب نشده باشن و مثلا بخاطر راحتی بخاطرسپاری، الگوی مشابهی نداشته باشن). چون مثل اینه که یک پسورد با دو برابر طول رو استفاده کنیم (فقط نصفش رو در یک کادر متن وارد کنیم و نصف دیگرش رو در یک کادر دیگر).

پس اگر واقعا نیاز میبینید که سیستم دو پسوردی استفاده کنید، سعی کنید حتی الامکان لاگین دو مرحله ای نباشه و نیاز باشه هر دو پسورد همزمان وارد و سابمیت بشن.