Hur lagrar webbplatser lösenord i praktiken?
Välbyggda tjänster lagrar inte lösenord i klartext utan använder modern hashning och extra skydd.
Varför webbplatser inte behöver lösenord i vanlig text
En tjänst behöver inte kunna läsa ditt lösenord för att logga in. Han måste bara kontrollera om posten stämmer överens med de tidigare lagrade bevisen.
Det är därför lösenord helst inte lagras reversibelt, utan snarare omvandlas till säkra jämförelsevärden med hjälp av lämpliga procedurer.
Det vanliga säkra förfarandet
- När du ställer in lösenordet läggs ett salt till och en hash skapas.
- Det är inte själva lösenordet som hamnar i databasen, utan bara värdet som härrör från det plus nödvändig metadata.
- När du loggar in exekveras samma process igen och jämförs med den lagrade hashen.
Där implementeringar misslyckas
Problem uppstår när applikationer använder föråldrade algoritmer, för få parametrar eller till och med reversibel lagring. Då blir databasläckor betydligt farligare.
Ur ett användarperspektiv är detta ytterligare ett skäl till att aldrig återanvända lösenord. Även om en leverantör är dåligt implementerad kan skadan inte spridas till andra konton.
Snabb överblick
De viktigaste punkterna från artikeln i kort form.
- Använd endast moderna lösenordshashningsprocedurer i dina egna projekt.
- Som användare, använd starka, unika lösenord eftersom du aldrig helt kontrollerar serverimplementeringen.
- Kontrollera gamla konton regelbundet och uppdatera dem om du är osäker.
Vanliga frågor
Skapa ett starkt lösenord nu
Använd Zenkey.clicks generator för att direkt skapa ett starkt slumpmässigt lösenord eller en säker lösenfras.