Ako webové stránky skutočne ukladajú heslá?
Renomované webové stránky neukladajú heslá vo forme obyčajného textu, ale skôr ako hašované hodnoty s dodatočnými ochrannými mechanizmami, ako je soľ a moderné postupy hashovania hesiel.
Prečo webové stránky nepotrebujú heslá v obyčajnom texte
Služba nemusí vedieť prečítať vaše heslo, aby sa mohla prihlásiť. Musí len skontrolovať, či sa záznam zhoduje s predtým uloženými dôkazmi.
Preto sa heslá ideálne neukladajú reverzibilne, ale skôr sa pomocou vhodných postupov konvertujú na bezpečné porovnávacie hodnoty.
Bežný bezpečný postup
- Pri nastavovaní hesla sa pridá soľ a vytvorí sa hash.
- V databáze neskončí samotné heslo, ale iba z neho odvodená hodnota plus potrebné metadáta.
- Keď sa prihlásite, rovnaký proces sa vykoná znova a porovná sa s uloženým hashom.
Kde implementácie zlyhajú
Problémy vznikajú, keď aplikácie používajú zastarané algoritmy, príliš málo parametrov alebo dokonca reverzibilné úložisko. Potom sú úniky databáz podstatne nebezpečnejšie.
Z pohľadu používateľa je to ďalší dôvod, prečo nikdy znova nepoužívať heslá. Aj keď je poskytovateľ zle implementovaný, škoda sa nemusí rozšíriť na iné účty.
Rýchly kontrolný zoznam
Najdôležitejšie akcie z tejto príručky v kompaktnej forme.
- Vo svojich vlastných projektoch používajte iba moderné postupy hashovania hesiel.
- Ako používateľ používajte silné, jedinečné heslá, pretože nikdy nemáte úplnú kontrolu nad implementáciou servera.
- Pravidelne kontrolujte staré účty a ak si nie ste istí, aktualizujte ich.
Časté otázky
Vytvorte si teraz silné heslo
Použite generátor Zenkey.click na okamžité vytvorenie silného náhodného hesla alebo bezpečnej prístupovej frázy.