کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن
خرید کریو خرید وی پی ان خرید VPN خرید فیلترشکن
آیا شناسه حساب AWS من باید مخفی باشد؟
از اسناد AWS:
شناسه حساب AWS یک عدد 12 رقمی است، مانند 123456789012، که شما برای ساخت نام منابع منابع آمازون (ARNs) استفاده می کنید. . هنگامی که شما به منابع اشاره می کنید، مانند یک کاربر IAM یا یک غرفه Glacier آمازون، شناسه حساب، منابع شما را از منابع موجود در سایر حساب های AWS تشخیص می دهد.
(نام مبهم است به طور خاص، زیرا من کاملا مطمئن نیستم که چگونه بد یک موضوع این است یا اگر آن را به خوبی شناخته شده است و من نمی خواهم به طور تصادفی نوع نشت نوع نوع نقص) [19659002] سناریو: گذرواژه خود را به حساب ایمیل Gmail یا یاهو یاهو در رایانه خود با استفاده از وب سایت تغییر دهید. پس از آن به آیفون خود بروید و تلاش کنید تا برنامه ساخته شده در ایمیل را بکشید. به نحوی کار می کند، اما فقط با گذرواژه قدیمی . شما سعی میکنید حساب را کاملا از تلفن حذف کنید و سپس آنرا مجددا راه اندازی کنید و آن را تنظیم کنید. هیچ کار نمی کند گذرواژه قدیمی در سیستم وارد شده است. بنابراین شما این را آزمایش میکنید. شما متوجه می شوید که قبل از تغییر رمز عبور، تقریبا 1.5 – 2 هفته طول می کشد . متاسفانه شما سعی نکردید با یک دستگاه جدید وارد شوید تا ببینید چه اتفاقی می افتد، اما آسان است حدس بزنید که ممکن است اتفاق بیفتد.
بنابراین اکنون همه اینها به ریشه آن همه می انجامد: چه در واقع این باعث می شود و یک مسئله امنیتی است ؟ من می دانم از داشتن حساب های متعدد در طول سال ها و برخی از نیاز به من به تغییر رمز عبور به طور منظم به عنوان یک قاعده، زیرا این یک ایمیل شخصی نیست که این تقریبا همیشه رخ می دهد. من همچنین می دانم که این به طور خاص من یا تلفن من نیست که دلیل آن است. خویشاوندان چندگانه به من کمک کردند تا بدانم چرا آنها نمیتوانند وارد سیستم شوند. من به آنها گفتم رمز عبور قدیمی را امتحان کنید و گفتند که کار می کند. بنابراین قطعا محلی نیست فقط به من یا چیزی که من با تلفنم انجام میدهم. من یک تلفن تصادفی ندارم که فقط به آزمایش بپردازم، بنابراین نمیتوانم بفهمم که آیا این اتفاق خواهد افتاد با تلفنهایی که قبلا هرگز وارد نشده بودند. با این حال، همه اینها یک مسئله واضح است اگر رمز عبور همیشه در معرض خطر قرار گرفته و یک قانون مناسب برای امنیت این است که هر سوءاستفاده مانند این را داشته باشیم که هر تصادفی جو (و باید از آن به عنوان قاعده انگشت شست استفاده شود تا بتواند آنها باشد برای مدت دو هفته از سیستم خارج شد) توسط هکرها مورد سوء استفاده قرار گرفته است.
اکنون می دانم که این ممکن است به دلیل خرابی یک چیز باشد چون شواهدی از گذرواژه های گذشته وجود دارد در برخی از سیستم ها به دلایل دیگر ذخیره می شود. گوگل برای ذخیره 100 رمز عبور گذشته برای یک ویژگی امنیتی استفاده کرد. من متوجه شدم که در حالی که سعی می کنم ببینم آیا در هر کجا ذکر شده یا مستند شده است. من نمی توانستم پیدا کنم و بیشتر نگران کننده بودم. اگر هیچ کس از این مسئله آگاه نیست، آن را آسانتر می کند. داشتن دسترسی کامل بدون در نظر گرفتن تغییرات رمز عبور به افرادی که برای تقریبا 2 هفته ایمیل می کنند قطعا چیزی نیست که ما نیاز داریم که شایع باشد. به هر حال من بیشتر از آنچه که باعث می شود این است که اگر کسی آن را مستند کرده و در مورد این مسئله واقف باشد، بیشتر از آن کنجکاو است. به عنوان مثال، یک پاسخ دهنده برای اینکه ببیند آیا یک تلفن که هرگز به یک ایمیل متصل نیست یا نه، می تواند با استفاده از گذرواژه قدیمی وارد شود، احتمالا مهم است که در اینجا بدانیم. این تفاوت بین یک ناراحتی جزئی و … یک مسئله مهم امنیتی است.
خدمات تأیید شده ای که من شخصا می دانم که دارای اشکال هستند:
Gmail
یاهو
(اگر بیشتر پاسخ دهندگان دیگران را تایید می کنم بیشتر اضافه می کنم)
دیروز من دو (معتبر) ایمیل از Google دریافت کردم که آنها از ورود به سیستم برای دو (بسیار قدیمی) حسابهای گوگل من جلوگیری کردند. گوگل می گوید آنها از گذرواژه های صحیح استفاده می کنند که رمزهای عبور بسیار قدیمی است که من تغییر نکرده ام، به همین علت از این حساب ها در مدت زمان بسیار (بیش از 5 سال) استفاده نکردم. [19659002] این اولین چیزی است که به من عادت کرد. من اساسا هرگز استفاده نکرده بودم حتی از این حساب ها برای هر چیزی استفاده می کردم. تا آنجا که من می توانم به یاد داشته باشم، ممکن است برای آنها یک اپل شناسنامه را امضا کنم، اما اجازه دهید حرکت کنیم.
چیزی که برای آنها مشخص بود، ایمیل بازیابی بود.
حالا من بودم در ابتدا می خواهم در مورد این سوال بپرسم، زیرا احتمالا هیچ چیزی نیست که بتوان در اینجا پاسخ داد.
با این حال، امروز من توسط یکی از نسل ها گفته شد که یکی از حسابهای Google (قدیمی و تقریبا غیرقابل استفاده) با رمز عبور صحیح (تقریبا در همان زمان دیروز) مورد حمله قرار گرفت. این حساب احتمالا از طرف من برای او تنظیم شده است و ممکن است به یک یا چند دلیل به برخی از حسابهای Google من (یا از طریق تبادل ارتباط یا ایمیل بازیابی) مرتبط باشد.
هیچ یک از این حسابها یا گذرواژهها (!) موجود نیست http://haveibeenpwned.com
هیچ یک از این حساب ها در یک زمان استفاده نشده است و هیچ وقت مورد استفاده قرار نگرفته است
همه این حساب ها به نظر می رسد مرتبط شده است
من از شما نمی خواهم به شما در مورد آنچه در اینجا اتفاق افتاده فکر می کنم به طور خاص، اما آیا توضیح منطقی از این که چگونه این حسابها ممکن است به خطر بیافتد وجود دارد؟
توضیح بیشتر من احتمالا این است که حساب دیگری (مرتبط) به خطر افتاده است و این ایمیل به جایی که از آن استخراج شده است آدرس داده شده است
Or آیا باید کامپیوترهای شخصی خود را در نظر گرفتم زیرا این نوع اطلاعات از لحاظ فنی از آنجا استخراج شده است؟
معمولا یک شخص محتاطانه معقول، با استفاده از یک مدیر رمز عبور و غیره و من قبلا تمام گذرواژه ها را به این ac تغییر دادم شمار می آید، اما آیا در این مورد در مورد تعمیر ماشین های شخصی من نیز در نظر گرفته شده است؟
من به دنبال مشاوره در اینجا هستم، زیرا نمی توانم سرم را در اطراف چگونگی برخورداری از مدارک خاص (قدیمی و بسیار نادر) مورد استفاده قرار دهم اخراج شد.
اما من خواندن آن را بسیار آسان به دروغ آدرس IP
این جایی است که شما به اشتباه. آسان است که به یک وب سایت متصل شوید، بنابراین آن را می بیند یک آدرس IP که خود را با مسیریابی از طریق یک سرور پروکسی، اما شما نمی تواند آدرس IP دلخواه را خراب کند. برای پروتکل TCP، که احتمالا از آنچه شما استفاده می کنید، به راحتی می توان آدرس IP را فریب خورد بدون اینکه بخش بزرگی از ستون اصلی اینترنت خود را از بین ببرد.
دلیل این امر این است که TCP از یک دستشویی برای برقراری ارتباط. اول، مشتری یک بسته SYN را ارسال می کند. بسته شامل منبع IP است. سپس سرور به IP مشخص شده با یک بسته SYN + ACK پاسخ می دهد، پس مشتری بعدا ACK را ارسال می کند. در حالی که از لحاظ فنی امکان خراب کردن منبع IP وجود دارد، سرور می تواند SYN + ACK را به آدرس منبع جعلی منتقل کند که به طور طبیعی انتظار آن را نداشته و از اتصال مجدد رد خواهد شد. از آنجا که ترافیک تنها پس از تکمیل دستنوشته ارسال می شود، فقط آدرس های IP اصلی منبع کار خواهند کرد.
لیست سفیدپرداز آی پی واقعا لایه امنیتی معقول را اضافه می کند؟
اگر یک مهاجم که کلیدهای API را دزدیده است می تواند تنها از آنها برای ورود به سرویس خود، سپس لیست سفید IP شما IP هیچ پیشرفت امنیتی ارائه نمی دهد. پس از همه، یک مهاجم به آدرس لیست سفید متصل می شود تا (ab) از کلید کلیدی به سرقت رفته استفاده شود. اگر در عوض نگرانی این است که مهاجم یک کپی اشتباه از سایت شما ایجاد کند (مثلا یک حمله MITM) و تلاش برای دریافت درخواست شما برای ارسال کلید API به آنها، لیست سفید کردن آدرس هنوز کمک نخواهد کرد. در عوض، شما باید از TLS برای تمام ارتباطات استفاده کنید و از کاراکتر TLS در برنامه استفاده کنید. به این ترتیب، مشتریان شما می توانند اطمینان حاصل کنند که برنامه از اتصال به یک سرور غیر واقعی امتناع می کند.
بسیاری از ما با UML برای مهندسی نرمافزار آشنا خواهیم بود. استفاده از آن بسیار زیاد است.
آیا چنین چیزی به عنوان مجموعه ای از نمودارهای معمول استفاده شده برای مدل سازی هر سناریوی امنیتی (صحبت کردن به عنوان یک مبتدی کامل در حوزه امنیت) وجود دارد.
به عنوان مثال، اگر من می خواستم طرح تمام شیوه های مختلف پایگاه داده رمز عبور مشتری را می توان نقض کرد، با توجه به اینکه او دارای موقعیت هایی مانند فایل ذخیره شده در ابر، 2FA با یک کلید فیزیکی، برنامه در تلفن خود، و غیره
ایده خواهد بود روشن ، نقاشی نقاشی از وضعیت، و در حالت ایده آل می تواند به راحتی می توانید نقص و یا چگونگی بهینه سازی امنیت را با توجه به شیوه زندگی بهینه سازی کنید.
