آیا مشترک است که گذر کلمه عبور متن ساده و استفاده از آنها برای ورود به وب سایت های دیگر؟
می توانم بگویم که شما حق دارید که پارانوئید باشد. من می توانم تا حدودی با شما در مورد استفاده از سایت های شناخته شده کمتر همدلی داشته باشم، هرچند این نقطه من با آن مخالف نیست- آنچه که شما در مورد آن صحبت می کنید، صرفا انحصاری نیست به سایت های با کیفیت پایین، کمتر شناخته شده جهان، و کلمه عبور را نمی توان به سادگی در متن ساده ذخیره کرد تا بتواند برای مهاجم برای آینده مفید باشد.
آنچه شما به آن اشاره می کنید اساسا نقص و نشت داده اطلاعات حساس / PII، یا اطلاعات شناسایی شخصی، در اینجا بیشتر بخوانید. یکی از جدیدترین نمونه های این اتفاق در مقیاس وسیع، نقص Equifax در سال 2017 بود.
من همچنین نحوهی که Equifax به مردم اجازه می دهد تا ببینند که آیا آنها به خطر افتاده اند، بسیار وحشتناک هستند. برای این که Equifax به شما کمک کند تا تعیین کنید که آیا اطلاعات شما در واقع نشت کرده است یا خیر، به شما نشان داده شده است، آنها نیاز دارند که نام خانوادگی خود را به عنوان آخرین 6 رقمی شماره امنیت اجتماعی تان وارد کنید. من این را می خواهم.
منابع مانند آیا من پوند؟ توسط محقق امنیتی Troy Hunt که فهرست ایمیل های شناخته شده ایمیل را بررسی می کند تا شما را در تعیین اینکه آیا ایمیل شما در حین نقض نشت کرده است شناسایی کرده است.
و به آخرین نکته شما، این وب سایت های مخرب وجود دارد و کاملا رایج هستند. تعدادی از روش ها برای اینکه چگونه مهاجمان می توانند مردم را به بازدید از سایت ها و افشای اطلاعات خود متمایل کنند، وجود دارد اما طرح کلی این به عنوان فیشینگ شناخته شده است . بیشتر در مورد این موضوع می توان گفت، اما این می تواند در قالب وب سایت های doppleganger، وب سایت های جعلی خریداری شده و تبلیغات گسترده ای باشد و حتی می تواند به وب سایت های راه اندازی نشانه های رمزنگاری معروف و غیره گسترش دهد.
امیدوارم از بالا به شما کمک کند اهمیت چرخاندن کلمات عبور، استفاده مجدد از گذرواژهها، و دائما هوشیاری آنلاین!
php – اگر متن cypher، متن ساده و nonce شناخته شده باشد، می تواند کلید مخفی تعیین شود؟
من با استفاده از sodium_crypto_secretbox و sodium_crypto_secretbox_open توابع در PHP (در حال حاضر PHP 5.6، با استفاده از paragonie / sodium_compat )
متن cypher، متن غیر کجایی و رمزگشایی، آیا می توانند کلیدی را که برای رمزگذاری اطلاعات استفاده می شود تعیین کند؟
متن: رمزگذاری ورود کاربر (یک کوکی، ذخیره شده در دستگاه) و استفاده از آن به عنوان یک نشانه CSRF نشانه CSRF لزوما شامل nonce برای رمزگشایی در هنگام ارسال است. Token CSRF رمزگشایی شده و در ارسال فرم POST ها برای محافظت در برابر حملات CSRF تأیید شده است.
نگرانی من برای حمله کنندگان CSRF بسیار زیاد نیست، بلکه به عنوان کلیدی برای دسترسی به کوکی ها وجود ندارد. برای ساده بودن، استفاده از همان کلید برای سایر توابع رمزگذاری در نرم افزار مفید است، اما من نمی توانم از این اطلاعات به راحتی استفاده کنم. یک کاربر مشروع میتواند نشانه و کوکی CSRF را ببیند: آیا میتوانند کلید را کشف کنند؟
تغییر از hash bcrypt به sha1 یا حتی متن ساده برای عملکرد
یک برنامه کاربردی را که در مفهوم به یک سرور FTP مشابه است، توسعه دادم. چند صد حساب کاربری وجود دارد و از bcrypt برای ذخیره کلمات عبور هشدار استفاده می کند.
تمام رمزهای عبور کاربر به صورت تصادفی تولید شده اند. GUID های 128 بیتی v4
یکی از ویژگی های برنامه من، بسیاری از ورودی های همزمان را ایجاد می کند. وقتی این اتفاق می افتد، bcrypt بر پروفیل های عملکرد غلبه می کند و تجربه کاربر را تضعیف می کند. من می خواهم CPU را با جایگزین کردن bcrypt با استفاده از تابع هش CPU کمتری کاهش دهم.
برنامه های کاربردی وب از bcrypt برای کلمه عبور استفاده می کنند به جای هش های بسیار ضعیف (مانند SHA-1 یکپارچه یا حتی ROT13)، به طوری که کرک آنلاین به طور ناگهانی غیر منتظره.
اما، از آنجا که یک برنامه FTP-server-like فقط فایل ها را بر روی دیسک محلی خواند / می نویسد، هر مهاجم با دسترسی به پایگاه داده ورود به سیستم، این دسترسی محلی را به هر حال خواهد داشت. بنابراین فکر نمی کنم آفلاین hash-cracking یک تهدید معتبر باشد.
که فقط بروتفورس آنلاین را ترک می کند، اما از آنجایی که من خوش شانس هستم تا تضمین رمز عبور قوی (GUID های 128 بیتی v4) داشته باشم، این نیز غیر قابل اجرا است.
بنابراین من در این وضعیت فکر میکنم امنیت را برای چیزی که به طور قابل توجهی ضعیف (به عنوان مثال SHA-1 یک یا حتی ROT13) پایین میآید، پایین میآورم.
سوال من این است:
آیا چیزی را فراموش کردهام ؟ آیا این تحلیل اشتباه است؟
رمزگذاری – وب سایت تجارت الکترونیکی که از HTTP متن استفاده می کند اما در حین پرداخت، به PayPal هدایت می کند
من نیاز به خرید چند مورد (تی شرت، دی وی دی، و غیره) در وب سایت قدیمی تجارت الکترونیک که در حالی که به روز نشده است و از HTTPS برای رمزگذاری داده ها در حمل و نقل استفاده نمی کند. وبسایت هیچ مکانیسم احراز هویت را اجرا نمیکند، شما نمیتوانید یک حساب کاربری در وب سایت ایجاد کنید. این فقط به شما امکان می دهد که محصولات را فهرست کنید و موارد را به یک سبد خرید اضافه کنید. بخش سبد خرید قیمت کل اقلام شما را نشان می دهد و همچنین راه را برای محاسبه هزینه حمل و نقل خود را بر اساس کشور خود و کد پستی / پست. تمام این اطلاعات به عنوان کل وب سایت با استفاده از متن ساده HTTP رمزگذاری نمی شود.
من نمی توانم اطلاعات پرداخت را در وب سایت وارد کنم و فرایند پرداخت من را تکمیل کنم. وب سایت تنها یک روش پرداخت دارد – پرداخت با پی پال.
به محض این که دکمه پرداخت با پی پال را کلیک می کنم به وب سایت امن پی پال هدایت می شود که من می توانم وارد شوید و خریداری کنم. توجه: من واقعا سعی نکردم به PayPal وارد شوید زیرا نگران بود که اطلاعات ورود / پرداخت به نوعی به وب سایت اصلی HTTP بازگردانده شود و در مرحله بعد دوباره باز شود. من همچنین نمی دانم که آیا من از طریق PayPal خریداری می کنم، پرداخت و مراحل معامله در وب سایت PayPal به جای وب سایت اصلی HTTP تکمیل خواهد شد. [1965،9002] سوال من به شرح زیر است:
من مطمئن هستم که برای خرید اقلام در این وبسایت ایمن باشم با توجه به این واقعیت که هیچ اطلاعات حساس (صرف نظر از کل هزینه اقلام در سبد خرید و هزینه های حمل و نقل) در وب سایت ذخیره می شود و کل فرایند پرداخت فقط بر روی آن اتفاق می افتد وب سایت PayPal امن (100٪ مطمئن نیست هر چند که من در واقع انجام خرید از طریق PayPal هنوز)
آیا شما یک محصول را در یک وب سایت خریداری و پرداخت با PayPal بدون نگرانی از اینکه اطلاعات شما می تواند توسط یک مهاجم مرد در میان؟
