Тъй като повечето от програмистите не разбирам как да се прилагат правилно защитата с парола с хашиш и как, реших да направя една малка обяснителен текст по този въпрос.
Първото нещо, което да се разбере, че защитата на принципа хеширане - ". Крият пред очите ни" принцип на Предполага се, че самата хеш, и всичките му елементи (с изключение на паролата, разбира се), със сигурност е известно, че нападателя. Но това няма да му помогне. Това е много важно. Трябва да се разбере, че задачата на хеширане - да не се скрие в резултат на функцията за хеширане, и обратното заместник - да се направи безопасно, дори ако хеша е нарушена.
Следващото нещо, което да се разбере - парола хеширане се използва, на първо място, а не за защита на приложения, както и да защити себе си паролите, в случай, че приложението ще бъде компрометирана. Следователно, за да се разчита на някой от механизмите на молбата за защита с парола е в противоречие със самия принцип на хеширане. Хешът трябва да се самозадоволява - Собственост и за тази цел той е изобретил.
След това трябва да се представите, какво е специално хеширане пароли. Основният проблем на пароли е, че те са сравнително малко. Ако хеширане доста дълъг текст, можете да [в известна степен], за да бъдете сигурни, че никой няма да вдигне на изходния код на съществуваща хашиш, в случай на паролата тази опция по принцип е възможно. Но при определени условия - и доста вероятно.
Какви видове атаки може да подлежи на хеш парола?
1. Търсене хеша за "таблици дъга" (таблици дъга): огромна база данни, която обединява по-рано броят на хешове за всички възможни низове.
2. Методът на груба сила (Bruteforce): през всички комбинации от символи и да ги prmenyaetsya хеширане функция, стига да не се връща на желания хеш.
3. Потърсете в речника. Като груба сила, но груба сила не е на всички възможни стойности, а само няколко хиляди от най-популярните пароли като "123", "парола" и така нататък.
За да се защити срещу тези три вида атаки изискват различни механизми. Те са следните:
1. За да се предпазите от търсенето за таблици дъга бе създадена сол (сол): низ от случайни знаци, който се добавя към паролата преди изчисляване на хеш. По този начин ние се разшири паролата за такова състояние, че не дъга маса не е в състояние да побере всички опции.
Липсата на сол е, че тя трябва да се съхранява заедно с паролата в ясен. И по този начин го прави уязвим парола на други два вида атаки. Но винаги трябва да е наясно, че това е така замислена - сол е предназначена да бъде компрометирана с хашиш. И защита е изградена въз основа на факта, че солта е известно, че са известни атаки.
Наблюдавайки трите правила, можем да бъдем сигурни, че дори и ако теча на базата данни с парола, или счупване при прилагането или дори когато откраднати компютърни пароли са безопасни. Трябва да се разбере, че пренебрегването някоя от тези три правила ще направят пароли уязвими за изтичане.
Нека сега се обърнем към спецификата.
Свързани статии