Kuidas veebisaidid paroole tegelikult salvestavad?
Tuntud veebisaidid ei salvesta paroole lihttekstina, vaid räsiväärtustena koos täiendava kaitsega, nagu sool ja kaasaegsed parooliräsimeetodid.
Miks veebisaidid ei vaja paroole lihttekstina?
Teenusel ei ole sisselogimiseks vaja teie parooli lugeda. Ta peab lihtsalt kontrollima, kas sisestatud parool vastab varem salvestatud räsile.
Seetõttu ei talletata paroole ideaalis pöörduvalt, vaid teisendatakse sobivate meetoditega turvalisteks võrdlusväärtusteks.
Tavaline ohutu protseduur
- Parooli määramisel lisatakse soola ja luuakse räsi.
- Andmebaasi ei satu mitte parool ise, vaid ainult sellest tuletatud väärtus pluss vajalikud metaandmed.
- Sisselogimisel käivitatakse sama protsess uuesti ja võrreldakse salvestatud räsiga.
Kui juurutamine ebaõnnestub
Probleemid tekivad siis, kui rakendused kasutavad aegunud algoritme, liiga vähe parameetreid või isegi pöörduvat salvestusruumi. Siis muutuvad andmebaasi lekked oluliselt ohtlikumaks.
Kasutaja seisukohast on see veel üks põhjus, miks paroole mitte kunagi uuesti kasutada. Isegi kui teenusepakkuja on halvasti rakendatud, ei pruugi kahju teistele kontodele levida.
Kiirülevaade
Artikli kõige olulisemad punktid lühikeses vormis.
- Kasutage oma projektides ainult kaasaegseid parooliräsimise protseduure.
- Kasutajana kasutage tugevaid unikaalseid paroole, sest te ei kontrolli kunagi täielikult serveri rakendamist.
- Kontrollige regulaarselt vanu kontosid ja värskendage neid, kui te pole kindel.
Korduma kippuvad küsimused
Loo tugev parool kohe
Kasuta Zenkey.clicki generaatorit, et luua kohe tugev juhuslik parool või turvaline paroolifraas.
Räsimine vs. paroolide krüpteerimine
Kui tahad edasi lugeda, siis see on kõige loomulikum järgmine artikkel.
Räsimine ja krüpteerimine aetakse sageli segamini. Paroolide puhul on räsimine õige lähenemine, kuna server ei peaks suutma algset parooli taastada.