Lösenordssäkerhet är en viktig del av cybersäkerhet. Lösenord används överallt. När du loggar in på ett konto anger du ett lösenord som används för att verifiera din identitet.
Du kanske har hört talas om termen "saltning" i relation till lösenord, så vad är saltning? Hur skyddas egentligen lösenord från hackare? Och håller saltning dina lösenord säkra?
Vad är saltning?
Saltning är processen att lägga till unika slumpmässiga teckensträngar till lösenord i en databas eller varje lösenord innan lösenordet hashas (en term vi kommer tillbaka till). Detta görs för att ändra hash och göra lösenord säkrare. Teckensträngen som läggs till lösenordet kallas salt. Ett salt kan läggas till framför eller bakom ett lösenord.
Saltet offentliggörs inte och är känt för endast platsen.
Hur fungerar saltning?
När du skapar ett konto på en webbplats eller app måste lösenordet du använder lagras, så att du kan verifieras nästa gång du besöker sidan. Men det här lösenord kan inte lagras som klartext dvs utan någon form av formatering eller kodning. Lösenordet måste hashas för att förhindra att hackare enkelt kommer åt ditt konto.
Säg att du loggar in på en webbplats med detta lösenord: myPassword. Innan det lösenordet hashas läggs ett saltvärde till det. Om saltvärdet för den specifika webbplatsen eller användaren är MUOrocks%, blir ditt saltade lösenord myPasswordMUOrocks%.
Det saltade lösenordet hashas sedan och lagras i databasen tillsammans med andra lösenordshashar.
Vad är skillnaden mellan kryptering, hashing och saltning?
Saltning, hashning och kryptering är säkerhetstekniker som används varje dag över webbplatser och system. De är kryptografiska termer som är nödvändiga för lösenordssäkerhet. Men hur skiljer de sig åt?
Kryptering
Kryptering är en form av kryptografi där information kodas matematiskt och endast kan nås och avkodas av en person med en auktoriserad nyckel. Informationen som behöver säkras översätts från klartext till chiffertext med hjälp av en algoritm som gör informationen otydlig för obehöriga användare.
Kryptering är en tvåvägsprocess, vilket innebär att krypterad data kan vändas och läsas, men endast av de med rätt dekrypteringsnyckel.
Hashing
Hashing är processen att omvandla information som du vill hållas säker till en sträng av tecken som även kallas hash. Det är i princip att förvränga information med hjälp av en algoritm.
Hashing är en enkelriktad kryptografisk funktion och detta innebär att den, till skillnad från kryptering, i allmänhet inte kan vändas. Det enda sättet du kan dechiffrera en hash är genom att jämföra den med en annan hash med ett känt klartextvärde.
Hashing används för att verifiera din äkthet. När du loggar in på en webbplats och skriver in ditt lösenord jämförs ditt lösenords hash med hashen som identifieras med ditt konto. Om de två hasharna är samma, ges du åtkomst till webbplatsen.
Saltning
Saltning är ytterligare ett säkerhetslager som läggs till hashing. För att göra en hash säkrare läggs unika teckensträngar till i lösenordet innan hashningen för att ändra hashen helt.
Varför är lösenord saltade?
Saltning är mycket viktigt för säkerheten. Det hjälper till att minska risken för att illvilliga hackare får lösenorden.
Att helt enkelt lagra lösenord i databaser som det är är en mycket osäker metod för att hålla användarnas integritet. Vilken skicklig hackare som helst kan komma in i databasen och ha tillgång till alla konton på sajten.
Sedan kom hashing. Det förbättrade säkerheten för lösenorden tills hackare fick bättre av det. Hackare använder brute-force attacker, ordboksattacker, lösenordssprayning, eller regnbågstabeller för att ändra lösenorden för att få inloggningsuppgifter.
För att stärka svaga lösenord
Saltning ger webbplatsen ytterligare en säkerhetsnivå. När ett saltvärde läggs till ett lösenord ändras hashen helt. Detta gör det mycket svårt att ändra lösenordet och gör regnbågsbordet värdelöst. Här är ett exempel.
| Lösenordstext | Hash | |
| Ursprungligt lösenord | mitt lösenord | deb1536f480475f7d593219aa1afd74c |
| Salta lösenord | myPasswordMUOrocks% | 51ae8ec80ae589f4270a1260841650a1 |
Som du kan se i tabellen är hasharna helt annorlunda. Lösenordet förblir detsamma när du besöker sidan, men hashen är säkrare mot utnyttjande. Saltning är särskilt viktigt när användare använder svaga och populära lösenord som "lösenord" eller "12345". Saltning minskar risken som kommer av svaga lösenord.
För att göra lösenordshaschar unika
Saltning är också viktigt när två eller flera användare har samma lösenord. Att lägga till olika randomiserade salter till varje lösenord hjälper till att göra varje unikt. Till exempel, om ditt lösenord är iL0veCh3ese! och en annan användare, Chioma, har det exakta lösenordet, saltning används för att göra dessa lösenordshaschar unika.
| Lösenord | Salt värde | Salted Password | MD5 Hash | |
| Du | iL0veCh3ese! | Am4la! | iL0veCh3ese! Am4la! | 31fda55ee57bc4c49ef6e0c99b0ba904 |
| Chioma | iL0veCh3ese! | ew3du? | iL0veCh3ese!ew3du? | cf0bea59647ba39e058a20c14fc10b0d |
Nu har dessa lösenord, även om de är samma, helt olika hash. När du tittar på hasharna kommer du aldrig att kunna känna igen att de två användarna delar ett lösenord.
Att välja ett bra salt
Att välja ett bra salt är lika viktigt som att välja ett lösenord. Ett bra salt ska vara unikt. Se till att du använder unika tecken och/eller symboler som skulle göra din hash säkrare. Saltet eller salterna du väljer för din webbplats bör inte vara förutsägbara eller lätta att gissa, som namnet på webbplatsen eller användaren. Ett annat extra plus är att använda långa salter.
Det bästa sättet att välja ett unikt och starkt salt är att använda saltvärdegeneratorer. Dessa hjälper dig att skapa slumpmässiga och starka salter för att öka din säkerhet.
Förvara inte salter tillsammans med lösenordsdatabasen och använd inte samma salter för alla lösenord. Ett annat bra salttips är att byta salt varje gång en användare ändrar sitt lösenord.
Är saltning effektiv för att öka säkerheten?
Ja. Saltning ökar säkerheten för ett lösenord. När du saltar ett lösenord är det omöjligt för en hackare att knäcka ett lösenord med hjälp av ordbokstabeller eller regnbågstabeller. Att tvinga fram det hashade lösenordet är också meningslöst eftersom det skulle ta väldigt lång tid innan den perfekta kombinationen av hashen hittas. På så sätt är lösenord säkrare och säkrare från hackare.
De 8 vanligaste knepen som används för att hacka lösenord
Läs Nästa
Relaterade ämnen
- säkerhet
- Lösenordstips
- Online säkerhet
- Kryptering
- Cybersäkerhet
Om författaren
Chioma är en teknisk författare som älskar att kommunicera med sina läsare genom sitt skrivande. När hon inte skriver något kan hon hittas hänga med vänner, volontärarbeta eller prova nya tekniska trender.
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera