Hvordan gemmer websteder egentlig adgangskoder?
Seriøse websteder gemmer ikke adgangskoder i klartekst, men som hashværdier med ekstra beskyttelse som salt og moderne hashmetoder.
Hvorfor websites ikke har brug for adgangskoder i klartekst
En tjeneste behøver ikke at kunne læse din adgangskode for at logge dig ind. Den skal bare kontrollere, om det indtastede matcher den tidligere gemte hash.
Derfor bør adgangskoder ikke gemmes reversibelt, men omdannes til sikre hashværdier med egnede procedurer.
Den sædvanlige sikre procedure
- Ved indstilling af adgangskoden tilføjes et salt, og der oprettes en hash.
- Det er ikke selve adgangskoden, der ender i databasen, men kun værdien afledt af den plus de nødvendige metadata.
- Når du logger ind, udføres den samme proces igen og sammenlignes med den gemte hash.
Hvor implementeringer fejler
Problemer opstår, når applikationer bruger forældede algoritmer, for få parametre eller endda reversibel lagring. Så bliver databaselækager væsentligt farligere.
Fra et brugerperspektiv er dette endnu en grund til aldrig at genbruge adgangskoder. Selvom en udbyder er dårligt implementeret, kan skaden ikke spredes til andre konti.
Kort overblik
De vigtigste punkter fra artiklen i komprimeret form.
- Brug kun moderne adgangskode-hash-procedurer i dine egne projekter.
- Som bruger skal du bruge stærke, unikke adgangskoder, fordi du aldrig har fuld kontrol over serverimplementeringen.
- Tjek jævnligt gamle konti og opdater dem, hvis du er usikker.
Ofte stillede spørgsmål
Lav en stærk adgangskode nu
Brug Zenkey.clicks generator til at lave en stærk tilfældig adgangskode eller en sikker adgangssætning med det samme.
Hashing vs. kryptering af adgangskoder
Hvis du vil læse videre, er det her den mest naturlige næste artikel.
Hashing og kryptering forveksles ofte. For adgangskoder er hashing den rigtige tilgang, fordi serveren ikke burde være i stand til at gendanne den originale adgangskode.