Jei pasidomėjote, štai, kaip teisingai saugoti slaptažodžius

Kiekvienas straipsnis apie slaptažodžius turi būti pradėtas aptariant tą pačią temą, taigi čia yra: Tu’pasirinkote silpną slaptažodį ir nesąžiningai jį įdiegėte. Tačiau šis straipsnis to nepadarė’Pasirinkite slaptažodį formavimą kaip pagrindinį dėmesį. Pastaruoju metu žinios apie vartotojus, kurie’buvote sudeginti, nes pažeistos organizacijos neteisingai išsaugojo savo slaptažodžius. Čia’ai, kaip tai padaryti teisingai.


Net jei jūsų vartotojas pasirenka slaptažodį “123456,” tai ne’Atleiskite jus nuo atsakomybės saugoti ir saugoti kaip įmanoma saugiau. Daugelis kompanijų don’Tai daro - pasak vieno įsilaužėlio, 30 procentų jo lankomų svetainių’pažeidę saugo slaptažodžius paprastu tekstu.

Tinkamai išsaugoję slaptažodžius, užtikrinsite, kad net pažeisdami (kada) jūsų vartotojai bus visiškai apsaugoti. Jei to nepadarysite, galite būti atsakingi už teisinius veiksmus ir pateikti savo vartotojams’ vardai, banko sąskaitos ir internetinė reputacija.

Vien šifravimo nepakanka

Šifravimas yra pati seniausia informacijos saugumo forma. Pirmasis dokumentais patvirtintas kriptografijos pavyzdys siekia 1900 m. Pr. Kr., Kai bevardis Egipto raštininkas panaudojo pakeistus hieroglifus planšetei užšifruoti. Šiuolaikinis šifravimas, toks kaip vyriausybės standartinis AES šifravimo algoritmas, imasi paprasto teksto, įkelia jį į 4X4 kvadratą ir užkoduoja jį naudodamas simetrinio rakto algoritmą. Simetriniai algoritmai naudoja tą patį raktą ir šifruodami, ir iššifruodami duomenis.

Čia’Tai didelis silpnumas, būdingas šifravimui, saugant slaptažodžius. Kur dėjai raktą? Galite įdėti jį į atskirą serverį arba į USB raktą seifo viduje, bet tai’aišku, kad jis nėra optimalus. Jei turite priemonių iššifruoti ir peržiūrėti savo vartotojus’ slaptažodžius, tada tas priemones galėsite paimti iš jūsų. Kad slaptažodžiai būtų tikrai saugūs, turite juos paslėpti net nuo savęs.

Druska ir maišas užtikrins maksimalų saugumą

Informacijos paslėpimas nuo savęs atrodo kaip kažkas, ką galite padaryti tik naudodami elektrošoko terapiją, vaistus ar pasirenkamąsias smegenų operacijas. Tačiau matematika tai paverčia paprastesne įmone.

Yra keletas nedidelių šifravimo trūkumų, kuriuos įsilaužėliai pavertė dideliu pranašumu. Visų pirma, jūsų šifravimo schema gali išduoti šifruotą tekstą’s yra tokio paties ilgio kaip paprastas tekstas. Jei aš žinau, kad jūsų slaptažodis tikrai yra tik šešių simbolių ilgio, tada aš žinau, kad jis’verta pabandyti sulaužyti (nes žiaurios jėgos priepuolis pusryčiams suvalgys šešių ženklų slaptažodį). Ką’Dar daugiau, vanilės šifravimas gali duoti tą patį išvestį naudojant tą pačią įvestį. Jei matyčiau, kad tiek Jockas, tiek Tanya turi užšifruotą slaptažodį 6qzY13, galėčiau suprasti, kad jie’abu naudojate tą patį paprasto teksto slaptažodį ir tai greičiausiai bus kažkas paprasto.

Maišant, visas užšifruotas tekstas, nesvarbu, koks įvesties ilgis yra, yra vienodas išvesties ilgio. Geras maišos algoritmas taip pat nepaliks pradinio pranešimo pėdsakų. Užuot saugoję paprasto teksto slaptažodį, saugokite tik maišos išvestį. Kai jūsų vartotojas prisijungia, jie įveda savo paprasto teksto slaptažodį. Tuomet paprastasis tekstas laikinai saugomas atmintyje, suskaidomas ir patikrinamas pagal jūsų pateiktą maišos žymą’saugomi jūsų svetainėje. Jei maišos atitinka, jos’vėl gerai. Vėlgi nuo tavęs’Laikydami tik maišos funkciją, niekada niekada negalėsite pamatyti savo vartotojo’paprasto teksto slaptažodį - taip paslėpdami šią informaciją nuo savęs.

Ten’s paskutinis žingsnis. Leisti’sako, kad visi jūsų vartotojai pasirenka kvailus slaptažodžius, pvz ‘123456,’ ‘Slaptažodis,’ ‘Betmenas,’ tt Tai daro juos pažeidžiamus dėl ko’s vadinama iš anksto apskaičiuota žodyno ataka. Piratai nustatys, koks maišos būdas jums reikalingas’naudodamiesi, sudarykite kvailų slaptažodžių sąrašą ir naudokite tą patį algoritmą naudodami juos maišyti. Tada jie’Patikrinsite, ar jų išvesties maišos atitinka jūsų sąrašą, ir jūsų vartotojai bus suporuoti.

Druskos pateikimas jūsų duomenų bazėje yra būdas apsisaugoti nuo to. Tai reiškia, kad prie kiekvieno savo vartotojo pridedate šiek tiek atsitiktinės informacijos’ slaptažodžiai prieš maišant. Taigi, jei Donas’slaptažodis yra ‘Betmenas,’ sūdymas pavers tą slaptažodį kažkuo panašiu ‘87132458DCU4batman,’ ir tada nugramzdinkite. Druskos nėra’t pati svarbi informacija gali ir gali’negali būti naudojamas hashui sulaužyti, taigi jis’Gerai laikyti jį savo duomenų bazėje.

Atminkite, kad piratai kasmet auga vis galingesni

Moore’įstatymas veikia prieš tave. Šiuo metu NSA turi slaptažodžių nulaužimo duomenų centrą, kuris gali priversti vieną trilijoną atspėti sekundę. Kitos tautinės valstybės nėra’Toli nuo jo, ir netgi sodo veislių nusikaltėliai gali sulaužyti maišus su kompiuteriu, kainuojančiu mažiau nei naujas automobilis.

Šiuo metu vienintelis būdas apsiginti nuo to yra naudoti algoritmą, tokį kaip HMAC-SHA-256, kuris paima pirmą maišos žymą, sujungia ją su naujais atsitiktiniais duomenimis ir pakartoja. Norint užkirsti kelią slaptažodžius naikinantiems kompiuteriams, tai turėtų būti pakartota net dvidešimt tūkstančių kartų.

Maišymas, sūdymas ir maišo tempimas yra procesas, kuris atrodo bauginantis. Tačiau tai išlieka vienintelis būdas, kuriuo jūsų svarbiausi vartotojo duomenys išliks saugūs.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me