Hva er Peppering i passordsikkerhet og hvordan fungerer det?

Peppering er ikke bare et ord relatert til kulinariske ferdigheter; det er også en viktig kryptografiprosess i passordsikkerhet. Det er viktig at passord oppbevares trygt og sikkert mot angrep fra hackere. Peppering hjelper til med det. Hva er peppering, og hvordan hjelper det med å holde passordene dine trygge?

Hva er Peppering?

Peppering er en kryptografisk prosess som innebærer å legge til en hemmelig og tilfeldig tegnstreng til et passord før det saltes og hashes for å gjøre det sikrere. Tegnstrengen som legges til passordet kalles en pepper. Pepperen endrer hashen til et passord totalt og gjør det immun mot brute force angrep og passordknekking ved hjelp av ordboktabeller og regnbuetabeller.

Hvordan fungerer Peppering?

Peppering er et ekstra lag med sikkerhet lagt til passord. Tenk på det som forskjellige pålegg på en kake. Den vanlige kaken er et vanlig tekstpassord og hashing er det siste pålegget – for eksempel strø. Hvis du legger strøssel direkte på kaken, ville det ikke se særlig godt ut. Det er det samme med passordsikkerhet.

Bare hasching av et passord er ikke sikkert fordi passordet lett kan knekkes. Det er derfor de andre påleggene, salt og pepper (ironisk nok), gjør kaken bedre—som de gjør med passord

Så hva betyr det egentlig at et passord hashes? Hashing er en enveis krypteringsprosess i kryptografi. Passord som hashes er i utgangspunktet kryptert, og i stedet for å lagre klartekstpassordene i en database, lagres hashen. Når du skriver inn passordet ditt, hashes det og sammenlignes deretter med det hashade passordet i databasen. Det er slik systemet validerer identiteten din.

Akkurat som å salte, er en pepper lagt til et passord for å gjøre det sikrere. Så et passord blir forvandlet fra bare et vanlig tekstpassord til hashen til et passord+salt+pepper. Så i tilfelle en hacker får tilgang til saltene og/eller til og med passordene til brukere, vil hackeren ikke være i stand til å dekryptere det hash-kodede passordet fordi pepperen endrer hashen totalt.

Sammenlign for eksempel hashen til et vanlig passord, et saltet passord og et krydret passord. La passordet være '1yAm0r1a!', saltet 'eW3dU%' og pepperen 'Am41a?'.

Passordtekst	Hashed passord
Klartekstpassord	1yAm0r1a!	c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69
Saltet passord	1yAm0r1a!eW3dU%	06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb
Peppert passord	1yAm0r1a!eW3dU% Am41a?	fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553

Kan en pepper brukes uten salt?

Ja, et passord kan brukes uten salt. Men dette er ikke ideelt for passordsikkerhet. Hvis en angriper blir kjent med et nettsteds pepper, blir det nettstedet sårbart for angrep fordi pepperet brukes til alle passordene i databasen.

Hva er forskjellen mellom pepper og salting?

På en måte er en pepper en type salt. De gjør begge passord sikrere, men de er forskjellige. I motsetning til salter, er paprika hemmelig, statisk bred og ikke tilfeldig generert.

Paprika er ikke tilfeldig generert

Når du logger på et nettsted og skriver inn passordet ditt, før det hashes, genereres et tilfeldig salt for deg. Dette er ikke det samme med peppering.

I peppering velger eieren av nettstedet pepper. Tomteeieren har i oppgave å sørge for at paprikaen som velges er sikker og sterk nok. Selvfølgelig kan nettstedeieren velge å bruke en tilfeldig verdigenerator for å velge en pepper.

Paprika er statisk bred

Når noe er statisk, betyr det at det ikke endres. Ved salting genereres hvert salt for hver bruker i databasen. Men en pepper brukes i hele databasen. Det er ingen paprika for individuelle brukere.

Paprika holdes hemmelig

I motsetning til salter som finnes i databasen til et nettsted, er paprika hemmelige. De lagres ikke i databasen ved siden av salter og hashen; som ville gjøre paprika meningsløst.

I stedet lagres paprika i en sikker og separat del av nettstedsapplikasjonen. Dette er viktig fordi i tilfelle en hacker kompromitterer et nettsted og får tilgang til passordene og salter av brukere på det nettstedet, ville de ikke være i stand til å knekke noen passord fordi de ikke kjenner til pepper.

Velge en god pepper

Å velge en god pepper er like viktig som å velge et godt passord. Akkurat som passord, bør paprika være rimelig lange og unike. Husk at det brukes en pepper på hele nettstedet; hvis en hacker råt tvinger eller gjetter pepper, vil nettstedet ditt være sårbart. Ikke bruk navnet på nettstedet ditt som en pepper. Det tilsvarer å bruke "Password123" som passord.

Et annet alternativ er å bruke en passordgenerator. Det er mange passordgeneratorer på nettet som kan brukes til å velge en god paprika.

En annen metode for pepper er å ikke lagre pepperen i det hele tatt. I stedet er pepperen en kort streng, og når en bruker logger inn på nettstedet, tvinger systemet brute forces eller kjører gjennom en rekke mulige peppers til den rette brukes. Dette tar lengre tid, så en kort pepper må brukes.

Et enkelt, men usikkert eksempel på denne metoden er å gjøre pepperen alfabetisk. Når du logger på, går siden gjennom hver bokstav i alfabetet—små og store bokstaver—til pepperen er riktig.

Selv om det er typisk å bruke én paprika på tvers av et område, er det mulig å ha mer enn én om gangen. En paprika tildeles tilfeldig til en bruker ved registrering fra en gruppe paprika. Når den brukeren logger på, prøves hver pepper inntil den som er tildelt den brukeren er valgt.

Er Peppering effektiv for å øke sikkerheten?

Ja. Når en pepper brukes med et salt, er det utrolig vanskelig for en hacker å knekke en brukers passord. Selv når brukere bruker svake passord eller de samme passordene, ville en hacker aldri vite det fordi pepperen endrer hashen. Med peppering økes sikkerheten til passord veldig mye.

7 vanlige passordfeil som sannsynligvis vil få deg hacket

Les Neste

Om forfatteren