Vad är Peppering i lösenordssäkerhet och hur fungerar det?

Peppar är inte bara ett ord relaterat till kulinariska färdigheter; det är också en viktig kryptografiprocess för lösenordssäkerhet. Det är viktigt att lösenord förvaras på ett säkert sätt från attacker från hackare. Peppar hjälper till att göra det. Vad är peppande och hur hjälper det till att hålla dina lösenord säkra?

Vad är Peppering?

Peppering är en kryptografisk process som innebär att man lägger till en hemlig och slumpmässig sträng av tecken till ett lösenord innan det saltas och hashas för att göra det säkrare. Teckensträngen som läggs till lösenordet kallas en peppar. Pepparn ändrar hash för ett lösenord helt och hållet och gör det immunt mot brute force attacker och lösenordsknäckning med hjälp av ordbokstabeller och regnbågstabeller.

Hur fungerar peppar?

Peppering är ett extra lager av säkerhet som läggs till lösenord. Se det som olika pålägg på en tårta. Den vanliga kakan är ett klartextlösenord och hashing är det sista pålägget – säg strössel. Lägger du strössel direkt på tårtan skulle det inte se särskilt gott ut. Det är samma sak med lösenordssäkerhet.

Att bara hasa ett lösenord är inte säkert eftersom lösenordet lätt kan knäckas. Det är därför de andra påläggen, salt och peppar (ironiskt nog), gör kakan bättre — som de gör med lösenord

Så vad betyder det egentligen att ett lösenord hashas? Hashing är en enkelriktad krypteringsprocess i kryptografi. Lösenord som hashas är i princip kodade och istället för att lagra klartextlösenorden i en databas lagras hasharna. När du anger ditt lösenord hashas det och jämförs sedan med det hashade lösenordet i databasen. Det är så systemet validerar din identitet.

Precis som att salta, läggs en peppar till ett lösenord för att göra det säkrare. Så ett lösenord förvandlas från bara ett lösenord i klartext till hash för ett lösenord+salt+peppar. Så i händelse av att en hackare får tillgång till salter och/eller till och med användarnas lösenord, skulle hackaren inte kunna dekryptera det hashade lösenordet eftersom paprikan ändrar hashen helt och hållet.

Jämför till exempel hashen för ett vanligt lösenord, ett saltat lösenord och ett pepprat lösenord. Låt lösenordet vara '1yAm0r1a!', saltet 'eW3dU%' och pepparn 'Am41a?'.

Lösenordstext	Hashat lösenord
Klartextlösenord	1yAm0r1a!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Salted Password	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Pepprat lösenord	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Kan en paprika användas utan ett salt?

Ja, ett lösenord kan användas utan salt. Men detta är inte idealiskt för lösenordssäkerhet. Om en angripare lär känna en webbplatss peppar, blir den platsen sårbar för attack eftersom pepparn används för alla lösenord i databasen.

Vad är skillnaden mellan peppar och saltning?

På ett sätt är en peppar en typ av salt. Båda gör lösenord säkrare, men de är olika. Till skillnad från salter är paprika hemliga, statiska breda och genererade inte slumpmässigt.

Paprika genereras inte slumpmässigt

När du loggar in på en webbplats och anger ditt lösenord, innan det hashas, ​​genereras ett salt slumpmässigt åt dig. Det här är inte samma sak med att peppra.

Vid peppning väljer sajtens ägare paprikan. Platsägaren har i uppdrag att se till att den valda paprikan är säker och tillräckligt stark. Naturligtvis kan webbplatsägaren välja att använda en slumpmässig värdegenerator för att välja en paprika.

Paprika är statiskt breda

När något är statiskt betyder det att det inte förändras. Vid saltning genereras varje salt för varje användare i databasen. Men en paprika används i hela databasen. Det finns inga paprika för enskilda användare.

Paprika hålls hemliga

Till skillnad från salter som kan hittas i databasen på en webbplats, är paprika hemliga. De lagras inte i databasen tillsammans med salterna och hasharna; det skulle göra paprika meningslöst.

Istället förvaras paprika i en säker och separat del av platsapplikationen. Detta är viktigt eftersom i händelse av att en hacker äventyrar en webbplats och får tillgång till lösenorden och salter av användare på den sidan, skulle de inte kunna knäcka några lösenord eftersom de inte känner till peppar.

Att välja en god paprika

Att välja en bra paprika är lika viktigt som att välja ett bra lösenord. Precis som lösenord bör paprika vara ganska långa och unika. Kom ihåg att en paprika används på hela webbplatsen; om en hackare tvingar eller gissar peppar, skulle din webbplats vara sårbar. Använd inte namnet på din webbplats som en peppar. Det motsvarar att använda "Password123" som ditt lösenord.

Ett annat alternativ är att använda en lösenordsgenerator. Det finns många lösenordsgeneratorer online som kan användas för att välja en bra paprika.

En annan metod att peppra är att inte lagra paprikan alls. Istället är paprikan en kort sträng och när en användare loggar in på webbplatsen, tvingar systemet brute forces eller kör igenom en serie möjliga paprika tills den rätta används. Detta tar längre tid, så en kort paprika måste användas.

Ett enkelt men osäkert exempel på denna metod är att göra paprikan alfabetisk. När du loggar in går sidan igenom varje bokstav i alfabetet—små och stora bokstäver—tills pepparn är korrekt.

Även om det är typiskt att använda en paprika på en plats, är det möjligt att ha mer än en åt gången. En paprika tilldelas slumpmässigt till en användare vid registrering från en grupp paprika. När den användaren loggar in prövas varje peppar tills den som tilldelats den användaren har valts.

Är Peppering effektiv för att öka säkerheten?

Ja. När en paprika används med ett salt är det otroligt svårt för en hackare att knäcka en användares lösenord. Även när användare använder svaga lösenord eller samma lösenord, skulle en hackare aldrig veta eftersom paprikan ändrar hash. Med peppning ökar säkerheten för lösenord väldigt mycket.

7 vanliga lösenordsmisstag som sannolikt kommer att få dig hackad

Läs Nästa

Om författaren