In het geval u zich afvroeg, kunt u wachtwoorden op de juiste manier opslaan

Elk artikel over wachtwoorden moet beginnen met hetzelfde onderwerp te bespreken, dus hier is het: Jij’heb een zwak wachtwoord gekozen en het onverwacht geïmplementeerd. Dit artikel doet dat echter niet’t kies wachtwoordvorming als primaire focus. Er is de laatste tijd een vlaag van activiteit geweest in het nieuws over gebruikers die’zijn verbrand omdat overtreden organisaties hun wachtwoorden onjuist hebben opgeslagen. Hier’s hoe het goed te doen.


Zelfs als een gebruiker van u het wachtwoord kiest “123456,” dat doet het niet’t ontslaat u van de verantwoordelijkheid om het zo veilig mogelijk op te slaan en te beschermen. Veel bedrijven don’t doen - volgens een hacker, 30 procent van de sites die hij’overtreden slaan hun wachtwoorden op in platte tekst.

Als u uw wachtwoorden correct opslaat, zorgt u ervoor dat zelfs als (wanneer) u wordt overtreden, uw gebruikers volledige bescherming genieten. Als u dit niet doet, kunt u aansprakelijk worden gesteld voor gerechtelijke stappen en uw gebruikers plaatsen’ namen, bankrekeningen en online reputaties die gevaar lopen.

Alleen codering is niet genoeg

Versleuteling is de oudste vorm van informatiebeveiliging die er is. Het eerste gedocumenteerde voorbeeld van cryptografie gaat terug tot 1900 voor Christus, toen een naamloze Egyptische schrijver veranderde hiërogliefen gebruikte om een ​​tablet te coderen. Moderne codering, zoals het AES-coderingsalgoritme van de overheid, neemt platte tekst op, laadt het in een 4X4-vierkant en vervormt het met behulp van een symmetrisch sleutelalgoritme. Symmetrische algoritmen gebruiken dezelfde sleutel voor zowel het coderen als het decoderen van gegevens.

Hier’s de grote zwakte die inherent is aan het gebruik van codering zelf om wachtwoorden op te slaan. Waar leg je de sleutel? Je zou het op een aparte server kunnen zetten, of op een USB-stick in een kluis, maar dat’s duidelijk suboptimaal. Als u over de middelen beschikt om uw gebruikers te decoderen en te bekijken’ wachtwoorden, dan kunnen die middelen van u worden afgenomen. Om wachtwoorden echt veilig te houden, moet u ze zelfs voor uzelf verbergen.

Zout en hasj voor maximale veiligheid

Een stukje informatie voor jezelf verbergen klinkt als iets dat je alleen kunt bereiken met behulp van elektroshocktherapie, medicijnen of electieve hersenchirurgie. Wiskunde maakt dit echter tot een eenvoudiger onderneming.

Er zijn een paar kleine tekortkomingen van codering die hackers tot een groot voordeel hebben gemaakt. Allereerst kan uw crypto-schema gecodeerde tekst uitvoeren’s dezelfde lengte als de platte tekst. Als ik weet dat uw wachtwoord zeker maar zes tekens lang is, weet ik dat het dat is’is het proberen waard om te breken (omdat een brute-force aanval een wachtwoord van zes tekens voor het ontbijt opeet). Wat’Bovendien kan vanille-codering dezelfde uitvoer produceren met dezelfde invoer. Als ik zie dat zowel Jock als Tanya het gecodeerde wachtwoord 6qzY13 hebben, zou ik erachter kunnen komen dat ze dat zijn’gebruiken beide hetzelfde platte tekstwachtwoord en dat het waarschijnlijk iets eenvoudigs is.

Met een hash heeft alle gecodeerde tekst, ongeacht de invoerlengte, dezelfde uitvoerlengte. Een goed hash-algoritme laat ook geen spoor van het oorspronkelijke bericht achter. In plaats van het wachtwoord voor platte tekst op te slaan, slaat u alleen de gehashte uitvoer op. Wanneer uw gebruiker zich aanmeldt, voert hij zijn wachtwoord voor platte tekst in. De platte tekst wordt vervolgens tijdelijk in het geheugen opgeslagen, gehasht en vervolgens vergeleken met de hash die u gebruikt’heb opgeslagen op uw site. Als de hashes overeenkomen, doen ze dat’opnieuw goed. Nogmaals, sinds jij’Als u alleen de hash opslaat, kunt u uw gebruiker nooit zien’s wachtwoord zonder opmaak - waardoor deze informatie voor uzelf wordt verborgen.

Daar’s nog een laatste stap. Laat’s zeggen dat uw gebruikers allemaal domme wachtwoorden kiezen, zoals ‘123456,’ ‘wachtwoord,’ ‘oppasser,’ enz. Dit maakt hen kwetsbaar voor wat’s een vooraf berekende woordenboekaanval genoemd. Hackers bepalen wat voor soort hash je bent’opnieuw gebruiken, neem een ​​lijst met domme wachtwoorden en hash ze vervolgens met hetzelfde algoritme. Toen ... ze’Ik zal hun output-hashes vergelijken met jouw lijst, en je gebruikers zullen geplunderd zijn.

Je database zouten is de manier om je hiertegen te verdedigen. Dit betekent dat u een beetje willekeurige informatie toevoegt aan elk van uw gebruikers’ wachtwoorden voorafgaand aan hashing. Dus, als Don’s wachtwoord is ‘oppasser,’ zouten zal dat wachtwoord in zoiets veranderen ‘87132458DCU4batman,’ en dan door elkaar gooien. Het zout isn’t cruciale informatie op zichzelf, en kan’t gebruikt om de hash te breken, dus het’het is prima om het in uw database op te slaan.

Vergeet niet dat hackers elk jaar krachtiger worden

Moore’de wet werkt tegen je. De NSA heeft nu een datacenter voor het kraken van wachtwoorden dat een triljoen gissingen per seconde kan maken. Andere natiestaten aren’t ver achter, en zelfs tuincriminelen kunnen hasj breken met een computer die minder kost dan een nieuwe auto.

De enige manier om zich hiertegen te verdedigen, is door een algoritme te gebruiken, zoals HMAC-SHA-256, dat de eerste hash neemt, het opnieuw combineert met nieuwe willekeurige gegevens en het opnieuw hasht. Om computers die wachtwoorden verijdelen te dwarsbomen, moet dit maar liefst twintigduizend keer worden herhaald.

Hashen, zouten en strekken is een proces dat op het eerste gezicht ontmoedigend lijkt. Het blijft echter de enige methode waarbij uw kritieke gebruikersgegevens veilig blijven.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me