Peppering ni samo beseda, povezana s kulinaričnimi veščinami; je tudi pomemben kriptografski proces pri varnosti gesla. Bistveno je, da so gesla varna in zaščitena pred napadi hekerjev. Pri tem pomaga poper. Kaj je poper in kako pomaga ohranjati vaša gesla na varnem?
Kaj je poper?
Peppering je kriptografski postopek, ki vključuje dodajanje skrivnega in naključnega niza znakov geslu, preden ga solimo in zgostimo, da postane bolj varno. Niz znakov, ki so dodani geslu, se imenuje paprika. Paprika v celoti spremeni hash gesla in ga naredi imunskega napadi s surovo silo in razbijanje gesla z uporabo slovarskih tabel in mavričnih tabel.
Kako deluje peppering?
Peppering je dodatna plast varnosti, dodana geslom. Pomislite na to kot na različne prelive na torti. Navadna torta je geslo za golo besedilo in zgoščevanje je končni preliv – recimo posip. Če bi posip dali neposredno na torto, ne bi izgledalo dobro. Enako je z zaščito z geslom.
Samo zgoščevanje gesla ni varno, ker ga je mogoče zlahka razbiti. Zato drugi prelivi, sol in poper (ironično), naredijo torto boljšo – tako kot z gesli
Kaj torej dejansko pomeni, da je geslo zgoščeno? Haširanje je enosmerni postopek šifriranja v kriptografiji. Gesla, ki so zgoščena, so v bistvu kodirana in namesto shranjevanja gesel z golim besedilom v bazo podatkov so shranjena zgoščena. Ko vnesete svoje geslo, se zgosti in nato primerja z zgoščenim geslom v bazi podatkov. Tako sistem potrdi vašo identiteto.
Tako kot soljenje, je geslu priložena paprika, da je bolj varna. Tako se geslo pretvori iz gesla z golim besedilom v razpršilo gesla+sol+poper. Torej v primeru, da heker dobi dostop do soli in/ali celo gesel uporabnikov, heker ne bi mogel dešifrirati zgoščenega gesla, ker paprika v celoti spremeni hash.
Primerjajte na primer razpršeno geslo navadnega gesla, slanega gesla in popranega gesla. Naj bo geslo '1yAm0r1a!', sol 'eW3dU%' in poper 'Am41a?'.
Besedilo gesla | Zgoščeno geslo | |
Geslo za golo besedilo | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
Slano geslo | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
Poprano geslo | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Ali je mogoče papriko uporabiti brez soli?
Da, geslo je mogoče uporabiti brez soli. Vendar to ni idealno za varnost gesla. Če napadalec spozna papriko spletnega mesta, postane to mesto ranljivo za napade, ker se poper uporablja za vsa gesla v bazi podatkov.
Kakšna je razlika med popranjem in soljenjem?
Na nek način je paprika vrsta soli. Oba naredita gesla bolj varna, vendar sta različna. Za razliko od soli je paprika skrivna, statično široka in ni naključno ustvarjena.
Paprike niso naključno ustvarjene
Ko se prijavite na spletno mesto in vnesete svoje geslo, se pred zgoščevanjem za vas naključno ustvari sol. Pri popranju ni enako.
Pri popranju lastnik mesta izbere poper. Lastnik spletnega mesta je odgovoren za zagotovitev, da je izbrana paprika varna in dovolj močna. Seveda se lahko lastnik spletnega mesta odloči za uporabo generatorja naključnih vrednosti za izbiro paprike.
Paprike so statične
Ko je nekaj statično, pomeni, da se ne spreminja. Pri soljenju se vsaka sol generira za vsakega uporabnika v bazi. Toda poper se uporablja v celotni bazi podatkov. Za posamezne uporabnike paprik ni.
Paprika je skrivnost
Za razliko od soli, ki jih lahko najdete v bazi podatkov spletnega mesta, je paprika skrivnost. V zbirki podatkov niso shranjeni poleg soli in hašejev; da bi paprike postale nesmiselne.
Namesto tega so paprike shranjene v varnem in ločenem delu aplikacije spletnega mesta. To je pomembno, ker v primeru, da heker ogrozi spletno mesto in dobi dostop do gesel in soli uporabnikov na tem mestu, ne bi mogli vdreti nobenega gesla, ker ne poznajo poper.
Izbira dobre paprike
Izbira dobre paprike je enako pomembno kot izbira dobrega gesla. Tako kot gesla morajo biti paprike razmeroma dolge in edinstvene. Ne pozabite, da se na celotnem mestu uporablja paprika; če heker nasilno vsili ali ugane poper, bi bilo vaše spletno mesto ranljivo. Ne uporabljajte imena svojega spletnega mesta kot poper. To je enakovredno uporabi "Password123" kot gesla.
Druga možnost je uporaba generatorja gesel. Na spletu je veliko generatorjev gesel, s katerimi bi lahko izbrali dober poper.
Druga metoda popranja je, da paprike sploh ne shranjujete. Namesto tega je poper kratek niz in ko se uporabnik prijavi na spletno mesto, sistem nasilno preganja ali teče skozi vrsto možnih paprik, dokler ni uporabljen pravi. To traja dlje časa, zato je treba uporabiti kratko papriko.
Enostaven, a nevaren primer te metode je, da paprika razvrsti po abecedi. Ko se prijavite, spletno mesto teče skozi vse črke abecede – male in velike – dokler ni poper pravilna.
Čeprav je običajno, da uporabite eno papriko na enem mestu, je mogoče uporabiti več kot eno naenkrat. Paprika je naključno dodeljena uporabniku ob registraciji iz skupine paprik. Ko se ta uporabnik prijavi, se poskusi vsak poper, dokler ni izbran tisti, ki je temu uporabniku dodeljen.
Ali je peppering učinkovit pri povečanju varnosti?
da. Ko se poper uporablja s soljo, je hekerju neverjetno težko vdreti uporabniško geslo. Tudi če uporabniki uporabljajo šibka gesla ali enaka gesla, heker nikoli ne bi vedel, ker poper spremeni hash. S poperjanjem se varnost gesel močno poveča.
7 pogostih napak z geslom, zaradi katerih vas bodo verjetno vdrli
Preberite Naprej
Povezane teme
- Varnost
- Spletna varnost
- Spletna varnost
O avtorju
Chioma je tehnična pisateljica, ki s svojim pisanjem rada komunicira s svojimi bralci. Ko nečesa ne piše, jo lahko najdemo v druženju s prijatelji, prostovoljstvu ali preizkušanju novih tehnoloških trendov.
Naročite se na naše novice
Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e-knjige in ekskluzivne ponudbe!
Kliknite tukaj, da se naročite