Hashing e crittografia delle password: qual è la differenza?
Hashing e crittografia vengono spesso confusi. Per le password, l'hashing è l'approccio giusto perché il server non dovrebbe essere in grado di recuperare la password originale.
Perché i termini spesso si confondono
Nella vita di tutti i giorni quasi tutto viene descritto come crittografato. Ma c'è un'importante differenza con le password: una password non deve essere resa nuovamente leggibile.
Il server deve solo verificare se l'input è corretto. Questo è esattamente lo scopo dell'hashing.
La differenza pratica
- La crittografia è reversibile una volta presente la chiave.
- L'hashing serve per il confronto e non è destinato a ripristinare l'originale.
- Per le password, un moderno metodo di hashing delle password con salt è la giusta direzione.
Perché questo è fondamentale per le fughe di dati
Quando un servizio memorizza le password in modo reversibile, le fughe di dati diventano immediatamente più pericolose. Gli aggressori devono quindi investire meno sforzi nella valutazione.
Anche con l’hashing una fuga di dati è comunque grave, ma la protezione contro la divulgazione diretta è significativamente migliore se l’implementazione è pulita.
Lista rapida
Le azioni più importanti di questa guida, riassunte in breve.
- Se sviluppi le tue password, non salvarle mai in modo reversibile.
- Quando si conducono valutazioni della sicurezza, chiedere sempre informazioni sul metodo di hashing utilizzato.
- Come utente, evita il riutilizzo perché una cattiva pratica del server non può mai essere completamente esclusa.
Domande frequenti
Crea subito una password forte
Usa il generatore di Zenkey.click per creare subito una password casuale forte o una passphrase sicura.
Che cosa sono sale e pepper negli hash delle password?
Se vuoi continuare, questa è la guida consigliata da aprire dopo.
Sale e pepper rafforzano la protezione degli hash delle password, rendono più difficili gli attacchi di massa e aumentano la resilienza del sistema in caso di fuga.