Miten verkkosivut tallentavat salasanat oikeasti?
Hyvin rakennetut palvelut eivät säilytä salasanoja selväkielisinä, vaan käyttävät modernia hash-austa ja lisäsuojauksia.
Miksi verkkosivustot eivät tarvitse salasanoja pelkkänä tekstinä
Palvelun ei tarvitse pystyä lukemaan salasanaasi kirjautuakseen sisään. Sen tarvitsee vain tarkistaa, vastaako syöte tallennettua arvoa.
Siksi salasanoja ei ihannetapauksessa tallenneta palautuvasti, vaan ne muunnetaan turvallisiksi vertailuarvoiksi sopivia menetelmiä käyttäen.
Tavallinen turvallinen toimenpide
- Salasanaa asetettaessa lisätään suola ja luodaan hash.
- Itse salasana ei päädy tietokantaan, vaan vain siitä johdettu arvo plus tarvittavat metatiedot.
- Kun kirjaudut sisään, sama prosessi suoritetaan uudelleen ja sitä verrataan tallennettuun hashiin.
Kun toteutukset epäonnistuvat
Ongelmia syntyy, kun sovellukset käyttävät vanhentuneita algoritmeja, liian vähän parametreja tai jopa palautuvaa tallennustilaa. Sitten tietokantavuodoista tulee huomattavasti vaarallisempia.
Käyttäjän näkökulmasta tämä on toinen syy olla käyttämättä salasanoja uudelleen. Vaikka palveluntarjoaja olisi huonosti toteutettu, vahinko ei välttämättä leviä muille tileille.
Nopea yhteenveto
Artikkelin tärkeimmät toimet tiiviissä muodossa.
- Käytä vain nykyaikaisia salasanan hajautusmenetelmiä omissa projekteissasi.
- Käytä käyttäjänä vahvoja, ainutlaatuisia salasanoja, koska et koskaan hallitse palvelimen toteutusta täysin.
- Tarkista vanhat tilit säännöllisesti ja päivitä ne, jos olet epävarma.
Usein kysytyt kysymykset
Luo vahva salasana nyt
Käytä Zenkey.clickin generaattoria ja luo heti vahva satunnainen salasana tai turvallinen tunnuslause.