1. घर
  2. सवाल और जवाब
  3. फॉर्म प्रमाणीकरण टिकट पर्याप्त सुरक्षित है?

फॉर्म प्रमाणीकरण टिकट पर्याप्त सुरक्षित है?

2012-03-26 15 views
9

जब कोई उपयोगकर्ता डिफ़ॉल्ट प्रपत्र प्रमाणीकरण विधि के आधार पर लॉग इन करता है, तो सर्वर एन्क्रिप्टेड डेटा युक्त एक कुकी बनाता है (मशीन कुंजी का उपयोग एन्क्रिप्शन के लिए कुंजी के रूप में)।फॉर्म प्रमाणीकरण टिकट पर्याप्त सुरक्षित है?

इसका मतलब है कि अगर कोई सर्वर के लिए मशीन कुंजी ढूंढ/अनुमान/एक्सेस करता है, तो वह वेब एप्लिकेशन में लॉग इन होगा।

मैंने कुछ एप्लिकेशन विकसित किए हैं जो 4 सर्वर पर हैं। इसलिए, मैंने मशीन.कॉन्फिग में सभी सर्वरों के लिए एक ही मशीन कुंजी को हार्ड-कोड किया और मैं ऑटो जेनरेट मोड का उपयोग नहीं कर सकता।

  1. क्या मशीन कुंजी को बल देना संभव है?
  2. क्या कोई अन्य तरीका है? (मैं विंडोज और पासपोर्ट का उपयोग नहीं करना चाहता)
  3. और फॉर्म प्रमाणीकरण टिकट पर्याप्त सुरक्षित है? (यानी ई-बैंकिंग अनुप्रयोगों के लिए स्वीकार्य)

स्रोत

2012-03-26 Amir Pournasserian

+0

जवाब यह है कि मदद की सबसे :-) – reach4thelasers

उत्तर

18

एएसपी.नेट फॉर्म प्रमाणीकरण टिकट रिजेंडेल एल्गोरिदम का उपयोग करके एन्क्रिप्टेड हैं। रिजेंडेल को डीईएस (डेटा एन्क्रिप्शन स्टैंडर्ड) के प्रतिस्थापन के रूप में बनाया गया था, जिसने डेटा एन्क्रिप्ट करने के असीमित तरीकों की पेशकश की और ब्रूट फोर्स अटैक के लिए अतिसंवेदनशील भी था। डेस चैलेंज के एक नंबर डेस दरार करने के क्रम में अपने निहित कमजोरियों को उजागर करने के टीमों को चुनौती देने के देर से 90 के आरएसए सुरक्षा द्वारा का आयोजन किया गया: http://en.wikipedia.org/wiki/DES_Challenges

तुलना क्रिप्ट (यह भी उन्नत एन्क्रिप्शन मानक एईएस के रूप में जाना जाता है) द्वारा लंबे समय तक कुंजी का उपयोग करता है - 256bits और एक डबल एन्क्रिप्शन एल्गोरिदम। 256 बिट रिजेंडेल कुंजी (जैसे एएसपी.नेट मशीन कुंजी) को क्रैक करने के लिए 2^200 ऑपरेशंस (लगभग 10^60 - दस 60 शून्य के साथ) की आवश्यकता होगी, बल क्रैक को क्रूर करने के लिए असंभव है। इस तथ्य के साथ मिलें कि एएसपी.नेट टिकट नियमित रूप से बदलता है, और जब डिक्रिप्ट किया जाता है तो मूल रूप से अक्षरों और संख्याओं की यादृच्छिक स्ट्रिंग की तरह दिखता है (यह निर्धारित करना असंभव है कि क्या आपके पास ब्रूट फोर्स डिक्रिप्ट किया गया है या नहीं) आप किसी को भी आश्वस्त नहीं कर सकते जल्द ही आपके फॉर्म प्रमाणीकरण कुकी को क्रैक कर देगा। क्रिप्ट और उसके संभावित हमलों के बारे में यहाँ

और जानकारी:

http://en.wikipedia.org/wiki/Advanced_Encryption_Standard#Known_attacks

स्रोत

2012-03-26 08:59:33 reach4thelasers

1

एन्क्रिप्शन का पहला नियम यह है कि संदेश केवल कुंजी के रूप में सुरक्षित है। अगर किसी के पास आपकी कुंजी तक पहुंच है तो कोई विधि पर्याप्त सुरक्षित नहीं है।

  1. मुझे संदेह है कि किसी भी उचित समय में मशीन कुंजी को बलपूर्वक बल देना संभव है।
  2. मेरा मानना ​​है कि फोमर्स प्रमाणीकरण एकमात्र सच्चा वेब समाधान है जो एएसपी.नेट में बॉक्स से बाहर आता है। आप अपना खुद का कार्यान्वयन कर सकते हैं लेकिन मुझे संदेह है कि यह अधिक सुरक्षित होगा।
  3. क्या के लिए पर्याप्त सुरक्षित है? यदि आप ईवेंट सत्यापन (वेब ​​फॉर्म में) बंद करते हैं या सुरक्षा टोकन (एमवीसी) का उपयोग नहीं करते हैं तो यह गैर-एन्क्रिप्टेड कनेक्शन में मध्य में एक व्यक्ति द्वारा अपरिवर्तनीय है और XSRF हमलों के लिए कमजोर है। अन्यथा यह उन सभी शोषणों के लिए सुरक्षित सुरक्षित है जो सभी तकनीकों में हर समय खोजे और तय किए जाते हैं।

स्रोत

2012-03-26 08:45:51 Stilgar

+0

चिह्नित करने के लिए क्यों मशीन कुंजी की आवश्यकता होती है कि सर्वर नीचे लाया जाता है के लिए मजबूर जानवर हैं याद रखें? ब्रूट फोर्स मूल रूप से मशीन कुंजी का अनुमान लगाने के लिए हर संभावित संयोजन की जांच कर रहा है। – reach4thelasers

+0

मुझे विश्वास है कि इसे सर्वर पर कुकी भेजने की आवश्यकता होगी? या नहीं? वैसे भी मशीन कुंजी वास्तव में लंबी है और आसानी से मजबूर नहीं किया जा सकता है। – Stilgar

+0

रिजेंडेल सिर्फ एक एल्गोरिदम है, इसे किसी भी मशीन पर चलाया जा सकता है।यदि आप मशीन कुंजी के लिए हर संभव संयोजन की जांच करके मशीन कुंजी को GUESS कर सकते हैं तो आप किसी भी कंप्यूटर पर टिकट को क्रैक कर सकते हैं। सर्वर पहले से ही मशीन कुंजी जानता है, इसलिए जब टिकट वापस भेजा जाता है तो उसे अनुमान लगाने की आवश्यकता नहीं होती है। – reach4thelasers

 संबंधित मुद्दे

  • कोई संबंधित समस्या नहीं^_^