Какво е пипериране в сигурността с парола и как работи?

Peppering не е просто дума, свързана с кулинарни умения; това също е важен криптографски процес в сигурността на паролата. От съществено значение е паролите да бъдат защитени и защитени от атаките на хакери. Пиперът помага за това. Какво е пипериране и как помага да запазите паролите си безопасни?

Какво представлява пиперирането?

Peppering е криптографски процес, който включва добавяне на таен и произволен низ от знаци към парола, преди да бъде осолена и хеширана, за да бъде по-сигурна. Низът от знаци, добавени към паролата, се нарича пипер. Пиперът променя изцяло хеша на паролата и я прави имунизирана атаки с груба сила и разбиване на пароли с помощта на речникови таблици и таблици с дъга.

Как действа пиперирането?

Peppering е допълнителен слой сигурност, добавен към паролите. Мислете за това като различни гарнитури на торта. Обикновената торта е парола в обикновен текст, а хеширането е последната заливка — да речем, поръсване. Ако сложите поръска директно върху тортата, няма да изглежда много добре. Същото е и със сигурността с парола.

Просто хеширането на парола не е сигурно, защото паролата може лесно да бъде разбита. Ето защо другите гарнитури, сол и черен пипер (по ирония на съдбата), правят тортата по-добра — както правят с паролите

И така, какво всъщност означава паролата да бъде хеширана? Хеширането е еднопосочен процес на криптиране в криптографията. Паролите, които се хешират, са основно кодирани и вместо да се съхраняват паролите в обикновен текст в база данни, хешовете се съхраняват. Когато въведете паролата си, тя се хешира и след това се сравнява с хешираната парола в базата данни. Така системата потвърждава вашата самоличност.

Точно като осоляването, пипер се добавя към парола, за да бъде по-сигурна. Така паролата се трансформира от просто парола с обикновен текст в хеш на парола+сол+пипер. Така че, в случай че хакер получи достъп до солите и/или дори паролите на потребителите, хакерът няма да може да дешифрира хешираната парола, защото пиперът променя хеша изцяло.

Например, сравнете хеша на обикновена парола, осолена парола и подправена парола. Нека паролата е '1yAm0r1a!', солта 'eW3dU%' и пиперът 'Am41a?'.

Текст на паролата	Хеширана парола
Парола за обикновен текст	1yAm0r1a!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Солена парола	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Пиперирана парола	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Може ли пипер да се използва без сол?

Да, парола може да се използва без сол. Но това не е идеално за сигурност с парола. Ако нападателят опознае пипера на даден сайт, този сайт става уязвим за атака, защото пиперът се използва за всички пароли в базата данни.

Каква е разликата между пипер и осоляване?

В известен смисъл чушката е вид сол. И двете правят паролите по-сигурни, но са различни. За разлика от солите, чушките са секретни, статични и не се генерират произволно.

Чушките не се генерират случайно

Когато влезете в уебсайт и въведете паролата си, преди да бъде хеширана, произволно се генерира сол за вас. Не е същото с пиперирането.

При пиперирането собственикът на сайта избира пипера. Собственикът на сайта е натоварен със задачата да гарантира, че избраният пипер е достатъчно сигурен и здрав. Разбира се, собственикът на сайта може да избере да използва генератор на произволни стойности, за да избере пипер.

Чушките са статични широки

Когато нещо е статично, това означава, че не се променя. При осоляването всяка сол се генерира за всеки потребител в базата данни. Но в цялата база данни се използва пипер. Няма чушки за индивидуални потребители.

Чушките се пазят в тайна

За разлика от солите, които могат да бъдат намерени в базата данни на даден сайт, чушките са тайни. Те не се съхраняват в базата данни заедно със солите и хешовете; това би направило чушките безсмислени.

Вместо това чушките се съхраняват в сигурна и отделна част от приложението на сайта. Това е важно, защото в случай, че хакер компрометира сайт и получи достъп до паролите и соли от потребители на този сайт, те няма да могат да разбият пароли, защото не знаят пипер.

Избор на добър пипер

Изборът на добър пипер е толкова важно, колкото и избора на добра парола. Точно като паролите, чушките трябва да са сравнително дълги и уникални. Не забравяйте, че в целия сайт се използва чушка; ако хакер грубо принуди или познае пипера, вашият сайт ще бъде уязвим. Не използвайте името на сайта си като чушка. Това е еквивалентът на използването на "Password123" като ваша парола.

Друга алтернатива е да използвате генератор на пароли. Има много генератори на пароли онлайн, които могат да се използват за избор на добър пипер.

Друг метод за пипериране е чушката да не се съхранява изобщо. Вместо това, пиперът е къс низ и когато потребител влезе в сайта, системата налага груба сила или преминава през серия от възможни чушки, докато не бъде използвана правилната. Това отнема повече време, така че трябва да се използва къс пипер.

Лесен, но несигурен пример за този метод е правенето на пипер по азбучен ред. Когато влезете, сайтът преминава през всяка буква от азбуката – малка и главна – докато пиперът е правилен.

Въпреки че е типично да използвате една чушка в даден сайт, възможно е да имате повече от една наведнъж. Пипер се присвоява на случаен принцип на потребител при регистрация от група чушки. Когато този потребител влезе, всеки пипер се опитва, докато не бъде избран този, който е назначен на този потребител.

Ефективно ли е пиперирането за повишаване на сигурността?

да. Когато пиперът се използва със сол, е невероятно трудно за хакера да разбие паролата на потребителя. Дори когато потребителите използват слаби пароли или същите пароли, хакерът никога няма да разбере, защото пиперът променя хеша. С пиперирането сигурността на паролите се повишава много.

7 често срещани грешки в паролата, които вероятно ще ви хакнат

Прочетете Следващото

За автора