I tilfælde af at du undrede dig, er det sådan, hvordan du gemmer adgangskoder korrekt

Hver artikel om adgangskoder skal starte med at diskutere det samme emne, så her er det: Du’Vi har valgt en svag adgangskode og anvendt det uvidende. Denne artikel gør det dog ikke’t vælg adgangskodedannelse som dets primære fokus. Der har været en uklar aktivitet i nyhederne for nylig om brugere, der’Vi er blevet brændt, fordi krænkede organisationer har gemt deres adgangskoder forkert. Her’s hvordan man gør det rigtigt.


Selv hvis en bruger af dig vælger adgangskoden “123456,” det gør det ikke’t fritager dig for ansvaret for at opbevare og beskytte det så sikkert som muligt. Mange virksomheder don’t gør dette - ifølge en hacker, 30 procent af de websteder, han’s overtrådt gemmer deres adgangskoder i almindelig tekst.

Hvis du gemmer dine adgangskoder korrekt, sikrer du, at dine brugere nyder fuld beskyttelse, selv hvis du (når) overtrædes. Hvis du ikke gør det, kan du blive ansvarlig for retslige handlinger og sætte dine brugere’ navne, bankkonti og online omdømme i fare.

Kryptering alene er ikke nok

Kryptering er den ældste form for informationssikkerhed, der findes. Det første dokumenterede eksempel på kryptografi går tilbage til 1900 f.Kr., da en navnløs egyptisk skrifter anvendte ændrede hieroglyfer til at kryptere en tablet. Moderne kryptering, såsom den regeringsstandard AES-krypteringsalgoritme, tager ren tekst, indlæser den i en 4X4 kvadrat og ruller den ved hjælp af en symmetrisk nøglealgoritme. Symmetriske algoritmer bruger den samme nøgle til både kryptering og dekryptering af data.

Her’er den store svaghed, der er forbundet med at bruge kryptering i sig selv til at gemme adgangskoder. Hvor lægger du nøglen? Du placerer den måske på en separat server eller på en USB-nøgle inde i et pengeskab, men det’er klart suboptimal. Hvis du har midlerne til at dekryptere og se dine brugere’ adgangskoder, så kan disse midler tages fra dig. For at holde adgangskoder virkelig sikre, skal du skjule dem selv for dig selv.

Salt og Hash for maksimal sikkerhed

At skjule et stykke information for dig selv lyder som noget, du kun kunne opnå ved hjælp af elektrosjokterapi, medicin eller elektiv hjernekirurgi. Matematik gør dette imidlertid til en enklere virksomhed.

Der er et par mindre svagheder ved kryptering, som hackere har forvandlet til en stor fordel. Først og fremmest udsender dit krypteringsprogram muligvis krypteret tekst’er den samme længde som almindelig tekst. Hvis jeg ved, at din adgangskode bestemt kun er seks tegn lang, så ved jeg, at den er’er det værd at forsøge at bryde (fordi et brute-force-angreb vil spise et kodeord med seks tegn til morgenmad). Hvad’s mere, vaniljekryptering producerer muligvis den samme output ved hjælp af den samme input. Hvis jeg ser, at både Jock og Tanya har den krypterede adgangskode 6qzY13, kunne jeg finde ud af, at de’begge bruger den samme almindelige adgangskode, og at det sandsynligvis vil være noget simpelt.

Med en hash har al kodet tekst, uanset indgangslængde, den samme outputlængde. En god hashing-algoritme vil heller ikke efterlade spor af den originale meddelelse. I stedet for at gemme almindelig adgangskode, gemmer du kun hash-output. Når din bruger logger på, indtaster de deres almindelige adgangskode. Kladteksten gemmes derefter midlertidigt i hukommelsen, hashes og kontrolleres derefter mod den hash, som du’er gemt på dit websted. Hvis hasjene stemmer overens, de’igen god. Igen, siden du’Når du kun gemmer hasjen, kan du aldrig faktisk se din bruger’s almindelige adgangskode - dermed gemmer du disse oplysninger for dig selv.

der’er et sidste skridt at tage. Lade’s siger, at dine brugere alle vælger stumme adgangskoder som ‘123456,’ ‘adgangskode,’ ‘batman,’ osv. Dette gør dem sårbare over for hvad’s kaldes et forud beregnet ordbogangreb. Hackere vil bestemme, hvilken slags hash du har’igen bruger du, tag en liste over stumme adgangskoder, og hash dem derefter ved hjælp af den samme algoritme. Så de’Kontroller deres output-hash mod din liste, og dine brugere vil være blevet pwned.

Saltning af din database er måden at forsvare sig mod dette. Dette betyder, at du tilføjer en smule tilfældige oplysninger til hver af dine brugere’ adgangskoder inden hashing. Så hvis Don’s adgangskode er ‘batman,’ saltning vil gøre denne adgangskode til noget lignende ‘87132458DCU4batman,’ og derefter krydre det. Saltet er ikke’t afgørende information på egen hånd og kan’t bruges til at bryde hash, så det’det er okay at gemme det i din database.

Husk, at hackere bliver stærkere hvert år

Moore’s lov fungerer mod dig. NSA har lige nu et adgangskoddækkende datacenter, der kan få en billion til at gætte et sekund. Andre nationalstater er’t langt bagefter, og endda kriminelle i forskellige haver kan ødelægge hasjer med en computer, der koster mindre end en ny bil.

Den eneste måde at forsvare sig mod dette indtil videre er at bruge en algoritme, såsom HMAC-SHA-256, der tager den første hash, rekombinerer den med nye tilfældige data og omskoler den. For at forhindre computerbrydende computere skal dette gentages så mange som tyve tusind gange.

Hashing, saltning og strækning af hash er en proces, der virker skræmmende på den. Det er dog den eneste metode, hvor dine kritiske brugerdata forbliver sikre.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me