@FH_prg
از ذکر نکات بسیار مفید شما و شرکت شما در این بحث سپاسگزارم ،

پسورد هش شده حتما بايد يك رابطه رياضي با نام كاربري داشته باشه تا قابل جايگذاري نباشه (مثلا ميتونه يك رابطه رياضي ساده يا پيچيده با CRC نام كاربر داشته باشه)
بله ، در اینصورت با تغییر نام کاربری ، پسورد کاربر هم تغییر خواهد کرد ، پس نفوذگر نمیتواند در صورت یافتن پسورد یک کاربر ، پسورد کاربر دیگری را با آن جایگزین کند ، البته اگر نام کاربری هم Hash شده باشد که پیدا کردن نام کاربری نیز بسیاز دشوار خواهد بود ،

بهتره براي اينكه از تداخلها و توليد پترنهاي يكسان جلوگيري كنيم هميشه نام كاربري رو با يك مقدار تصادفي جمع كنيم البته اين عمل فقط يك بار و در لحظه تعريف كردن نام كاربر اتفاق ميفته...
به این روش هم Salted Hash گفته میشود که پیش از این راجع به آن بحث شد ، اما مجددا" بر به کارگیری آن تاکید میشود ،

چندتا كلمه رمز پيش فرض دارم كه هميشه اول اونا رو چك ميكنم
میتوانیم در هنگام ایجاد پسورد و چک کردن Password Strength به کاربر اجازه ندهیم تا یکسری واژگان خاص یا ترکیبات آنها را در پسورد خود وارد کند ،

نام كاربري شما دچار تخلف شده و هم اكنون تخلف شما به مدير گزارش شد
در سیستم های ایمن عموما" در صورتیکه کاربر برای تعداد مشخصی پسورد خود را اشتباه وارد کند ، نام کاربری وی قفل شده و مدیر سیستم باید آن را محددا" فعال نماید یا اینکه تنها برای یک بازه زمانی قفل میشود ،

به عنوان خرابكار ميرم سراغ sql injection تجربه بهم ثابت كرده حتي برنامه هاي دسكتاپ و غير وب هم ميتونن اين ضعف بزرگ رو داشته باشن چندتا فرمان sql به جاي نام كاربر ميدم ولي اتفاقي نميفته چون به خوبي فرمانهاي كليدي sql رو موقع كد نويسي فيلتر كردن بيخيال اين روش......
SQL Injection هم از حملات شایع است که برای جلوگیری از آن باید از Parameterized Queries و Stored Procedure ها استفاده نمود و برای امنیت بیشتر دیتا را نیز باید پیش از پاس دادن به SP و همچنین در داخل SP و پیش از اجرای کوئری اعتبارسنجی نماییم ،
در ضمن فیلتر کردن واژگان کلیدی SQL به تنهایی کافی نیست ، چون ممکن است خرابکار از معادل هگزادسیمال این واژگان استفاده کند ، پس باید سیستم در مقابل Hexadecimal SQL Injection نیز ایمن گردد ،


با خودم ميگم كافيه رو سيستم يكي از كاربرا يك اسنيفر نصب كنم و اطلاعاتي كه در لحظه ورود از سيستمش وارد شبكه ميشه بدست بيارم شايد بتونم كاري كنم...بعد از انجام اينكار يك مشت اطلاعات كد شده وبي معني رو دستم موند به احتمال زياد اطلاعات بين سرور و كلاينت به صورت كد شده جابجا ميشه و clear text نيست اينم بي خيال...
البته بسیاری از نرم افزارهای Sniffer ممکن است توسط ابزارهای امنیتی شناخته شده و به کاربر اطلاع دهند ، برای تبادل دیتا بین سرور و کلاینت پیشنهاد میشود از SSL استفاده کنیم تا اطلاعات رد و بدل شده به صورت Plain-Text/Clear-Text نباشند ،

اي بابا چرا زودتر به فكرم نرسيد؟ يك كيلاگر نصب ميكنم پسوردشو ميزنم

بله ، این مورد نیز ممکن است نوسط ابزارهای امنیتی به کاربر اطلاع داده شده و از فعالیت مخرب آن جلوگیری به عمل بیاید ،


فقط يك رشته بسيار طولاني ميبينم كه نامفهومه معلوم نيست با چي هش شده ! به خودم ميگم احتمالا يك الگوريتم هشينگه جديده يا من دراوردي پس به اين راحتي نميشه فهميد چيه شايد تركيبي از MD5 , SHA512 باشه

البته تا جایی که ممکن است نباید از الگوریتم های Hash که ساخته خودمان استفاده کرد یا اینکه باید امنیت آن با دقت تمام مورد بررسی قرار گیرد ، چون ممکن است الگوریتم ابداعی ما بر خلاف تصور خود که گواه بر قوی بودن آن است ، به سادگی شکسته شود ،

يك پسورد 6 كاراكتري خيلي ساده رو در عرض 24 ساعت كار بي وقفه پيدا كنه
به خاطر همین موضوع است که باید مبحث Password Strength جدی گرفته شده و از ایجاد پسوردهای Weak جلوگیری به عمل بیاید ،

تو مگه نميگفتي اگه با دات نت نوشته باشنش سه سوت سورسشو برام در مياري دخلشو مياري؟!!! اره گفتم ولي اين يكي خيلي خفنه با دوتا پروتكتور خيلي خفن قفلش كردن : SmartAssembly , InteliLock هيچي از سورس برنامه معلوم نيست ميبيني كه تموم برنامه هامو روش تست كردم نميتونن
بله ، استفاده از Protector ها همواره جهت بالا بردن امنیت نرم افزار توصیه میشود ، البته تاکید میکنم جهت بالابرن امنیت ، چون باز هم این ابزار به طور کامل تضمینی بر روی لو نرفتن سورس کد نخواهند داشت ،

البته ایده ی استفاده از Captcha نیز موجب ارتقاء امنیت سیستم میگردد ، چرا که کاربر باید پیش از ورود به پنجره/صفحه لاگین ابتدا از این مرحله عبور کرده و یکسری علائم رندوم ایجاد شده را که به صورت تصاویر در هم ریخته است ، وارد نماید ،

پ.ن :

خسته شدم.... اين داستان ادامه داره اگه خوشتون اومد ادامش ميدم.... اگه نه ببخشيد ديگه...فعلا.
مسلما" شرکت شما و دیگر دوستان موجب هر چه پربارتر شدن این بحث خواهد شد ،/