Peppering trong bảo mật mật khẩu là gì và nó hoạt động như thế nào?
Peppering không chỉ là một từ liên quan đến kỹ năng nấu nướng; nó cũng là một quá trình mật mã quan trọng trong bảo mật mật khẩu. Điều cần thiết là mật khẩu phải được giữ an toàn và bảo mật khỏi sự tấn công của tin tặc. Peppering giúp làm điều đó. Peppering là gì và nó giúp giữ mật khẩu của bạn an toàn như thế nào?
Mục Lục
Peppering là gì?
Peppering là một quá trình mật mã yêu cầu thêm một chuỗi ký tự bí mật và ngẫu nhiên vào mật khẩu trước khi nó được ướp muối và băm để làm cho mật khẩu an toàn hơn. Chuỗi ký tự được thêm vào mật khẩu được gọi là tiêu. Pepper thay đổi hoàn toàn hàm băm của mật khẩu và giúp nó miễn nhiễm với các cuộc tấn công vũ phu và bẻ khóa mật khẩu bằng cách sử dụng bảng từ điển và bảng cầu vồng.
Peppering hoạt động như thế nào?
Peppering là một lớp bảo mật bổ sung được thêm vào mật khẩu. Hãy coi nó như những lớp phủ khác nhau trên một chiếc bánh. Chiếc bánh đơn giản là một mật khẩu văn bản rõ ràng và băm là lớp phủ cuối cùng — ví dụ, rắc. Nếu bạn rắc trực tiếp lên bánh thì bánh sẽ không đẹp mắt lắm. Bảo mật bằng mật khẩu cũng vậy.
Chỉ băm mật khẩu là không an toàn vì mật khẩu có thể dễ dàng bị bẻ khóa. Đó là lý do tại sao các lớp phủ khác, muối và tiêu (trớ trêu thay), lại làm cho bánh ngon hơn — như cách chúng làm với mật khẩu
Vậy thực sự mật khẩu được băm có nghĩa là gì? Hashing là một quá trình mã hóa một chiều trong mật mã. Mật khẩu được băm về cơ bản được xáo trộn và thay vì lưu trữ mật khẩu văn bản rõ ràng trong cơ sở dữ liệu, các mật khẩu được băm được lưu trữ. Khi bạn nhập mật khẩu của mình, mật khẩu đó sẽ được băm và sau đó được so sánh với mật khẩu đã băm trong cơ sở dữ liệu. Đó là cách hệ thống xác nhận danh tính của bạn.
Cũng giống như muối, hạt tiêu được gắn vào mật khẩu để đảm bảo an toàn hơn. Vì vậy, một mật khẩu được chuyển đổi từ chỉ là mật khẩu văn bản rõ ràng thành hàm băm của mật khẩu + muối + tiêu. Vì vậy, trong trường hợp một tin tặc truy cập vào các muối và / hoặc thậm chí là mật khẩu của người dùng, thì tin tặc sẽ không thể giải mã mật khẩu được băm bởi vì Pepper thay đổi hoàn toàn hàm băm.
Ví dụ: so sánh hàm băm của một mật khẩu thuần túy, một mật khẩu mặn và một mật khẩu peppered. Đặt mật khẩu là ‘1yAm0r1a!’, Muối ‘eW3dU%’ và tiêu ‘Am41a?’.
| Văn bản mật khẩu | Mật khẩu băm | |
| Mật khẩu văn bản rõ | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Mật khẩu muối | 1yAm0r1a! EW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Mật khẩu ngang hàng | 1yAm0r1a! EW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Có thể sử dụng hạt tiêu mà không cần muối không?
Có, mật khẩu có thể được sử dụng mà không cần muối. Nhưng điều này không lý tưởng cho việc bảo mật bằng mật khẩu. Nếu kẻ tấn công biết được Pepper của một trang web, thì trang đó sẽ dễ bị tấn công bởi vì Pepper được sử dụng cho tất cả các mật khẩu trong cơ sở dữ liệu.
Sự khác biệt giữa Peppering và Salting là gì?
Theo một cách nào đó, hạt tiêu là một loại muối. Cả hai đều làm cho mật khẩu an toàn hơn, nhưng chúng khác nhau. Không giống như muối, ớt rất bí mật, có tính chất tĩnh và không được tạo ra một cách ngẫu nhiên.
Ớt không được tạo ngẫu nhiên
Khi bạn đăng nhập vào một trang web và nhập mật khẩu của mình, trước khi mật khẩu được băm, một muối sẽ được tạo ngẫu nhiên cho bạn. Điều này không giống với peppering.
Trong peppering, chủ sở hữu của trang web chọn tiêu. Chủ sở hữu địa điểm được giao nhiệm vụ đảm bảo rằng hạt tiêu được chọn là an toàn và đủ mạnh. Tất nhiên, chủ sở hữu trang web có thể chọn sử dụng trình tạo giá trị ngẫu nhiên để chọn tiêu.
Ớt có độ rộng tĩnh
Khi một cái gì đó tĩnh, có nghĩa là nó không thay đổi. Trong quá trình ướp muối, mỗi muối được tạo cho mọi người dùng trên cơ sở dữ liệu. Nhưng một hạt tiêu được sử dụng trong toàn bộ cơ sở dữ liệu. Không có ớt cho người dùng cá nhân.
Ớt là bí mật
Không giống như các loại muối có thể tìm thấy trong cơ sở dữ liệu của một trang web, ớt là bí mật. Chúng không được lưu trữ trong cơ sở dữ liệu cùng với các muối và hàm băm; điều đó sẽ làm cho ớt trở nên vô nghĩa.
Thay vào đó, ớt được lưu trữ trong một phần an toàn và riêng biệt của ứng dụng trang web. Điều này rất quan trọng vì trong trường hợp hacker xâm nhập một trang web và truy cập vào mật khẩu và muối của người dùng trên trang web đó, họ sẽ không thể bẻ khóa bất kỳ mật khẩu nào vì họ không biết mục tiêu.
Chọn một hạt tiêu tốt
Chọn tiêu ngon cũng quan trọng như chọn tiêu tốt. Cũng giống như mật khẩu, ớt phải dài và độc đáo. Hãy nhớ rằng một hạt tiêu được sử dụng trên toàn bộ trang web; nếu một hacker thô bạo hoặc đoán già đoán non, trang web của bạn sẽ dễ bị tấn công. Không sử dụng tên của trang web của bạn như một hạt tiêu. Điều đó tương đương với việc sử dụng “Password123” làm mật khẩu của bạn.
Một giải pháp thay thế khác là sử dụng trình tạo mật khẩu. Có rất nhiều công cụ tạo mật khẩu trực tuyến có thể được sử dụng để chọn một hạt tiêu tốt.
Một phương pháp peppering khác là hoàn toàn không bảo quản hạt tiêu. Thay vào đó, hạt tiêu là một chuỗi ngắn và khi người dùng đăng nhập vào trang web, hệ thống sẽ buộc hoặc chạy qua một loạt quả ớt có thể cho đến khi sử dụng đúng. Quá trình này mất nhiều thời gian hơn, vì vậy phải sử dụng loại tiêu ngắn.
Một ví dụ dễ dàng nhưng không an toàn của phương pháp này là làm cho hạt tiêu theo thứ tự bảng chữ cái. Khi bạn đăng nhập, trang web sẽ chạy qua từng chữ cái trong bảng chữ cái — chữ thường và chữ hoa — cho đến khi tiêu chính xác.
Mặc dù thông thường sử dụng một tiêu trên một địa điểm, nhưng có thể có nhiều tiêu cùng một lúc. Một hạt tiêu được chỉ định ngẫu nhiên cho người dùng khi đăng ký từ một nhóm ớt. Khi người dùng đó đăng nhập, mọi tiêu sẽ được thử cho đến khi chọn tiêu được gán cho người dùng đó.
Peppering có hiệu quả trong việc tăng cường bảo mật không?
Đúng. Khi hạt tiêu được sử dụng với muối, hacker sẽ rất khó bẻ khóa mật khẩu của người dùng. Ngay cả khi người dùng sử dụng mật khẩu yếu hoặc cùng một mật khẩu, một hacker sẽ không bao giờ biết được vì Pepper thay đổi hàm băm. Với peppering, tính bảo mật của mật khẩu được tăng lên rất nhiều.
Đọc tiếp
Giới thiệu về tác giả
.jpg?fit=crop&w=100&h=100)