Pepřování není jen slovo související s kulinářskými dovednostmi; je to také důležitý kryptografický proces v zabezpečení hesel. Je nezbytné, aby byla hesla uchovávána v bezpečí a chráněna před útoky hackerů. Pepřování k tomu pomáhá. Co je to pepřování a jak pomáhá udržovat vaše hesla v bezpečí?
Co je pepřování?
Peppering je šifrovací proces, který zahrnuje přidání tajného a náhodného řetězce znaků k heslu před tím, než je zasoleno a hashováno, aby bylo bezpečnější. Řetězec znaků přidaný do hesla se nazývá pepř. Paprika úplně změní hash hesla a udělá ho imunním vůči útoky hrubou silou a prolomení hesel pomocí slovníkových a duhových tabulek.
Jak pepření funguje?
Peppering je další vrstva zabezpečení přidaná k heslům. Představte si to jako různé polevy na dortu. Obyčejný dort je heslo v prostém textu a hašování je poslední polevou – řekněme sypání. Kdybyste posypali přímo na dort, nevypadalo by to moc dobře. Stejné je to se zabezpečením heslem.
Pouhé hašování hesla není bezpečné, protože heslo lze snadno prolomit. To je důvod, proč ostatní polevy, sůl a pepř (ironicky), dělají dort lepší – stejně jako to dělají s hesly
Co tedy vlastně znamená, že je heslo zahašováno? Hašování je proces jednosměrného šifrování v kryptografii. Hesla, která jsou hašována, jsou v podstatě zakódována a namísto ukládání hesel v otevřeném textu do databáze se ukládají hashe. Když zadáte své heslo, je hashováno a poté porovnáno s hashovaným heslem v databázi. Takto systém ověří vaši identitu.
Stejně jako solení, je k heslu připojena paprika, aby bylo bezpečnější. Heslo je tedy transformováno z pouhého hesla v prostém textu na hash hesla + sůl + pepř. Takže v případě, že by hacker získal přístup k solím a/nebo dokonce heslům uživatelů, hacker by nebyl schopen dešifrovat hashované heslo, protože pepř úplně změní hash.
Porovnejte například hash prostého hesla, soleného hesla a opepřeného hesla. Heslo nechť je '1yAm0r1a!', sůl 'eW3dU%' a pepř 'Am41a?'.
Text hesla | Hašované heslo | |
Heslo v prostém textu | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
Solené heslo | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
Okořeněné heslo | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Může být pepř použit bez soli?
Ano, heslo lze použít bez soli. To ale není ideální pro zabezpečení heslem. Pokud útočník pozná pepř webu, stane se tento web zranitelný vůči útoku, protože pepř se používá pro všechna hesla v databázi.
Jaký je rozdíl mezi pepřením a solením?
Svým způsobem je pepř druh soli. Oba dělají hesla bezpečnější, ale liší se. Na rozdíl od solí jsou papriky tajné, statické a negenerují se náhodně.
Papriky nejsou generovány náhodně
Když se přihlásíte na web a zadáte své heslo, před jeho hashováním se vám náhodně vygeneruje sůl. S pepřením to není stejné.
V pepřování si pepř vybírá majitel webu. Úkolem vlastníka stránky je zajistit, aby vybraný pepř byl bezpečný a dostatečně silný. Vlastník webu se samozřejmě může rozhodnout použít k výběru papriky generátor náhodných hodnot.
Papriky jsou statické široké
Když je něco statické, znamená to, že se to nemění. Při solení je každá sůl generována pro každého uživatele v databázi. V celé databázi se ale používá pepř. Pro jednotlivé uživatele nejsou žádné papriky.
Papriky jsou drženy v tajnosti
Na rozdíl od solí, které lze nalézt v databázi webu, jsou papriky tajné. Nejsou uloženy v databázi spolu se solemi a hashemi; tím by paprika ztratila smysl.
Místo toho jsou papriky uloženy v zabezpečené a oddělené části aplikace webu. To je důležité, protože v případě, že hacker napadne web a získá přístup k heslům a solí uživatelů na tomto webu, nebudou schopni prolomit žádná hesla, protože neznají pepř.
Výběr dobré papriky
Vybrat si dobrou papriku je stejně důležité jako výběr dobrého hesla. Stejně jako hesla by i papriky měly být přiměřeně dlouhé a jedinečné. Pamatujte, že na celém webu se používá pepř; pokud hacker hrubě vynutí nebo uhodne pepř, váš web bude zranitelný. Nepoužívejte název svého webu jako pepř. To je ekvivalent použití „Password123“ jako hesla.
Další alternativou je použití generátoru hesel. Na internetu existuje mnoho generátorů hesel, které lze použít k výběru dobré papriky.
Další metodou pepření je papriku vůbec neskladovat. Místo toho je paprika krátkým řetězcem a když se uživatel přihlásí na stránku, systém brutálně vynutí nebo projede řadu možných paprik, dokud není použita ta správná. Trvá to déle, proto je třeba použít krátkou papriku.
Jednoduchým, ale nezabezpečeným příkladem této metody je řazení pepře podle abecedy. Když se přihlásíte, stránka projde každé písmeno abecedy – malá i velká – dokud není pepř správný.
Ačkoli je typické používat jednu papriku na jednom místě, je možné mít více než jednu najednou. Paprika je uživateli přiřazena náhodně při registraci ze skupiny paprik. Když se tento uživatel přihlásí, je vyzkoušena každá paprika, dokud není vybrána ta, která je tomuto uživateli přiřazena.
Je pepřování účinné při zvyšování bezpečnosti?
Ano. Když je pepř použit se solí, je pro hackera neuvěřitelně obtížné prolomit heslo uživatele. I když uživatelé používají slabá hesla nebo stejná hesla, hacker se to nikdy nedozví, protože pepř mění hash. S pepřováním je bezpečnost hesel velmi zvýšena.
7 běžných chyb v hesle, které vás pravděpodobně napadnou
Přečtěte si další
Související témata
- Bezpečnostní
- Online bezpečnost
- Kybernetická bezpečnost
O autorovi
Chioma je technická spisovatelka, která ráda komunikuje se svými čtenáři prostřednictvím svého psaní. Když něco nepíše, můžete ji najít, jak chodí s přáteli, dobrovolně nebo zkouší nové technologické trendy.
Přihlaste se k odběru našeho newsletteru
Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné e-knihy a exkluzivní nabídky!
Chcete-li se přihlásit k odběru, klikněte sem