درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      محمد نصیری
      امتیاز: 802020
      رتبه:1
      364
      1646
      801
      10551
      محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

      آیا مدیر سیستم یا مدیر وب سایت می تواند به پسوردهای شما دسترسی داشته باشد؟

      تاریخ 10 ماه قبل
      نظرات 0
      بازدیدها 235
      یکی از سئوالاتی که در طی سالیان سال فعالیت در سازمان های مختلف و البته مدیریت وب سایت ITPRO کاربران از من می پرسیدند این بود که آیا شما می توانید پسوردها یا همان رمزهای عبور ( گذرواژه) را ببینید ؟ خوب اگر اینطور باشد ما احساس امنیت نمی کنیم و حریم خصوصی ما زیر سئوال می رود و به همین خاطر از عضویت در وب سایت شما خودداری می کنیم !! از طرفی کاربران شبکه نیز همیشه به چشم یک جاسوس که به همه پسوردهای شما دسترسی دارد به شما نگاه می کنند ، اما آیا واقعا مدیر سیستم می تواند به پسوردهای شما دسترسی داشته باشد ؟ امروز می خواهم کمی خیال شما را بابت این موضوع راحت کنم که مکانیزم ذخیره سازی استاندارد پسوردها در اکثر سیستم ها به نحوی است که این اجازه را حتی به مدیر وب سایت و سیستم نمی دهد که بتواند پسورد شما را مشاهده کند ، پس با ما باشید.

      نحوه نگهداری پسورد در وب سایت


      شما زمانیکه در یک وب سایت ثبت نام می کنید یا در شبکه سازمانی خودتان پسوردتان را تغییر می دهید ، این پسورد با استفاده از یک الگوریتم رمزنگاری یک طرفه تبدیل به یک رشته با طول ثابت می شود که به آن در اصطلاح فنی Hash گفته می شود. به زبان ساده تر شما چه پسوردی با طول صدها کاراکتر چه پسوردی به طول یک کاراکتر داشته باشید ، زمانیکه پسورد در پایگاه داده سیستم ذخیره می شود در قالب یک رشته مثلا 100 کاراکتری ذخیره می شود که رمزنگاری شده و غیرقابل فهم برای انسان می باشد. بنابراین در وهله اول هیچگاه پسورد شما در قالب چیزی که شما می بینید در سیستم ذخیره نمی شود که مدیر سیستم بتواند با باز کردن آن به محتویات پسوردها دسترسی پیدا کند و اون نیز فقط پسوردها را در قالب رمزنگاری شده مشاهده می کند. اما سئوال دیگر ممکن است اینگونه باشد که آیا مدیر سیستم یا برنامه نویس وب سایت می تواند کاری کند که پسوردها رمزنگاری نشوند و در قالب پسورد خام نگهداری شوند تا برایش قابل مشاهده باشند یا خیر ؟

      پاسخ به این سئوال مثبت است اما هیچوقت و تاکید می کنم که هیچوقت هیچ مدیر سیستم و برنامه نویسی چنین ریسک بزرگی را نمی کند زیرا به کلی امنیت سیستم زیر سئوال می رود. همانطور که شما به عنوان کاربر نگران دسترسی پیدا کردن مدیر سیستم و وب سایت به پسوردهای خودتان هستید یک مدیر سیستم نیز نگران افشاء شدن و منتشر شدن پسوردها و نقض شدن حریم خصوصی کاربران و از همه مهمتر از بین رفتن اعتبار وب سایت خودش است و به همین دلیل به هیچ عنوان برای اینکه خودش بتواند به پسوردها دسترسی داشته باشد چنین کاری را نخواهد کرد مگر اینکه وب سایت مورد نظر بسیار سطح پایین و بی اعتبار باشد. اما سئوال بعدی این است که با توجه به قاعده نگهداری پسوردها در قالب رمزنگاری Hash بنابراین اگر پسوردی با پسورد دیگر مشابه باشد Hash آنها نیز یکسان است و این ممکن است باعث شود که کاربرانی با پسوردهای مشابه در سیستم شناسایی شوند و با به دست آمدن پسورد یکی از آنها پسورد تعداد زیادی از کاربران افشاء شود !!! این درست است ؟

      کاربرد Salt در عملیات Hashing


      نحوه ذخیره سازی پسوردها


      پاسخ این سئوال هم مثبت است اما نه همیشه ، بر اساس مکانیزم رمزنگاری یکطرفه Hash شما همیشه پسوردهای مشابه را به یک شکل رمزنگاری شده مشاهده می کنید یعنی پسورد 123 یک کاربر اگر برای 100 کاربر 123 باشد شما 100 عدد رشته Hash مشابه در پایگاه داده بصورت ذخیره شده دارید و این یعنی با بدست آمدن و افشاء شدن پسورد تنها یکی از این کاربران 100 کاربر رسما هک شده اند !!! برای جلوگیری از به وجود آمدن این مشکل نیز راهکاری ارائه شده است که زمانیکه پسوردی تبدیل به Hash می شود قبل از ذخیره با یک رشته تصادفی در اصطلاح فنی ترکیب می شود و محتوای متفاوتی نسبت به سایر پسوردهای مشابه پیده می کند ، حتی جالب است بدانید که شما با تغییر پسورد نیز hash متفاوتی دریافت خواهید کرد و این مکانیزم امنیتی باعث می شود که هیچگاه شما در این پایگاه داده Hash مشابهی نداشته باشید. بنابراین آسوده خاطر باشید و با خیال راحت پسوردهای خودتان را در وب سایت ها و سرویس های معتبر تغییر و استفاده کنید. امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید

      نویسنده : محمد نصیری
      منبع : ITPRO
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow