Mitä Peppering on salasanasuojauksessa ja miten se toimii?

Pippuri ei ole vain sana, joka liittyy kulinaarisiin taitoihin; se on myös tärkeä salausprosessi salasanasuojauksessa. On tärkeää, että salasanat pidetään turvassa hakkereiden hyökkäyksiltä. Pippuri auttaa siihen. Mitä pippuri on ja miten se auttaa pitämään salasanasi turvassa?

Mitä on pippuria?

Peppering on salausprosessi, jossa salasanaan lisätään salainen ja satunnainen merkkijono, ennen kuin se suolataan ja hajautetaan sen turvallisuuden parantamiseksi. Salasanaan lisättyä merkkijonoa kutsutaan pippuriksi. Pippuri muuttaa salasanan tiivisteen kokonaan ja tekee siitä immuuni raa'an voiman hyökkäyksiä ja salasanan murtaminen sanakirjataulukoiden ja sateenkaaritaulukoiden avulla.

Miten pippuri toimii?

Peppering on ylimääräinen salasanoihin lisätty suojakerros. Ajattele sitä kakun eri täytteinä. Tavallinen kakku on selväkielinen salasana, ja tiivistys on viimeinen täyttö – vaikkapa sprinkleet. Jos laittaisit sprinklejä suoraan kakun päälle, se ei näyttäisi kovin hyvältä. Sama koskee salasanasuojausta.

Pelkkä salasanan hajautus ei ole turvallista, koska salasana voidaan helposti murtaa. Siksi muut täytteet, suola ja pippuri (ironisesti), tekevät kakusta paremman - kuten ne tekevät salasanoista

Mitä salasanan hajautus tarkoittaa? Hashing on yksisuuntainen salausprosessi kryptografiassa. Hajautetut salasanat ovat pohjimmiltaan salattuja, ja selkeiden tekstien salasanojen tallentamisen sijaan tietokantaan tiivisteet tallennetaan. Kun annat salasanasi, se tiivistetään ja sitä verrataan tietokannan tiivistettyyn salasanaan. Näin järjestelmä vahvistaa henkilöllisyytesi.

Aivan kuten suolaus, salasanaan lisätään pippuri sen turvallisuuden lisäämiseksi. Joten salasana muunnetaan pelkästä tekstisalasanasta tiivisteeksi salasana + suola + pippuri. Joten siinä tapauksessa, että hakkeri pääsee käsiksi käyttäjien suoloihin ja/tai jopa salasanoihin, hakkeri ei pysty purkamaan tiivistettyä salasanaa, koska pippuri muuttaa tiivisteen kokonaan.

Vertaa esimerkiksi tavallisen salasanan, suolatun salasanan ja hienostuneen salasanan hajautusarvoa. Olkoon salasana '1yAm0r1a!', suola 'eW3dU%' ja pippuri 'Am41a?'.

Salasana teksti	Tiivistetty salasana
Tavallinen salasana	1yAm0r1a!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Suolattu salasana	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Pehmustettu salasana	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Voidaanko pippuria käyttää ilman suolaa?

Kyllä, salasanaa voi käyttää ilman suolaa. Mutta tämä ei ole ihanteellinen salasanasuojauksen kannalta. Jos hyökkääjä oppii tuntemaan sivuston pippurin, sivusto tulee alttiiksi hyökkäyksille, koska pippuria käytetään kaikissa tietokannan salasanoissa.

Mitä eroa on pippurilla ja suolaamalla?

Tavallaan pippuri on eräänlainen suola. Molemmat tekevät salasanoista turvallisempia, mutta ne ovat erilaisia. Toisin kuin suolat, paprikat ovat salaisia, staattisia eikä niitä synny satunnaisesti.

Paprikaa ei synny satunnaisesti

Kun kirjaudut sisään verkkosivustolle ja syötät salasanasi, sinulle luodaan satunnaisesti suola ennen sen tiivistämistä. Tämä ei ole sama asia pippurin kanssa.

Pippurissa paikan omistaja valitsee pippurin. Sivuston omistajan tehtävänä on varmistaa, että valittu pippuri on turvallinen ja riittävän vahva. Tietenkin sivuston omistaja voi käyttää satunnaisarvogeneraattoria pippurin valitsemiseen.

Paprikat ovat staattisia

Kun jokin on staattista, se tarkoittaa, että se ei muutu. Suolauksessa jokainen suola luodaan jokaiselle tietokannan käyttäjälle. Mutta pippuria käytetään koko tietokannassa. Yksittäisille käyttäjille ei ole paprikaa.

Paprikat pidetään salassa

Toisin kuin suolat, jotka löytyvät sivuston tietokannasta, paprikat ovat salaisia. Niitä ei tallenneta tietokantaan suolojen ja tiivisteiden rinnalla; se tekisi paprikoista hyödyttömiä.

Sen sijaan paprikat säilytetään suojatussa ja erillisessä sivustosovelluksen osassa. Tämä on tärkeää, koska siinä tapauksessa, että hakkeri murtautuu sivustolle ja pääsee käsiksi salasanoihin ja sivuston käyttäjien suolat, he eivät pysty murtamaan salasanoja, koska he eivät tiedä sitä pippuri.

Hyvän pippurin valinta

Hyvän pippurin valinta on yhtä tärkeää kuin hyvän salasanan valitseminen. Salasanojen tapaan paprikoiden tulee olla kohtuullisen pitkiä ja ainutlaatuisia. Muista, että pippuria käytetään koko sivustolla; jos hakkeri pakottaa tai arvaa pippurin, sivustosi on haavoittuvainen. Älä käytä sivustosi nimeä pippurina. Se vastaa salasanan "Password123" käyttöä.

Toinen vaihtoehto on käyttää salasanageneraattoria. Verkossa on monia salasanageneraattoreita, joita voidaan käyttää hyvän pippurin valitsemiseen.

Toinen pippurimenetelmä on olla säilyttämättä pippuria ollenkaan. Sen sijaan pippuri on lyhyt merkkijono, ja kun käyttäjä kirjautuu sivustolle, järjestelmä pakottaa tai juoksee läpi sarjan mahdollisia pippuria, kunnes oikea käytetään. Tämä kestää kauemmin, joten lyhyt pippuri on käytettävä.

Helppo mutta epävarma esimerkki tästä menetelmästä on pippurin tekeminen aakkosjärjestykseen. Kun kirjaudut sisään, sivusto käy läpi kaikki aakkosten kirjaimet – pienet ja isot –, kunnes pippuri on oikein.

Vaikka on tyypillistä käyttää yhtä pippuria koko sivustolla, on mahdollista, että niitä on useampia kerrallaan. Paprika määrätään satunnaisesti käyttäjälle rekisteröinnin yhteydessä paprikaryhmästä. Kun kyseinen käyttäjä kirjautuu sisään, jokaista pippuria kokeillaan, kunnes kyseiselle käyttäjälle määritetty on valittu.

Onko Peppering tehokas turvallisuuden parantamisessa?

Joo. Kun pippuria käytetään suolan kanssa, hakkerin on uskomattoman vaikea murtaa käyttäjän salasana. Vaikka käyttäjät käyttäisivät heikkoja salasanoja tai samoja salasanoja, hakkeri ei koskaan tietäisi, koska pippuri muuttaa hashin. Pippurin avulla salasanojen turvallisuus paranee huomattavasti.

7 yleistä salasanavirhettä, jotka saattavat saada sinut hakkeroitumaan

Lue Seuraava

Kirjailijasta