Jeśli się zastanawiasz, oto jak prawidłowo przechowywać hasła

Każdy artykuł na temat haseł musi zaczynać się od omówienia tego samego tematu, więc oto: Ty’wybrałem słabe hasło i wdrożyłem je nierozsądnie. Jednak ten artykuł nie’t wybierz tworzenie hasła jako główny cel. Ostatnio w wiadomościach pojawiła się fala aktywności na temat użytkowników, którzy’zostały spalone, ponieważ naruszone organizacje nieprawidłowo zapisały swoje hasła. Tutaj’jak zrobić to dobrze.


Nawet jeśli użytkownik wybierze hasło “123456,” to nie’Zwolnij cię od odpowiedzialności za przechowywanie i ochronę w sposób jak najbardziej bezpieczny. Wiele firm don’t rób to - według jednego hakera 30% stron, które on’Naruszone hasła przechowują hasła w postaci zwykłego tekstu.

Jeśli prawidłowo przechowujesz hasła, zapewnisz, że nawet w przypadku złamania hasła użytkownicy będą mieli pełną ochronę. Jeśli tego nie zrobisz, możesz zostać pociągnięty do odpowiedzialności prawnej i postawić użytkowników’ nazwiska, konta bankowe i reputacja online zagrożone.

Samo szyfrowanie to za mało

Szyfrowanie jest najstarszą dostępną formą bezpieczeństwa informacji. Pierwszy udokumentowany przykład kryptografii sięga 1900 rpne, kiedy to bezimienny egipski pisarz użył zmienionych hieroglifów do zaszyfrowania tabletu. Nowoczesne szyfrowanie, takie jak rządowy algorytm szyfrowania AES, pobiera zwykły tekst, ładuje go do kwadratu 4X4 i szyfruje za pomocą algorytmu klucza symetrycznego. Algorytmy symetryczne używają tego samego klucza zarówno do szyfrowania, jak i deszyfrowania danych.

Tutaj’Jest to duża słabość związana z samym szyfrowaniem do przechowywania haseł. Gdzie wkładasz klucz? Możesz umieścić go na oddzielnym serwerze lub w kluczu USB w sejfie, ale to’jest wyraźnie nieoptymalny. Jeśli posiadasz środki do odszyfrowania i przeglądania użytkowników’ hasła, wtedy te środki można od ciebie odebrać. Aby hasła były naprawdę bezpieczne, musisz je ukryć nawet przed sobą.

Sól i mieszanie dla maksymalnego bezpieczeństwa

Ukrywanie przed sobą informacji brzmi jak coś, co można osiągnąć tylko za pomocą terapii elektrowstrząsowej, narkotyków lub planowej operacji mózgu. Jednak matematyka czyni to prostszym przedsięwzięciem.

Istnieje kilka drobnych słabości szyfrowania, które hakerzy zmienili w dużą zaletę. Po pierwsze, twój schemat szyfrowania może generować zaszyfrowany tekst, który’ma taką samą długość jak zwykły tekst. Jeśli wiem, że twoje hasło ma zdecydowanie tylko sześć znaków, to wiem, że to’warto spróbować złamać (ponieważ atak z użyciem siły brutalnej zje 6-znakowe hasło na śniadanie). Co’Co więcej, szyfrowanie waniliowe może dawać takie same dane wyjściowe przy użyciu tych samych danych wejściowych. Jeśli zobaczę, że zarówno Jock, jak i Tanya mają zaszyfrowane hasło 6qzY13, mógłbym stwierdzić, że tak’ponownie używają tego samego hasła w postaci zwykłego tekstu i prawdopodobnie jest to coś prostego.

W przypadku skrótu cały zaszyfrowany tekst, bez względu na jego długość wejściową, ma tę samą długość wyjściową. Dobry algorytm mieszania nie pozostawi śladu oryginalnej wiadomości. Zamiast przechowywać hasło w postaci zwykłego tekstu, przechowuje się tylko zaszyfrowane dane wyjściowe. Gdy użytkownik loguje się, wprowadza hasło w postaci zwykłego tekstu. Zwykły tekst jest następnie tymczasowo przechowywany w pamięci, mieszany, a następnie sprawdzany względem hasza, który Ty’przechowywane na twojej stronie. Jeśli skróty pasują, to one’Jest dobry. Znowu, odkąd ty’tylko przechowujesz skrót, nigdy nie możesz zobaczyć swojego użytkownika’hasło w postaci zwykłego tekstu - w ten sposób ukrywasz te informacje przed sobą.

Tam’to ostatni krok do zrobienia. Pozwolić’powiedzmy, że wszyscy użytkownicy wybierają głupie hasła, np ‘123456,’ ‘hasło,’ ‘ordynans,’ itp. To czyni ich podatnymi na co’nazywa się wstępnie obliczonym atakiem słownikowym. Hakerzy określą, jaki rodzaj haszysz’ponownie, weź listę głupich haseł, a następnie haszuj je przy użyciu tego samego algorytmu. Wtedy oni’Sprawdzę ich skróty wyjściowe na twojej liście, a twoi użytkownicy zostaną pwned.

Solenie bazy danych jest sposobem na obronę przed tym. Oznacza to, że dodajesz trochę losowych informacji do każdego z użytkowników’ hasła przed mieszaniem. Więc jeśli Don’Hasło to ‘ordynans,’ solenie zamieni to hasło w coś takiego ‘87132458DCU4batman,’ a następnie je rozszyfrować. Sól nie jest’kluczowe informacje same w sobie i mogą’służy do złamania skrótu, więc to’można przechowywać go w bazie danych.

Pamiętaj, że hakerzy stają się coraz silniejsi każdego roku

Moore’prawo działa przeciwko tobie. NSA ma teraz centrum danych do łamania haseł, które może sprawić, że jeden bilion zgadnie na sekundę. Inne państwa narodowe nie są’daleko w tyle, a nawet przestępcy z różnych odmian ogrodu mogą łamać hasze przy pomocy komputera, który kosztuje mniej niż nowy samochód.

Na razie jedynym sposobem obrony przed tym jest użycie algorytmu, takiego jak HMAC-SHA-256, który pobiera pierwszy skrót, rekombinuje go z nowymi losowymi danymi i przekształca. Aby udaremnić łamanie haseł przez komputery, należy to powtórzyć nawet dwadzieścia tysięcy razy.

Hashowanie, solenie i rozciąganie haszy jest procesem, który wydaje się zniechęcający na pierwszy rzut oka. Jest to jednak jedyna metoda, w której krytyczne dane użytkownika pozostaną bezpieczne.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me