Co to jest pieprzne zabezpieczenie hasłem i jak to działa?

Pieczenie to nie tylko słowo związane z umiejętnościami kulinarnymi; jest to również ważny proces kryptograficzny w bezpieczeństwie haseł. Niezbędne jest, aby hasła były zabezpieczone przed atakami hakerów. Pomaga w tym pieprzenie. Co to jest pieprzenie i jak pomaga chronić Twoje hasła?

Co to jest pieprzenie?

Peppering to proces kryptograficzny, który polega na dodaniu tajnego i losowego ciągu znaków do hasła, zanim zostanie ono posolone i zahaszowane, aby było bezpieczniejsze. Ciąg znaków dodawany do hasła nazywa się pieprzem. Papryka całkowicie zmienia skrót hasła i czyni go odpornym na ataki brutalnej siły i łamanie haseł przy użyciu tabel słownikowych i tabel tęczy.

Jak działa pieprzenie?

Peppering to dodatkowa warstwa bezpieczeństwa dodana do haseł. Pomyśl o tym jak o różnych dodatkach do ciasta. Zwykłe ciasto to hasło w postaci zwykłego tekstu, a haszowanie to ostatni dodatek – powiedzmy, posypka. Jeśli posypiesz posypkę bezpośrednio na ciasto, nie będzie to wyglądało dobrze. To samo dotyczy zabezpieczenia hasłem.

Samo haszowanie hasła nie jest bezpieczne, ponieważ hasło można łatwo złamać. Dlatego inne dodatki, sól i pieprz (jak na ironię), poprawiają ciasto – tak jak w przypadku haseł

Więc co tak naprawdę oznacza zaszyfrowanie hasła? Haszowanie to jednokierunkowy proces szyfrowania w kryptografii. Hasła, które są haszowane, są w zasadzie zaszyfrowane i zamiast przechowywania haseł w postaci zwykłego tekstu w bazie danych, przechowywane są skróty. Po wprowadzeniu hasła jest ono szyfrowane, a następnie porównywane z haszowanym hasłem w bazie danych. W ten sposób system potwierdza Twoją tożsamość.

Tak jak solenie, do hasła dodawany jest pieprz, aby było bezpieczniejsze. Tak więc hasło jest przekształcane z hasła w postaci zwykłego tekstu na skrót hasła + sól + pieprz. Tak więc w przypadku, gdy haker uzyska dostęp do soli i/lub nawet haseł użytkowników, haker nie będzie w stanie odszyfrować zaszyfrowanego hasła, ponieważ pieprz całkowicie zmienia skrót.

Na przykład porównaj skrót zwykłego hasła, hasła solonego i hasła z pieprzem. Niech hasło to „1yAm0r1a!”, sól „eW3dU%”, a pieprz „Am41a?”.

Tekst hasła	Zaszyfrowane hasło
Hasło w postaci zwykłego tekstu	1yAm0r1a!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Solone hasło	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Pieprzone hasło	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Czy można używać pieprzu bez soli?

Tak, hasło może być używane bez soli. Nie jest to jednak idealne rozwiązanie do zabezpieczania hasłem. Jeśli atakujący pozna pieprz witryny, ta witryna staje się podatna na atak, ponieważ pieprz jest używany dla wszystkich haseł w bazie danych.

Jaka jest różnica między pieprzeniem a soleniem?

W pewnym sensie pieprz to rodzaj soli. Obydwa zwiększają bezpieczeństwo haseł, ale są różne. W przeciwieństwie do soli, papryki są tajne, statyczne i nie są generowane losowo.

Papryki nie są generowane losowo

Po zalogowaniu się na stronie i wprowadzeniu hasła, zanim zostanie ono zaszyfrowane, zostanie dla Ciebie losowo wygenerowana sól. To nie to samo z pieprzem.

W pieprzeniu właściciel strony wybiera pieprz. Właściciel witryny jest odpowiedzialny za zapewnienie, że wybrana papryka jest wystarczająco bezpieczna i mocna. Oczywiście właściciel strony może użyć generatora wartości losowych, aby wybrać pieprz.

Papryki są statyczne?

Kiedy coś jest statyczne, oznacza to, że się nie zmienia. W soleniu każda sól jest generowana dla każdego użytkownika w bazie danych. Ale pieprz jest używany w całej bazie danych. Nie ma papryki dla indywidualnych użytkowników.

Papryki są trzymane w tajemnicy

W przeciwieństwie do soli, które można znaleźć w bazie danych witryny, papryki są tajne. Nie są one przechowywane w bazie danych wraz z solami i haszami; to uczyniłoby paprykę bezsensowną.

Zamiast tego papryki są przechowywane w bezpiecznej i oddzielnej części aplikacji witryny. Jest to ważne, ponieważ w przypadku, gdy haker włamie się na stronę i uzyska dostęp do haseł i sole użytkowników tej witryny, nie byliby w stanie złamać żadnych haseł, ponieważ nie znają pieprz.

Wybór dobrej papryki

Wybór dobrej papryki to równie ważne jak wybór dobrego hasła. Podobnie jak hasła, papryczki powinny być dość długie i niepowtarzalne. Pamiętaj, że w całej witrynie używana jest papryka; jeśli haker wymusza lub odgadnie pieprz, Twoja witryna będzie podatna na ataki. Nie używaj nazwy swojej witryny jako pieprzu. To odpowiednik użycia hasła „Password123” jako hasła.

Inną alternatywą jest użycie generatora haseł. Istnieje wiele generatorów haseł online, które można wykorzystać do wyboru dobrej papryki.

Inną metodą pieprzenia jest w ogóle nie przechowywać pieprzu. Zamiast tego pieprz jest krótkim ciągiem, a kiedy użytkownik loguje się na stronie, system brutalnie wymusza lub przechodzi przez serię możliwych papryczek, aż zostanie użyta właściwa. Zajmuje to więcej czasu, dlatego należy użyć krótkiego pieprzu.

Łatwym, ale niepewnym przykładem tej metody jest ułożenie papryki w porządku alfabetycznym. Kiedy się logujesz, witryna przegląda każdą literę alfabetu — małą i wielką — aż do momentu, gdy pieprz jest poprawny.

Chociaż typowe jest używanie jednej papryki w witrynie, możliwe jest posiadanie więcej niż jednego na raz. Pieprz jest losowo przydzielany użytkownikowi podczas rejestracji z grupy papryk. Kiedy ten użytkownik się zaloguje, każdy pieprz jest wypróbowywany, dopóki nie zostanie wybrany ten przypisany do tego użytkownika.

Czy pieprzenie skutecznie zwiększa bezpieczeństwo?

Tak. Kiedy pieprz jest używany z solą, hakerowi niezwykle trudno jest złamać hasło użytkownika. Nawet jeśli użytkownicy używają słabych haseł lub tych samych haseł, haker nigdy się nie dowie, ponieważ pieprz zmienia skrót. Dzięki pieprzeniu bezpieczeństwo haseł znacznie się zwiększa.

7 typowych błędów dotyczących hasła, które mogą Cię zhakować

Czytaj dalej

O autorze