طرق تجزئة كلمات المرور الأكثر شيوعًا لتأمين منصة التجارة الإلكترونية الخاصة بك

في عام 2018 ، أصبح تجزئة كلمة المرور أكثر أهمية من أي وقت مضى لكل من مالكي مواقع التجارة الإلكترونية والأشخاص الذين يقدمون تطبيقات برمجية تجارية.

لم تعد حماية بيانات المستخدمين اقتراحًا ، بل أصبحت مطلبًا حيث بدأ المستهلكون في اعتبار أمنهم وسلامة بياناتهم أولوية قصوى.

مع استمرار نمو التجارة الإلكترونية بمعدل قوي ، حيث من المتوقع أن تصل مبيعات التجارة الإلكترونية إلى ما يزيد قليلاً عن 4 مليارات دولار بحلول عام 2020 ، أصبحت حماية بيانات المستخدمين الآن أكثر أهمية من أي وقت مضى.

إذا تمكن متسلل أو فاعل ضار من الوصول إلى قاعدة بيانات كلمات المرور الخاصة بك وتم تخزين كلمات المرور هذه في نص عادي ، فسيتمكن المتسلل من الوصول إلى كل حسابات مستخدم على موقع الويب أو التطبيق الخاص بك.

الطريقة الموصى بها لتجنب ذلك هي من خلال تجزئة كلمة المرور.

المأجورون التجارة الإلكترونية

بدون بروتوكولات الأمن السيبراني المناسبة ، يخاطر أصحاب متاجر التجارة الإلكترونية بتعريض أنفسهم وعملائهم للخطر. لا نحتاج إلى النظر إلى أبعد من القرصنة المستهدفة لعام 2013 لفهم كيف ولماذا تشكل القرصنة تهديدًا رئيسيًا لمنصات التجارة الإلكترونية.

ومع ذلك ، فإن متاجر التجارة الإلكترونية الأصغر معرضة لخطر أكبر من الشركات الكبيرة نظرًا لحقيقة أن لديها بروتوكولات أمان أقل ضد مجرمي الإنترنت. من أكبر أنواع الجرائم الإلكترونية التي قد تواجهها متاجر التجارة الإلكترونية الصغيرة هجمات التصيد ، حيث يتم استهداف بيانات المستخدم مثل أرقام بطاقات الائتمان ومعلومات تسجيل الدخول ، والاحتيال على بطاقات الائتمان ، حيث سيحاول المتسللون استخراج أرقام بطاقات الائتمان ثم بيعها في السوق السوداء.

كما يمكنك أن تقول الآن ، يجب أن يكون أمان متجر التجارة الإلكترونية الخاص بك هو مصدر قلقك البالغ ، وسيتطلب ذلك منك استخدام عدد من التدابير الأمنية ، بما في ذلك تجزئة كلمة المرور.

ما هو تجزئة كلمة المرور؟

لفهم كيفية استخدام تجزئة كلمة المرور حاليًا في أنظمة إدارة المحتوى وتطبيقات الويب ، يتعين علينا تحديد بعض الأشياء الأساسية.

عندما تقوم بتجزئة كلمة مرور ، فإنها تقوم بشكل أساسي بتحويل كلمة المرور إلى تمثيل مشوش أو "سلسلة" ، ويمكنك استخدام هذا لتجنب تخزين كلمات المرور كنص عادي حيث يمكن العثور عليها من قبل الجهات الضارة. يقارن Hashing القيمة بمفتاح تشفير داخليًا لتفسير كلمة المرور فعليًا.

وتجدر الإشارة أيضًا إلى أن التجزئة هي شكل من أشكال أمان التشفير يختلف عن التشفير. هذا لأن التشفير مصمم لتشفير وفك تشفير رسالة من خلال عملية من خطوتين ، ولكن كما انتهينا للتو ، تم تصميم التجزئة لإنشاء سلسلة من سلسلة سابقة في النص ، والتي يمكن أن تختلف بشكل كبير مع اختلافات إدخال صغيرة فقط.

مقياس التجزئة الإضافي الذي ستراه هو ما يشار إليه بالتمليح ، وهو ببساطة إضافة الأحرف إلى نهاية كلمة المرور المجزأة لجعل فك التشفير أكثر صعوبة.

على غرار التمليح هو ما يشار إليه بالفلفل. يضيف هذا أيضًا قيمة إضافية إلى نهاية كلمة المرور. هناك إصداران مختلفان من التمليح الأول حيث تضيف القيمة إلى نهاية كلمة المرور كما ذكرت أعلاه والثاني أن القيمة المضافة إلى كلمة المرور عشوائية في الموقع وقيمتها. ميزة هذا هو أنه يجعل هجمات القوة الغاشمة وبعض الهجمات الأخرى صعبة للغاية.

خوارزميات التجزئة المستخدمة حاليًا

سترى مجموعة متنوعة من طرق التجزئة المستخدمة في كلمات المرور اعتمادًا على النظام الأساسي. يمكن أن يختلف هذا أيضًا بين أنظمة إدارة المحتوى.

يُشار إلى واحدة من خوارزميات التجزئة الأقل أمانًا باسم MD5 ، والتي تم إنشاؤها في عام 1992. كما قد تتخيل من خوارزمية تم إنشاؤها في عام 1992 ، فهي ليست خوارزمية التجزئة الأكثر أمانًا. تستخدم هذه الخوارزمية قيم 128 بت وهي أقل بكثير من معايير التشفير التقليدية ، وهذا يعني أنها ليست خيارًا آمنًا جدًا لكلمات المرور وبدلاً من ذلك يتم استخدامها غالبًا لمتطلبات أقل أمانًا مثل تنزيلات الملفات.

خوارزمية التجزئة الشائعة التالية التي ستراها هي SHA-1. تم إنشاء هذه الخوارزمية في عام 1993 من قبل وكالة الأمن القومي الأمريكية. لقد انتظروا بضع سنوات لنشر الخوارزمية ، ولكن على الرغم من تطويرها بعد عام واحد فقط من MD5 ، إلا أنها أكثر أمانًا في ذلك الوقت. ربما لا تزال ترى بعض كلمات المرور يتم تجزئتها بهذه الطريقة ولكن لسوء الحظ ، تقرر أن هذا المعيار لم يعد آمنًا.

كترقية لـ SHA1 التي نشرتها وكالة الأمن القومي ، SHA-2 ، تم إنشاؤه عام 2001. ومثل سابقتها ، لم يتم إنشاؤه على وجه التحديد من قبل وكالة الأمن القومي ولم يتم توحيده إلا قبل بضع سنوات فقط من الآن. لا تزال طريقة قابلة للتطبيق لتجزئة كلمات المرور بأمان.

خوارزمية أخرى لتجزئة كلمة المرور ستراها هي Bcrypt. تتضمن خوارزمية BCrypt ملحًا مصممًا للحماية من هجمات القوة الغاشمة.

إحدى الأدوات التي تستخدمها BCypt لجعل هجمات القوة الغاشمة أكثر صعوبة هي إبطاء عملية أو برنامج القوة الغاشمة الذي قد يستخدمه ممثل ضار. هذا يعني أنه في حالة محاولة هجوم القوة الغاشمة ، فمن المحتمل أن يستغرق سنوات إذا كان ناجحًا على الإطلاق.

على غرار bCrypt هو Scrypt. تعمل خوارزمية تجزئة كلمة المرور هذه أيضًا على توسيع المفتاح بدفاعات إضافية مثل الأملاح (المصممة لإضافة بيانات عشوائية إلى إدخال وظيفة التجزئة لإنشاء مخرجات أكثر تميزًا) ، ولجعل هجمات القوة الغاشمة شبه مستحيلة مع ميزة إضافية لـ Scrypt وهي أنها تم تصميمه ليشغل قدرًا كبيرًا من ذاكرة الكمبيوتر عند تعرضه للهجوم باستخدام القوة الغاشمة. هذا يعني أن لديها تدبيرًا إضافيًا لتمديد الفترة الزمنية التي قد يستغرقها هجوم القوة الغاشمة ليكون ناجحًا.

خوارزمية تجزئة كلمة المرور الأخيرة التي سنراها في أنظمة إدارة المحتوى وتطبيقات الويب هي PBKDF2. تم إنشاء خوارزمية تجزئة كلمة المرور هذه بواسطة مختبرات RSA ومثلما ذكرت الخوارزميات من قبل ، تضيف أيضًا امتدادات إلى التجزئة لجعل Brute Force أكثر صعوبة.

تخزين كلمات المرور المجزأة

بعد عملية التجزئة ، وبعد أن تؤدي أي خوارزمية يتم استخدامها وظيفتها ، سيكون ناتج كلمة المرور عبارة عن تمثيل سداسي عشري مختلط لنفسها.

ما يعنيه ذلك هو أنها ستكون سلسلة طويلة جدًا من الأحرف والأرقام التي سيتم تخزينها بواسطة موقع الويب أو التطبيق في حالة تمكن أحد المتطفلين من الوصول إلى تلك المعلومات.

بمعنى آخر ، إذا دخل أحد المتسللين إلى موقع التجارة الإلكترونية الخاص بك ووجد قاعدة بيانات لكلمات مرور المستخدم ، فلن يتمكن من استخدامها لتسجيل الدخول مباشرة إلى حساب المستخدم.

بدلاً من ذلك ، سيتعين عليه أو عليها تفسير الأحرف والأرقام العشوائية لمعرفة ماهية كلمة مرورك بالفعل.

كلمات مرور متعددة للمواقع الإلكترونية

في بعض الأحيان ، ستواجه مواقف قد يحتاج فيها مستخدمو متجر التجارة الإلكترونية إلى مشاركة كلمات المرور عبر خدمات مختلفة.

مثال على ذلك قد يكون لديك بنية منفصلة لتطبيقك للأجهزة المحمولة التي ربما تكون تقنية مختلفة أو على نظام أساسي مختلف مقارنة بالإصدار المستند إلى الويب. في هذه الحالة ، ستحتاج إلى مزامنة كلمات المرور المجزأة عبر أنظمة أساسية متعددة ، والتي يمكن أن تكون معقدة للغاية.

لحسن الحظ ، هناك شركات يمكنها المساعدة في المزامنة عبر الأنظمة الأساسية لكلمات مرور التجزئة. من الأمثلة على ذلك FoxyCart ، وهي خدمة تتيح مزامنة كلمة المرور المجزأة من تطبيق إلى تطبيق.

قم بتغليفه

بالإضافة إلى Foxy ، هناك العديد من منصات التجارة الإلكترونية الشهيرة للاختيار من بينها. بغض النظر عن أي واحد تستخدمه ، يجب أن يكون الحفاظ على أمان متجر التجارة الإلكترونية عبر الإنترنت أولوية قصوى ، وتجزئة كلمة المرور هي واحدة من أفضل الإجراءات الأمنية التي يمكنك استخدامها اليوم والتي يتم تجاهلها أيضًا.

كلما كانت كلمة المرور مجزأة بشكل صحيح ، وإذا كانت تستخدم أحدث المعايير مثل حلقة الملح والفلفل ، فإن الطريقة الوحيدة لممثل ضار للحصول على كلمة مرور شخص ما ستكون عبر هجوم القوة الغاشمة.

ومع الأساليب التي ذكرناها أعلاه والخوارزميات المستخدمة من قبل أنظمة إدارة المحتوى المختلفة ، أصبحت حتى هجمات القوة الغاشمة أكثر صعوبة. هذا هو ، فقط إذا قمت بتنفيذ هذه الأدوات بشكل صحيح.