Peppering nije samo riječ vezana uz kulinarske vještine; također je važan kriptografski proces u zaštiti lozinki. Bitno je da se lozinke čuvaju i zaštićene od napada hakera. U tome pomaže papar. Što je peppering i kako pomaže u zaštiti vaših lozinki?
Što je peppering?
Peppering je kriptografski proces koji podrazumijeva dodavanje tajnog i slučajnog niza znakova lozinki prije nego što se posoli i rasprši kako bi bila sigurnija. Niz znakova koji se dodaje lozinki naziva se paprika. Paprika u potpunosti mijenja hash lozinke i čini je imunom na napadi grube sile i razbijanje lozinki pomoću tablica rječnika i duginih tablica.
Kako djeluje peppering?
Peppering je dodatni sloj sigurnosti koji se dodaje lozinkama. Zamislite to kao različite preljeve na torti. Obični kolač je šifra otvorenog teksta, a raspršivanje je konačni preljev—recimo, posip. Ako stavite posip direktno na tortu, ne bi izgledala baš dobro. Isto je i sa sigurnošću lozinkom.
Samo raspršivanje lozinke nije sigurno jer se lozinka lako može razbiti. Zato ostali dodaci, sol i papar (ironično), čine tortu boljom — kao što to čine i sa lozinkama
Dakle, što zapravo znači da se lozinka hashira? Haširanje je jednosmjerni proces enkripcije u kriptografiji. Lozinke koje se raspršuju u osnovi su šifrirane i umjesto pohranjivanja lozinki otvorenog teksta u bazu podataka, hashovi se pohranjuju. Kada unesete svoju lozinku, ona se raspršuje i zatim uspoređuje s raspršenom lozinkom u bazi podataka. Tako sustav potvrđuje vaš identitet.
Baš kao i soljenje, paprika se dodaje lozinki kako bi bila sigurnija. Dakle, lozinka se pretvara iz lozinke običnog teksta u hash lozinke+sol+papar. Dakle, u slučaju da haker dobije pristup solima i/ili čak lozinkama korisnika, haker ne bi mogao dešifrirati hashiranu lozinku jer paprika u potpunosti mijenja hash.
Na primjer, usporedite hash obične lozinke, slane lozinke i paprene lozinke. Neka lozinka bude '1yAm0r1a!', sol 'eW3dU%', a papar 'Am41a?'.
| Tekst lozinke | Haširana lozinka | |
| Lozinka otvorenog teksta | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Slana lozinka | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Paprena lozinka | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Može li se paprika koristiti bez soli?
Da, lozinka se može koristiti bez soli. Ali ovo nije idealno za sigurnost lozinkom. Ako napadač upozna papriku web-mjesta, ta stranica postaje ranjiva na napad jer se paprika koristi za sve lozinke u bazi podataka.
Koja je razlika između paprenja i soljenja?
Na neki način, paprika je vrsta soli. Obje čine lozinke sigurnijima, ali su različite. Za razliku od soli, paprike su tajne, statične i ne generiraju se nasumično.
Paprike se ne generiraju slučajno
Kada se prijavite na web stranicu i unesete svoju lozinku, prije nego što se rasprši, za vas se nasumično generira sol. To nije isto s paprom.
U paprenju, vlasnik stranice bira papriku. Vlasnik stranice ima zadatak osigurati da odabrana paprika bude sigurna i dovoljno jaka. Naravno, vlasnik stranice može odabrati korištenje generatora slučajnih vrijednosti za odabir paprike.
Paprike su statične široke
Kad je nešto statično, to znači da se ne mijenja. U soljenju se svaka sol generira za svakog korisnika u bazi podataka. Ali paprika se koristi u cijeloj bazi podataka. Nema paprika za pojedinačne korisnike.
Paprike se čuvaju kao tajna
Za razliku od soli koje se mogu naći u bazi podataka web stranice, paprike su tajne. Oni se ne pohranjuju u bazi podataka zajedno sa solima i hashovima; to bi paprike učinilo besmislenim.
Umjesto toga, paprike su pohranjene u sigurnom i zasebnom dijelu aplikacije na web mjestu. To je važno jer u slučaju da haker kompromituje stranicu i dobije pristup lozinkama i soli korisnika na toj stranici, ne bi mogli probiti nijednu lozinku jer ne znaju papar.
Odabir dobre paprike
Odabrati dobru papriku je jednako važno kao i odabir dobre lozinke. Baš kao i lozinke, paprike bi trebale biti prilično dugačke i jedinstvene. Zapamtite da se paprika koristi na cijelom mjestu; ako haker grubo natjera ili pogodi papar, vaša bi stranica bila ranjiva. Nemojte koristiti naziv svoje stranice kao papriku. To je jednako korištenju "Password123" kao vaše lozinke.
Druga alternativa je korištenje generatora lozinki. Na mreži postoji mnogo generatora lozinki koji se mogu koristiti za odabir dobre paprike.
Druga metoda paprike je da se paprika uopće ne pohranjuje. Umjesto toga, paprika je kratki niz i kada se korisnik prijavi na stranicu, sustav grubo forsira ili prolazi kroz niz mogućih paprika sve dok se ne iskoristi prava. To traje duže, pa se mora koristiti kratka paprika.
Jednostavan, ali nesiguran primjer ove metode je postavljanje paprike po abecedi. Kada se prijavite, stranica prolazi kroz svako slovo abecede - mala i velika - sve dok papar nije ispravan.
Iako je uobičajeno koristiti jednu papriku na cijelom mjestu, moguće je imati više od jedne paprike odjednom. Paprika se nasumično dodjeljuje korisniku prilikom registracije iz grupe paprika. Kada se taj korisnik prijavi, isprobava se svaka paprika dok se ne odabere ona koja je dodijeljena tom korisniku.
Je li peppering učinkovit u jačanju sigurnosti?
Da. Kada se paprika koristi sa solju, hakeru je nevjerojatno teško probiti korisničku lozinku. Čak i kada korisnici koriste slabe lozinke ili iste lozinke, haker to nikada ne bi znao jer paprika mijenja hash. S paprom, sigurnost lozinki je jako povećana.
7 uobičajenih pogrešaka u zaporkama koje će vas vjerojatno hakirati
Pročitajte dalje
Povezane teme
- Sigurnost
- Sigurnost na mreži
- Cybersigurnost
O autoru
Chioma je tehnička spisateljica koja svojim pisanjem voli komunicirati sa svojim čitateljima. Kad nešto ne piše, može se naći kako se druži s prijateljima, volontira ili isprobava nove tehnološke trendove.
Pretplatite se na naše obavijesti
Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e-knjige i ekskluzivne ponude!
Kliknite ovdje za pretplatu
