Die gebräuchlichsten Passwort-Hashing-Methoden zur Sicherung Ihrer E-Commerce-Plattform

Im Jahr 2018 wird das Hashing von Passwörtern sowohl für E-Commerce-Website-Besitzer als auch für Personen, die kommerzielle Softwareanwendungen anbieten, wichtiger denn je.

Der Schutz der Daten Ihrer Benutzer ist kein Vorschlag mehr, sondern eine Anforderung, da die Verbraucher beginnen, ihre Sicherheit und den Schutz ihrer Daten als oberste Priorität zu betrachten.

Da der E-Commerce weiterhin solide wächst und der E-Commerce-Umsatz bis zum Jahr 2020 voraussichtlich knapp über 4 Milliarden US-Dollar erreichen wird, ist der Schutz der Daten Ihrer Benutzer heute wichtiger denn je.

Wenn ein Hacker oder böswilliger Akteur Zugriff auf Ihre Passwortdatenbank erhält und diese Passwörter im Klartext gespeichert sind, hat der Eindringling Zugriff auf alle Benutzerkonten auf Ihrer Website oder Anwendung.

Der empfohlene Weg, dies zu vermeiden, ist das Passwort-Hashing.

E-Commerce-Hacks

Ohne die richtigen Cybersicherheitsprotokolle riskieren Besitzer von E-Commerce-Shops, sich selbst und ihre Kunden einem Risiko auszusetzen. Wir müssen nicht weiter als bis zum Target-Hacking 2013 schauen, um zu verstehen, wie und warum Hacking eine große Bedrohung für E-Commerce-Plattformen darstellt.

Kleinere E-Commerce-Shops sind jedoch einem noch größeren Risiko ausgesetzt als größere Unternehmen, da sie über geringere Sicherheitsprotokolle gegen Cyberkriminelle verfügen. Zwei der größten Arten von Cyberkriminalität, denen kleinere E-Commerce-Shops möglicherweise ausgesetzt sind, sind Phishing-Angriffe, bei denen Benutzerdaten wie ihre Kreditkartennummern und Anmeldeinformationen ins Visier genommen werden, und Kreditkartenbetrug, bei dem Hacker versuchen, Kreditkartennummern zu extrahieren und sie dann zu verkaufen auf dem Schwarzmarkt.

Wie Sie inzwischen hoffentlich erkennen können, muss die Sicherheit Ihres E-Commerce-Shops für Sie von größter Bedeutung sein, und dies erfordert, dass Sie eine Reihe von Sicherheitsmaßnahmen ergreifen, einschließlich Passwort-Hashing.

Was ist Passwort-Hashing?

Um zu verstehen, wie Passwort-Hashing derzeit in Content-Management-Systemen und Webanwendungen verwendet wird, müssen wir einige wichtige Dinge definieren.

Wenn Sie ein Passwort hashen, verwandelt es das Passwort im Grunde in eine verschlüsselte Darstellung oder „Zeichenfolge“, und Sie verwenden dies, um zu vermeiden, dass Passwörter als Klartext gespeichert werden, wo sie von böswilligen Akteuren gefunden werden können. Beim Hashing wird der Wert intern mit einem Verschlüsselungsschlüssel verglichen, um das Kennwort tatsächlich zu interpretieren.

Es sollte auch beachtet werden, dass Hashing eine Form der kryptografischen Sicherheit ist, die sich von der Verschlüsselung unterscheidet. Dies liegt daran, dass die Verschlüsselung darauf ausgelegt ist, eine Nachricht in einem zweistufigen Prozess zu verschlüsseln und zu entschlüsseln, aber wie wir gerade besprochen haben, ist Hashing darauf ausgelegt, eine Zeichenfolge aus einer vorherigen Zeichenfolge im Text zu generieren, die bei nur kleinen Eingabevariationen erheblich variieren kann.

Eine zusätzliche Hash-Maßnahme, die Sie sehen werden, ist das sogenannte Salting, bei dem einfach die Zeichen am Ende des gehashten Passworts hinzugefügt werden, um die Entschlüsselung zu erschweren.

Ähnlich wie das Salzen wird das Pfeffern genannt. Dadurch wird auch am Ende des Passworts ein zusätzlicher Wert hinzugefügt. Es gibt zwei verschiedene Salting-Versionen: Die erste, bei der Sie den Wert am Ende des Passworts hinzufügen, wie ich oben erwähnt habe, und die zweite, bei der der dem Passwort hinzugefügte Wert sowohl in der Position als auch in seinem Wert zufällig ist. Der Vorteil davon ist, dass es Brute-Force-Angriffe und bestimmte andere Angriffe sehr schwierig macht.

Derzeit verwendete Hashing-Algorithmen

Je nach Plattform sehen Sie eine Vielzahl von Hash-Methoden, die für Passwörter verwendet werden. Dies kann auch zwischen Content-Management-Systemen variieren.

Einer der am wenigsten sicheren Hash-Algorithmen wird als MD5 bezeichnet, das 1992 entwickelt wurde. Wie Sie sich vielleicht anhand eines 1992 entwickelten Algorithmus vorstellen können, ist es nicht der sicherste Hash-Algorithmus. Dieser Algorithmus verwendet 128-Bit-Werte, was viel niedriger ist als herkömmliche Verschlüsselungsstandards, was bedeutet, dass er keine sehr sichere Option für Passwörter ist und stattdessen häufiger für weniger sichere Anforderungen wie das Herunterladen von Dateien verwendet wird.

Der nächste gängige Hash-Algorithmus, den Sie sehen werden, ist SHA-1. Dieser Algorithmus wurde 1993 von der US National Security Agency entwickelt. Sie haben einige Jahre gewartet, um den Algorithmus zu veröffentlichen, aber obwohl er nur ein Jahr später als MD5 entwickelt wurde, ist er zu diesem Zeitpunkt erheblich sicherer. Sie werden möglicherweise immer noch sehen, dass einige Passwörter auf diese Weise gehasht werden, aber leider wurde entschieden, dass dieser Standard nicht mehr sicher ist.

Als Upgrade zu SHA1, das von der National Security Agency veröffentlicht wurde, wurde SHA-2 im Jahr 2001 erstellt. Und wie sein Vorgänger wurde es nicht speziell von der NSA erstellt und erst vor wenigen Jahren standardisiert. Es bleibt immer noch eine praktikable Methode zum sicheren Hashing von Passwörtern.

Ein weiterer Passwort-Hashing-Algorithmus, den Sie sehen werden, ist Bcrypt. Der BCrypt-Algorithmus enthält ein Salt, das vor Brute-Force-Angriffen schützen soll.

Eines der Tools, die BCypt verwendet, um Brute-Force-Angriffe zu erschweren, ist die Verlangsamung der Brute-Force-Operation oder des Programms, das ein böswilliger Akteur möglicherweise verwendet. Das bedeutet, wenn ein Brute-Force-Angriff versucht wird, wird es wahrscheinlich Jahre dauern, wenn er überhaupt erfolgreich ist.

Ähnlich wie bCrypt ist Scrypt. Dieser Passwort-Hashing-Algorithmus erweitert den Schlüssel auch um zusätzliche Abwehrmaßnahmen wie Salze (die dazu dienen, zufällige Daten zu einer Hash-Funktionseingabe hinzuzufügen, um eine eindeutigere Ausgabe zu erstellen) und um Brute-Force-Angriffe mit einem zusätzlichen Vorteil von Scrypt fast unmöglich zu machen wurde entwickelt, um bei einem Brute-Force-Angriff eine große Menge Computerspeicher zu beanspruchen. Das bedeutet, dass es eine zusätzliche Maßnahme gibt, um die Zeitspanne zu verlängern, die ein Brute-Force-Angriff benötigen kann, um erfolgreich zu sein.

Der letzte Passwort-Hashing-Algorithmus, den wir auf Content-Management-Systemen und Webanwendungen sehen werden, ist PBKDF2. Dieser Passwort-Hashing-Algorithmus wurde von RSA Laboratories entwickelt und fügt wie die zuvor erwähnten Algorithmen auch Erweiterungen zum Hash hinzu, um Brute Force zu erschweren.

Speichern von gehashten Passwörtern

Nach dem Hash-Prozess und nachdem der verwendete Algorithmus seine Arbeit erledigt hat, ist die Ausgabe des Passworts eine verschlüsselte hexadezimale Darstellung von sich selbst.

Das bedeutet, dass es sich um eine sehr lange Reihe von Buchstaben und Zahlen handelt, die von der Website oder Anwendung gespeichert werden, falls ein Hacker Zugriff auf diese Informationen erhält.

Mit anderen Worten, wenn ein Hacker auf Ihre E-Commerce-Website gelangt und eine Datenbank mit Benutzerkennwörtern findet, kann er diese nicht verwenden, um sich direkt bei einem Benutzerkonto anzumelden.

Vielmehr müsste er oder sie die zufälligen Buchstaben und Zahlen interpretieren, um herauszufinden, wie Ihr Passwort tatsächlich lautet.

Mehrere Website-Passwörter

Manchmal werden Sie auf Situationen stoßen, in denen die Benutzer Ihres E-Commerce-Shops Passwörter für verschiedene Dienste freigeben müssen.

Ein Beispiel hierfür könnte sein, dass Sie einen separaten Build Ihrer Anwendung für mobile Geräte haben, der im Vergleich zu Ihrer webbasierten Version möglicherweise eine andere Technologie oder eine andere Plattform aufweist. In diesem Fall müssten Sie gehashte Passwörter über mehrere Plattformen hinweg synchronisieren, was sehr kompliziert sein kann.

Glücklicherweise gibt es Unternehmen, die bei der plattformübergreifenden Synchronisierung von Hash-Passwörtern helfen können. Ein Beispiel wäre FoxyCart, ein Dienst, der die Synchronisierung von gehashten Passwörtern von Anwendung zu Anwendung ermöglicht.

Verpacken

Neben Foxy stehen viele andere beliebte E-Commerce-Plattformen zur Auswahl. Unabhängig davon, welche Sie verwenden, muss die Sicherheit Ihres Online-E-Commerce-Shops vorher oberste Priorität haben, und Passwort-Hashing ist eine der besten und auch eine der am häufigsten übersehenen Sicherheitsmaßnahmen, die Sie heute anwenden können.

Je besser ein Passwort gehasht ist, und wenn es die neuesten Standards wie Salt and Pepper Ring verwendet, dann ist im Grunde die einzige Möglichkeit für einen böswilligen Akteur, an das Passwort einer anderen Person zu gelangen, ein Brute-Force-Angriff.

Und mit den oben erwähnten Methoden und den Algorithmen, die von verschiedenen Content-Management-Systemen verwendet werden, werden selbst Brute-Force-Angriffe immer schwieriger. Das heißt, nur wenn Sie diese Tools richtig implementieren.