Jak weby skutečně ukládají hesla?
Seriózní weby neukládají hesla v otevřeném textu, ale jako hashované hodnoty s další ochranou, jako je sůl a moderní hašovací metody.
Proč weby nepotřebují hesla v otevřeném textu
Služba nepotřebuje umět číst vaše heslo, aby vás přihlásila. Stačí jí ověřit, že zadané heslo odpovídá dříve uloženému hashi.
Hesla se proto ideálně neukládají reverzibilně, ale převádějí se vhodnými postupy na bezpečné srovnávací hodnoty.
Obvyklý bezpečný postup
- Při nastavování hesla se přidá sůl a vytvoří se hash.
- V databázi neskončí samotné heslo, ale pouze z něj odvozená hodnota plus potřebná metadata.
- Když se přihlásíte, stejný proces se provede znovu a porovná se s uloženým hashem.
Kde implementace selhávají
Problémy nastávají, když aplikace používají zastaralé algoritmy, příliš málo parametrů nebo dokonce reverzibilní úložiště. Úniky databáze se pak stávají výrazně nebezpečnějšími.
Z pohledu uživatele je to další důvod, proč nikdy znovu nepoužívat hesla. I když je poskytovatel špatně implementován, škoda se nemusí rozšířit na další účty.
Rychlý přehled
Nejdůležitější body z článku ve zkrácené podobě.
- Ve svých vlastních projektech používejte pouze moderní postupy hašování hesel.
- Jako uživatel používejte silná a jedinečná hesla, protože nikdy plně nekontrolujete implementaci serveru.
- Pravidelně kontrolujte staré účty a pokud si nejste jisti, aktualizujte je.
Často kladené otázky
Vytvořte si silné heslo hned
Použijte generátor Zenkey.click a vytvořte si hned silné náhodné heslo nebo bezpečnou heslovou frázi.