password-policy – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 22, 2018

رمزگذاری – آیا دفاع در برابر این نوع حملات وجود دارد؟ (حمله مقابله کلیدی یا چیزی)

آیا هیچ گونه دفاع در برابر این نوع حمله وجود دارد؟

https://youtu.be/7U-RbOKanYs؟t=974

من کسی را می شناسم که از رمزنگاری رمز را می دهد که طول آن را تولید می کند از کلید ها در این ویدیو و باعث می شود من نگران باشم که *
* این کلید ها به همان اندازه آسیب پذیر هستند؟ ** (نمی دانم کدام نوع رمزگذاری استفاده می شود و یا نمی خواهم بدانم)

آیا به افزایش طول کلید های رمز شده کمک می کند؟

همانطور که می دانم حمله:

مهاجم به نوعی کلید های رمزگذاری شده را نگه داشته، همچنین یک پایگاه داده بزرگ از گذرواژه های که قبلا کراس گرفته شده است را دانلود کرده و همچنین برخی از (یا ساخته شده) خود () قوانین برای تعویض حروف ("mutator")

پس از آن مهاجم رمز عبور حل می کند، رمز عبور را با انواع شیوه ها مبادله می کند، پس رمزهای عبور شده را رمزگذاری می کند و به سادگی کلید های رمزنگاری شده را با کلید های رمزگذاری شده مقایسه می کند. پایگاه داده و اگر رمزنگاری رمزگذاری شده یکسان باشد، مهاجم می داند که کلید جدید رمزگذاری شده همان است که در پایگاه داده موجود است.

(PS چه نامی از این نوع حمله است؟)

سپتامبر 3, 2018

حریم خصوصی – امنیت پزشکی بد

من در میشیگان، U.S.A ساکن هستم و اخیرا IT را از یک عمل پزشکی کوچک گرفته ام. هیچ ایمنی واقعی وجود ندارد و هنوز هم آسیب وحشتناک و قفل گذاری که توسط شرکت قبلی ایجاد شده است را لغو می کنم. من متوجه شدم که کارکنان در حال مرور و امنیت وحشتناک هستند و صاحب کار جدی بودن وضعیت را درک نمی کند. من مقررات خاصی راجع به امنیت پزشکی نمی دانم، اما من می دانم که جریمه می تواند عظیم باشد اگر نقض اطلاعات وجود داشته باشد. من می خواهم به او پیشنهاد کنم تا بتوانم او را درک کنم، اما او بدون من منابع می تواند به من اعتماد کند و اطلاعاتی را که می توانم به او بدهم مانند مقدار مشخصی از پول و چگونگی اجتناب از آن با چیزهایی مانند توانایی از راه دور تلفن های مورد استفاده برای کار را پاک کنید.

بنابراین سوال من این است که کجا می توانم اطلاعاتی در مورد نوع جریمه ای که ما برای نقض آن نگاه می کنیم، پیدا کنیم، چقدر ساده است که بتوانیم به یک سیستم ناخواسته دسترسی پیدا کنیم، چگونه می توانیم خودمان را حفظ کنیم، و در مورد منافع خاص مانند حساب و قفل صفحه نمایش، و غیره؟

آگوست 23, 2018

رمزهای عبور – ایمیل اشکال ورود، آیا نگرانی امنیتی برای کاربران ایمیل است؟

(نام مبهم است به طور خاص، زیرا من کاملا مطمئن نیستم که چگونه بد یک موضوع این است یا اگر آن را به خوبی شناخته شده است و من نمی خواهم به طور تصادفی نوع نشت نوع نوع نقص) [19659002] سناریو: گذرواژه خود را به حساب ایمیل Gmail یا یاهو یاهو در رایانه خود با استفاده از وب سایت تغییر دهید. پس از آن به آیفون خود بروید و تلاش کنید تا برنامه ساخته شده در ایمیل را بکشید. به نحوی کار می کند، اما فقط با گذرواژه قدیمی . شما سعی میکنید حساب را کاملا از تلفن حذف کنید و سپس آنرا مجددا راه اندازی کنید و آن را تنظیم کنید. هیچ کار نمی کند گذرواژه قدیمی در سیستم وارد شده است. بنابراین شما این را آزمایش میکنید. شما متوجه می شوید که قبل از تغییر رمز عبور، تقریبا 1.5 – 2 هفته طول می کشد . متاسفانه شما سعی نکردید با یک دستگاه جدید وارد شوید تا ببینید چه اتفاقی می افتد، اما آسان است حدس بزنید که ممکن است اتفاق بیفتد.

بنابراین اکنون همه اینها به ریشه آن همه می انجامد: چه در واقع این باعث می شود و یک مسئله امنیتی است ؟ من می دانم از داشتن حساب های متعدد در طول سال ها و برخی از نیاز به من به تغییر رمز عبور به طور منظم به عنوان یک قاعده، زیرا این یک ایمیل شخصی نیست که این تقریبا همیشه رخ می دهد. من همچنین می دانم که این به طور خاص من یا تلفن من نیست که دلیل آن است. خویشاوندان چندگانه به من کمک کردند تا بدانم چرا آنها نمیتوانند وارد سیستم شوند. من به آنها گفتم رمز عبور قدیمی را امتحان کنید و گفتند که کار می کند. بنابراین قطعا محلی نیست فقط به من یا چیزی که من با تلفنم انجام میدهم. من یک تلفن تصادفی ندارم که فقط به آزمایش بپردازم، بنابراین نمیتوانم بفهمم که آیا این اتفاق خواهد افتاد با تلفنهایی که قبلا هرگز وارد نشده بودند. با این حال، همه اینها یک مسئله واضح است اگر رمز عبور همیشه در معرض خطر قرار گرفته و یک قانون مناسب برای امنیت این است که هر سوءاستفاده مانند این را داشته باشیم که هر تصادفی جو (و باید از آن به عنوان قاعده انگشت شست استفاده شود تا بتواند آنها باشد برای مدت دو هفته از سیستم خارج شد) توسط هکرها مورد سوء استفاده قرار گرفته است.

اکنون می دانم که این ممکن است به دلیل خرابی یک چیز باشد چون شواهدی از گذرواژه های گذشته وجود دارد در برخی از سیستم ها به دلایل دیگر ذخیره می شود. گوگل برای ذخیره 100 رمز عبور گذشته برای یک ویژگی امنیتی استفاده کرد. من متوجه شدم که در حالی که سعی می کنم ببینم آیا در هر کجا ذکر شده یا مستند شده است. من نمی توانستم پیدا کنم و بیشتر نگران کننده بودم. اگر هیچ کس از این مسئله آگاه نیست، آن را آسانتر می کند. داشتن دسترسی کامل بدون در نظر گرفتن تغییرات رمز عبور به افرادی که برای تقریبا 2 هفته ایمیل می کنند قطعا چیزی نیست که ما نیاز داریم که شایع باشد. به هر حال من بیشتر از آنچه که باعث می شود این است که اگر کسی آن را مستند کرده و در مورد این مسئله واقف باشد، بیشتر از آن کنجکاو است. به عنوان مثال، یک پاسخ دهنده برای اینکه ببیند آیا یک تلفن که هرگز به یک ایمیل متصل نیست یا نه، می تواند با استفاده از گذرواژه قدیمی وارد شود، احتمالا مهم است که در اینجا بدانیم. این تفاوت بین یک ناراحتی جزئی و … یک مسئله مهم امنیتی است.

خدمات تأیید شده ای که من شخصا می دانم که دارای اشکال هستند:

Gmail
یاهو
(اگر بیشتر پاسخ دهندگان دیگران را تایید می کنم بیشتر اضافه می کنم)

نوشته‌شده در آگوست 3, 2018
برخی از وبسایتهایی که به خوبی شناخته شدهاند و نیازی به چندین مجموعه شخصیتی در گذرواژه ندارند چیست؟

این وبسایت ها نیازی به چندین کاراکتر در گذرواژه ها ندارند:

متاسفانه، این لیست به ندرت در مورد B2B وب سایت هایی است که ممکن است برای همتایان B2B شما متقاعد کننده باشد. اگر هر خواننده از خط مشی های رمز عبور B2B بزرگ وب سایت آگاه است، لطفا آنها را به این لیست اضافه کنید. این پاسخ یک انجمن ویکی است.

_{زمانی که ممکن است من به خط مشی رمز عبور مرتبط است. هنگامی که من نمی توانم یک سیاست رمز عبور صریح پیدا کنم، شخصی خود را با پیروی از NIST با ایجاد یک حساب کاربری با رمز عبور تمام حروف تایید کرد.}

_{جالب توجه است، اگر چه بسیاری از سایت ها سیاست رمز عبور خود را منتشر نمی کنند، انتشار دستورالعمل رمز عبور توصیه استفاده هوشمند از مجموعه های چند کاراکتر، به عنوان انجام این هوشمندانه امنیت رمز عبور صدا و مطابق با دستورالعمل NIST}

نوشته‌شده در جولای 1, 2018
چگونه می توان توازن بین خط مشی رمز عبور و چالش های عملی ایجاد کرد؟

در سازمان ما ما در مورد برخی از حوادث مکرر مانند:

گزارش موفق حمل و نقل حدس زدن حملات

رمز عبور فراموش شده فراموش شده (چند بلیط در میز کمک
برای بازنشانی رمز عبور)

ما تحقیقاتی را برای شناسایی علل و نقص در عمل ما آغاز کرده ایم. سیاست رمز عبور قوی است با کلمه عبور باید حداقل 8 حرف با ترکیبی از الفبایی علامت و کاراکتر های خاص و 60 روز منقضی. رمزهای عبور تکرار برای 3 بار متوالی "

اکثر بازخورد کاربر در مورد سیاست رمز عبور منفی بود و شکایت آنها دشوار بود به یاد داشته باشید رمز عبور و اغلب آنها از ساده برای دیدار با سیاست استفاده کنید.

و ما انجام نظرسنجی داخلی (شخصی) برای شناسایی نحوه استفاده از کلمه عبور قوی و نتیجه نشان می دهد که چندین عبارت رایج در ترکیب های مختلف مورد استفاده قرار می گیرد، زیرا کاربران هر 60 روز باید رمزهای عبور را تغییر دهند.

به عنوان مثال: رمز عبور حاوی کلمات تکراری مانند نام، ، دفتر و غیره

من اعتقاد دارم که اکثر سازمان ها این سیاست ها را در پیش می گیرند و اکثر استانداردها توصیه می کنند (PCI-DSS، و غیره)، اما هیچ یک از آنها واقعا تعادل بین کنترل و کاربرد عملی را به دست نمی آورند.

از این رو نتیجه واقعی چنین سیاست ها / کنترل ها به نتیجه مطلوب دست نمی یابند. نگرانی اصلی من این است که چگونه این توازن را در این موقعیت قرار دهید؟ تکنیک های عملی که سازمان ها استفاده می کنند چیست؟

راهبری نوشته‌ها

برگه 1 برگه 2 برگه بعدی