Hashing vs. kryptering af adgangskoder
Hashing og kryptering forveksles ofte. For adgangskoder er hashing den rigtige tilgang, fordi serveren ikke burde være i stand til at gendanne den originale adgangskode.
Hvorfor begreberne ofte bliver forvirrede
I hverdagen beskrives næsten alt som krypteret. Men der er en vigtig forskel med adgangskoder: en adgangskode skal ikke gøres læsbar igen.
Serveren skal kun kontrollere, om inputtet er korrekt. Det er præcis, hvad hashing er til.
Den praktiske forskel
- Kryptering er reversibel, når nøglen er til stede.
- Hashing er til sammenligning og er ikke beregnet til at gendanne originalen.
- For adgangskoder er en moderne adgangskodehashmetode med salt den rigtige retning.
Hvorfor dette er afgørende for datalækage
Når en tjeneste gemmer adgangskoder reversibelt, bliver lækager straks mere farlige. Angribere skal derefter investere mindre kræfter i evalueringen.
Selv med hashing er en lækage stadig alvorlig, men beskyttelsen mod direkte offentliggørelse er væsentligt bedre, hvis implementeringen er ren.
Kort overblik
De vigtigste punkter fra artiklen i komprimeret form.
- Hvis du udvikler dine egne adgangskoder, må du aldrig gemme dem reversibelt.
- Spørg altid om den anvendte hashing-metode, når du udfører sikkerhedsvurderinger.
- Undgå som bruger genbrug, fordi dårlig serverpraksis aldrig helt kan udelukkes.
Ofte stillede spørgsmål
Lav en stærk adgangskode nu
Brug Zenkey.clicks generator til at lave en stærk tilfældig adgangskode eller en sikker adgangssætning med det samme.