چرا وب سایت ها برای محافظت از رمزهای عبور خود باید نمک را بر روی هش های خود بپاشند

چرا وب سایت ها برای محافظت از رمزهای عبور خود باید نمک را بر روی هش های خود بپاشند

با وجود کاستی های آنها ، رمزهای عبور هنوز استاندارد de facto برای تأیید اعتبار در وب هستند.

ExpressVPN قبلاً در مورد مزایای ایجاد رمزهای عبور ایمن با استفاده از Diceware ، استفاده از مدیران رمز عبور و ایجاد یک لایه دیگر از امنیت در اطراف حسابهای خود با تأیید هویت دو عاملی نوشت.

اما در پشت صحنه چه اتفاقی می افتد؟ چه عملی و چه عملی می تواند یک اپراتور وب سایت را برای تأمین رمزهای عبور خود انجام دهد?

تولد هک کامپیوتر

اولین سیستم رایانه ای که از رمزهای عبور استفاده می کرد ، سیستم سازگار با زمان مشترک در انستیتوی فناوری ماساچوست ، ساخته شده در سال 1960 بود. به اشتراک گذاری زمان این امکان را داد که رایانه جدا شود و به عنوان چندین ایستگاه کاری استفاده شود..

با این وجود ، تعداد بیشتری محقق نسبت به ایستگاه های کاری وجود داشته و به کاربران زمان محدودی را روی سیستم اختصاص داده اند (که بعضی ها خیلی سریع آن را خسته کردند). برای اطمینان از اینکه محققان در محدوده خود باقی مانده اند ، به هرکدام یک رمز عبور منحصر به فرد برای ورود به سیستم اختصاص داده شد.

اما ، البته ، با اولین رمزهای عبور اولین هکر آمد. یکی از محققان ، آلن شرر ، از سیستمی استفاده کرد که به کاربران امکان می داد پرونده ها را از طریق کارتهای پانچ (از کارتهای پانچ) چاپ کنند (کامپیوترها در دهه 1960 هیچ صفحه ای نداشتند). Scherr فایلی را که گذرواژه‌ها را در آن ذخیره کرده ، قرار داده و چاپ کرده است و به وی امکان می‌دهد مانند سایر کاربران وارد سیستم شود و از رایانه برای مدت طولانی دیگر استفاده کند.

امروزه ذخیره رمزهای عبور با متن واضح بر روی یک سیستم کاملاً غفلت تلقی می شود ، اگرچه هک 2016 سایت VK.com سایت رسانه های اجتماعی روسیه نشان می دهد که برخی سایت های بزرگ هنوز هم این کار را انجام می دهند. کلمه عبور VK.com از 100 میلیون کاربر به سرقت رفت و اکنون در حال فروش است.

چرا توابع هش یک خیابان یک طرفه است

یک عملکرد هش یک رمزگذاری یک طرفه است و بسیار شبیه اثر انگشت عمل می کند. هر پرونده ، کلمه یا رشته متن یک هش "اثر انگشت" تعیین می کند که به طور منحصر به فرد محتوای دقیق پرونده اصلی را مشخص می کند.

هش ها می توانند برای تعیین اطلاعات استفاده شوند ، اما داده ها بیانگر آن نیست. یک روش ساده برای تصور چگونگی کار هش با مبالغ رقمی (جمع تمام رقم های یک عدد).

جمع رقمی 9807347 برابر با 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38 است

اگرچه مشاهده آسان رقم 987347 38 آسان است ، اما محاسبه 987347 از شماره 38 غیرممکن است.

رمزهای عبور را با هشدار ایمن کنیدهش SHA-256 برای رشته های متن مختلف و یک پرونده تصویری.

SHA-256 دنیایی از جابجایی را ارائه می دهد

به طرز شگفت آور ، 256 بیت یک بازده به اندازه کافی طولانی است تا بتواند به صورت منحصر به فرد شناسایی شود تک اتمهای جهان قابل مشاهده (2 ^ 256 = 1.157920892 × 10⁷⁷).

اگرچه ، از نظر تئوری ، می تواند دو مقدار متفاوت را داشته باشد که هر دو هش SHA-256 یکسان دارند. چنین رویدادی تصادف هش نامیده می شود ، و امنیت هرگونه عملکرد هش بر عدم شناسایی آنها متکی است.

سلف SHA-2 (که SHA-256 یک نوع آن است) - الگوریتم زمانی محبوب SHA-1 شناخته شده است که در برابر برخورد های هش آسیب پذیر است. اگرچه شایان ذکر است ، هیچ کس تا به حال پیدا نکرده است.

یکی دیگر از hash های مشهور ، MD5 ، آسیب پذیری های زیادی را به همراه داشت که دفاع مفیدی در برابر دستکاری پرونده ها نیست..

جدا از رمزگذاری رمزهای عبور ، عملکردهای هش می توانند برای اطمینان از عدم دستکاری پرونده ها ، مشابه امضاهای رمزنگاری ، مفید باشند ، زیرا یک رشته متن تغییر یافته کلید هش را تغییر می دهد..

ذخیره گذرواژه‌ها به عنوان هش ، به جای نوشتار روشن ، امکان بررسی درست یک رمز عبور را امکان پذیر می سازد بدون اینکه رمز عبور را در معرض آسیب پذیری هکرها قرار دهید.

نمک و هش از رمزهای عبور شما محافظت می کند

اگر کسی بتواند دیتابیس را هک کند که فقط دارای رمزهای ورود به سیستم بود ، هک کند ، از نظر تئوری ، هیچ اطلاعات مفیدی را دریافت نمی کند. در واقعیت ، با این حال ، مردم از گذرواژه‌های خود در بسیاری از سایتها استفاده مجدد می کنند ، یا از کلمات متداول در آنها استفاده می کنند ، و موارد زیادی وجود دارد که یک هکر می تواند برای شکستن هش ها انجام دهد.

هر هشی SHA-256 کلمه ExpressVPN در همه سیستم ها همیشه یکسان است. بنابراین اگر نام کاربری شما Lexie است و شما از ExpressVPN به عنوان رمز عبور استفاده می کنید (فراموش نکنید) ، یک هکر می تواند جستجوی هش "c9f45 ... 3D185" را در میان رمزهای عبور برای دیدن رمز عبور Lexie ExpressVPN جستجو کند..

اگرچه به نظر نمی رسد این به ویژه به ویژه مفید باشد ، لیستی از چند هزار رمز عبور پرکاربردترین (که از هک های قبلی می دانیم) وجود دارد.

با استفاده از چنین لیستی ، هکر می تواند هشدارهای کلمات عبور معمول را جستجو کرده و آنها را با نام کاربری مطابقت دهد.

به این نوع حمله حمله رنگین کمان یا فرهنگ لغت حمله گفته می شود. زمان کافی برای یک مهاجم در جهان باقی نمانده است که یک هشدار / رمز عبور ممکن را در یک حمله بی رحمانه آزمایش کند. اما زمان کافی برای امتحان کردن رمزهای عبور رایج استفاده شده است ، که احتمالاً بخش قابل توجهی از پایگاه داده را به خطر می اندازد.

Salting با اختصاص دادن شماره های منحصر به فرد ، از رمزهای عبور محافظت می کند

برای محافظت در برابر حملات فرهنگ لغت ، یک مدیر پایگاه داده می تواند از روشی به نام "salting" استفاده کند ، که در آن به هر رمز عبور یک شماره تصادفی منحصر به فرد اختصاص داده می شود. سپس یک هش SHA-256 از ترکیب نمک و رمز عبور محاسبه ، ذخیره و بررسی می شود.

از طرف دیگر ، رمز عبور می تواند به همراه تعداد نمک ترکیب شود ، و نتیجه دوباره بارگیری شود.

هش های نمکی تجسس اضافی را اضافه می کنندنمونه هایی از هش های "شور" ، دوباره هش شده است.

با توجه به تکنیک نمکی ، ایجاد میز رنگین کمان دیگر جذابیتی ندارد. اعداد تصادفی باعث می شود هر هشی منحصر به فرد باشد ، حتی اگر کاربر رمز عبوری منحصر به فرد را انتخاب نکند.

اگر یک هکر بخواهد با رمز عبور "Passw0rd!" کاربران را هدف قرار دهد ، شماره نمک پایگاه داده را ایمن نگه می دارد.

آینده سیستم های رمز عبور

گذرواژه‌ها برای احراز هویت آنلاین بسیار مناسب است. به یاد آوردن یک چیز خوب ، دشوار است که آنها را باطل کنند ، و یک بار بیرون ریختن آن ممکن است آسیب قابل توجهی به همراه داشته باشد.

مدیران گذرواژه می توانند رمزهای عبور را کاربرپسندتر کنند و به شما در ایجاد موارد منحصر به فرد کمک می کنند. آنها همچنین شما را تشویق می کنند که به طور مرتب اعتبارنامه ورود خود را تغییر دهید ، که برای امنیت خوب آنلاین ضروری است.

شاید در آینده ، ما به سمت شکلهای جایگزین تأیید هویت ، مانند جفت کلید عمومی / خصوصی بروید ، که احتمالاً با کلیدهای سخت افزاری ترکیب شده است. در چنین مدلی فقط هنگام ثبت نام باید کلید عمومی خود را یک بار در یک سرور بارگذاری کنید ، پس دیگر هرگز.

در حالی که لزوما مقادیر ایمن تر از یک راه حل رمز عبور درست اجرا نشده ، اما جفت های کلید عمومی یا خصوصی احتمال استفاده نادرست توسط کاربر و سرویس کمتری دارند..

کاری که می توانید برای ایمن کردن رمزهای عبور خود انجام دهید

توجه داشته باشید که بسیاری از خدماتی که امروز از آنها استفاده می کنید ممکن است کنترل رمزهای عبور خود را از دست داده باشند. شاید آنها هنوز در مورد آن چیزی ندانند ، یا شاید آنها از تصدیق عمومی خودداری می کنند - محافظت از تصویر خود را به قیمت امنیت کاربران خود.

از یک رمز عبور تصادفی استفاده کنید و کلمات عبور خود را به رشته های تصادفی طولانی از حروف و کاراکترها تغییر دهید. همچنین می توانید تأیید هویت دو عاملی را در برخی سرویس ها برای اضافه کردن یک لایه امنیتی بیشتر فعال کنید.

همچنین ایده خوبی است که بتوانید حسابهایی را که دیگر استفاده نمی کنید حذف کنید ، به این امید که این سرویس داده های کاربر شما را به همراه آن حذف کند.

چرا وب سایت ها برای محافظت از رمزهای عبور خود باید نمک را بر روی هش های خود بپاشند
admin Author
Sorry! The Author has not filled his profile.