Як вэб-сайты сапраўды захоўваюць паролі?
Аўтарытэтныя вэб-сайты не захоўваюць паролі ў выглядзе звычайнага тэксту, а ў выглядзе хэшаваных значэнняў з дадатковымі механізмамі абароны, такімі як соль і сучасныя працэдуры хэшавання пароляў.
Чаму вэб-сайтам не патрэбныя паролі ў выглядзе звычайнага тэксту
Сэрвісу не трэба мець магчымасць чытаць ваш пароль для ўваходу. Ён проста павінен праверыць, ці супадае запіс з раней захаванымі доказамі.
Вось чаму ў ідэале паролі не захоўваюцца зварачальна, а пераўтвараюцца ў бяспечныя параўнальныя значэнні з дапамогай адпаведных працэдур.
Звычайная бяспечная працэдура
- Пры ўсталёўцы пароля дадаецца соль і ствараецца хэш.
- У базу дадзеных трапляе не сам пароль, а толькі атрыманае з яго значэнне плюс неабходныя метададзеныя.
- Калі вы ўваходзіце ў сістэму, той жа працэс выконваецца зноў і параўноўваецца з захаваным хэшам.
Там, дзе рэалізацыя не працуе
Праблемы ўзнікаюць, калі прыкладанні выкарыстоўваюць састарэлыя алгарытмы, занадта мала параметраў або нават зваротнае захоўванне. Тады ўцечкі базы дадзеных становяцца значна больш небяспечнымі.
З пункту гледжання карыстальніка, гэта яшчэ адна прычына ніколі не выкарыстоўваць паролі паўторна. Нават калі правайдэр рэалізаваны дрэнна, шкода можа не распаўсюджвацца на іншыя ўліковыя запісы.
Хуткі кантрольны спіс
Найбольш важныя дзеянні з гэтага кіраўніцтва ў кампактным выглядзе.
- Выкарыстоўвайце толькі сучасныя працэдуры хэшавання пароляў у вашых уласных праектах.
- Як карыстальнік, выкарыстоўвайце надзейныя унікальныя паролі, таму што вы ніколі не цалкам кантралюеце рэалізацыю сервера.
- Рэгулярна правярайце старыя ўліковыя запісы і абнаўляйце іх, калі вы не ўпэўненыя.
Агульныя пытанні
Стварыце надзейны пароль
Выкарыстоўвайце генератар Zenkey.click, каб адразу стварыць надзейны выпадковы пароль або бяспечную фразу-пароль.