Что такое перчинка в безопасности паролей и как она работает?

Перец — это не просто слово, связанное с кулинарными навыками; это также важный процесс криптографии для обеспечения безопасности паролей. Очень важно, чтобы пароли были в безопасности и защищены от атак хакеров. В этом помогает перчинка. Что такое перчинка и как она помогает защитить ваши пароли?

Что такое перец?

Перчинка — это криптографический процесс, который влечет за собой добавление секретной и случайной строки символов к паролю, прежде чем он будет обработан солью и хэширован, чтобы сделать его более безопасным. Строка символов, добавляемая к паролю, называется перцем. Перец вообще меняет хэш пароля и делает его невосприимчивым к атаки грубой силы и взлом паролей с использованием словарных таблиц и радужных таблиц.

Как работает перчинка?

Перчинка — это дополнительный уровень безопасности, добавляемый к паролям. Думайте об этом как о различных начинках на торте. Простой торт — это пароль в виде открытого текста, а хеширование — это последняя начинка, скажем, посыпка. Если вы посыпаете посыпкой прямо на торт, это будет выглядеть не очень хорошо. То же самое и с защитой паролем.

Простое хеширование пароля небезопасно, потому что пароль можно легко взломать. Вот почему другие начинки, соль и перец (по иронии судьбы), делают торт лучше — как и пароли.

Так что же на самом деле означает хеширование пароля? Хэширование — это односторонний процесс шифрования. в криптографии. Хешированные пароли в основном зашифровываются, и вместо хранения паролей в виде открытого текста в базе данных сохраняются хэши. Когда вы вводите свой пароль, он хэшируется, а затем сравнивается с хешированным паролем в базе данных. Так система подтверждает вашу личность.

Так же, как солить, к паролю добавляется перец, чтобы сделать его более безопасным. Таким образом, пароль преобразуется из обычного текстового пароля в хэш пароля + соль + перец. Таким образом, в случае, если хакер получит доступ к солям и/или даже к паролям пользователей, хакер не сможет расшифровать хешированный пароль, потому что перец вообще меняет хэш.

Например, сравните хэш простого пароля, пароля с солью и пароля с добавлением перца. Пусть пароль будет «1yAm0r1a!», соль «eW3dU%», а перец «Am41a?».

Текст пароля	Хэшированный пароль
Открытый пароль	1йам0р1а!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Соленый пароль	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Приправленный пароль	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Можно ли использовать перец без соли?

Да, пароль можно использовать без соли. Но это не идеально для защиты паролей. Если злоумышленник узнает перец сайта, этот сайт становится уязвимым для атаки, потому что перец используется для всех паролей в базе данных.

В чем разница между перцем и солением?

В некотором смысле, перец является разновидностью соли. Они оба делают пароли более безопасными, но они разные. В отличие от солей, перцы являются секретными, статическими и не генерируются случайным образом.

Перцы не генерируются случайным образом

Когда вы входите на веб-сайт и вводите свой пароль, прежде чем он будет хеширован, для вас случайным образом генерируется соль. Это не то же самое с перцем.

При перчинке перец выбирает владелец сайта. Владелец сайта несет ответственность за то, чтобы выбранный перец был безопасным и достаточно крепким. Конечно, владелец сайта может использовать генератор случайных значений для выбора перца.

Перцы имеют статическую ширину

Когда что-то статично, это означает, что оно не меняется. При солении каждая соль создается для каждого пользователя в базе данных. Но перец используется во всей базе. Перца для отдельных пользователей нет.

перец держится в секрете

В отличие от солей, которые можно найти в базе данных сайта, перцы являются секретными. Они не хранятся в базе данных вместе с солями и хэшами; это сделало бы перец бессмысленным.

Вместо этого перцы хранятся в безопасной и отдельной части приложения сайта. Это важно, потому что в случае, если хакер взломает сайт и получит доступ к паролям и соли пользователей на этом сайте, они не смогут взломать пароли, потому что они не знают перец.

Выбор хорошего перца

Выбор хорошего перца так же важно, как выбрать хороший пароль. Как и пароли, перец должен быть достаточно длинным и уникальным. Помните, что на всем участке используется перец; если хакер переборит или угадает перец, ваш сайт будет уязвим. Не используйте название вашего сайта в качестве перца. Это эквивалентно использованию «Password123» в качестве пароля.

Другой альтернативой является использование генератора паролей. В сети есть множество генераторов паролей, которые можно использовать для выбора хорошего перца.

Другой способ перца — вообще не хранить перец. Вместо этого перец представляет собой короткую строку, и когда пользователь входит на сайт, система перебирает или просматривает серию возможных перцев, пока не будет использован правильный. Это занимает больше времени, поэтому приходится использовать короткий перец.

Простой, но ненадежный пример этого метода — составление перца по алфавиту. Когда вы входите в систему, сайт перебирает каждую букву алфавита — строчную и прописную — до тех пор, пока перец не станет правильным.

Хотя обычно на сайте используется один перец, возможно одновременное использование нескольких перцев. Перчик присваивается случайным образом пользователю при регистрации из группы перцев. Когда этот пользователь входит в систему, каждый перец пробуется до тех пор, пока не будет выбран тот, который назначен этому пользователю.

Эффективна ли перчинка для повышения безопасности?

Да. Когда перец используется с солью, хакеру невероятно сложно взломать пароль пользователя. Даже когда пользователи используют слабые пароли или одинаковые пароли, хакер никогда не узнает, потому что перец меняет хэш. С перчинкой безопасность паролей очень сильно повышается.

7 распространенных ошибок при вводе пароля, из-за которых вас могут взломать

Читать дальше

Об авторе