eコマースプラットフォームを保護するための最も一般的なパスワードハッシュ方法
公開: 2019-01-232018年には、eコマースWebサイトの所有者と、商用ソフトウェアアプリケーションを提供する人々の両方にとって、パスワードハッシュがこれまで以上に重要になっています。
ユーザーのデータを保護することはもはや提案ではなく、消費者がデータのセキュリティと安全性を最優先事項と見なし始めているため、これは要件です。
eコマースは堅調な成長を続けており、2020年までにeコマースの売上高は40億ドルをわずかに超えると予測されているため、ユーザーのデータを保護することがこれまで以上に重要になっています。
ハッカーまたは悪意のある攻撃者がパスワードデータベースにアクセスし、それらのパスワードがプレーンテキストで保存されている場合、侵入者はWebサイトまたはアプリケーションのすべてのユーザーアカウントにアクセスできます。
これを回避するための推奨される方法は、パスワードハッシュを使用することです。
eコマースハック
適切なサイバーセキュリティプロトコルが導入されていないと、eコマースストアの所有者は自分自身とその顧客を危険にさらすリスクがあります。 ハッキングがeコマースプラットフォームに対する主要な脅威である方法と理由を理解するために、2013年のターゲットハッキングよりも遠くを見る必要はありません。
とはいえ、小規模なeコマースストアは、サイバー犯罪者に対するセキュリティプロトコルが低いため、大企業よりもさらに大きなリスクにさらされています。 小規模なeコマースストアが直面する可能性のある最大のサイバー犯罪の2つには、クレジットカード番号やログイン情報などのユーザーデータを標的とするフィッシング攻撃と、ハッカーがクレジットカード番号を抽出して販売しようとするクレジットカード詐欺があります。黒人市場で。
うまくいけば今までにわかるように、eコマースストアのセキュリティはあなたにとって最大の関心事である必要があり、これにはパスワードハッシュを含む多くのセキュリティ対策を採用する必要があります。
パスワードハッシュとは何ですか?
現在コンテンツ管理システムとWebアプリケーションでパスワードハッシュがどのように使用されているかを理解するには、いくつかの重要なことを定義する必要があります。
パスワードをハッシュすると、基本的にパスワードがスクランブル表現または「文字列」に変換されます。これを使用して、悪意のある攻撃者がパスワードを見つけられる場所にパスワードをプレーンテキストとして保存しないようにします。 ハッシュは、値を内部で暗号化キーと比較して、実際にパスワードを解釈します。
また、ハッシュは暗号化とは異なる暗号化セキュリティの形式であることに注意してください。 これは、暗号化が2段階のプロセスでメッセージを暗号化および復号化するように設計されているためですが、先ほど説明したように、ハッシュはテキスト内の前の文字列から文字列を生成するように設計されています。
表示される追加のハッシュ測定値は、ソルティングと呼ばれるものです。これは、ハッシュされたパスワードの末尾に文字を追加して、デコードをより困難にすることです。
塩漬けに似ているのは、ペッパーと呼ばれるものです。 これにより、パスワードの末尾にも値が追加されます。 ソルトには2つの異なるバージョンがあります。1つは前述のようにパスワードの末尾に値を追加するバージョンで、もう1つはパスワードに追加される値が場所と値の両方でランダムであるというものです。 これの利点は、ブルートフォース攻撃やその他の特定の攻撃を非常に困難にすることです。
現在使用されているハッシュアルゴリズム
プラットフォームに応じて、パスワードで使用されるさまざまなハッシュ方法が表示されます。 これは、コンテンツ管理システムによっても異なる場合があります。
最も安全性の低いハッシュアルゴリズムの1つは、1992年に作成されたMD5と呼ばれます。1992年に作成されたアルゴリズムから想像できるように、これは最も安全性の高いハッシュアルゴリズムではありません。 このアルゴリズムは、従来の暗号化標準よりもはるかに低い128ビット値を使用するため、パスワードの安全性が低いオプションではなく、ファイルのダウンロードなどの安全性の低い要件によく使用されます。
次に表示される一般的なハッシュアルゴリズムはSHA-1です。 このアルゴリズムは、1993年に米国国家安全保障局によって作成されました。 彼らはアルゴリズムの公開を数年待ちましたが、MD5よりわずか1年遅れて開発されたにもかかわらず、当時ははるかに安全です。 この方法でハッシュされているパスワードがまだ表示される場合がありますが、残念ながら、この標準は安全ではなくなったと判断されました。
国家安全保障局が公開したSHA1のアップグレードとして、2001年にSHA-2が作成されました。また、その前身と同様に、NSAによって特別に作成されたものではなく、ほんの数年前に標準化されました。 それでも、パスワードを安全にハッシュするための実行可能な方法のままです。
表示されるもう1つのパスワードハッシュアルゴリズムはBcryptです。 BCryptアルゴリズムには、ブルートフォース攻撃から保護するように設計されたソルトが含まれています。
BCyptがブルートフォース攻撃をより困難にするために使用するツールの1つは、悪意のある攻撃者が使用している可能性のあるブルートフォース操作またはプログラムの速度を低下させることです。 これは、ブルートフォース攻撃が試みられた場合、それが成功したとしても数年かかる可能性があることを意味します。
bCryptに似ているのはScryptです。 このパスワードハッシュアルゴリズムは、ソルト(ハッシュ関数入力にランダムデータを追加してよりユニークな出力を作成するように設計されています)などの追加の防御でキーを拡張し、Scryptの追加の利点でブルートフォース攻撃をほぼ不可能にします。ブルートフォース攻撃を受けているときに大量のコンピュータメモリを消費するように設計されています。 つまり、ブルートフォース攻撃が成功するまでにかかる時間を延長するための追加の手段があります。
コンテンツ管理システムとWebアプリケーションで見られる最後のパスワードハッシュアルゴリズムはPBKDF2です。 このパスワードハッシュアルゴリズムはRSALaboratoriesによって作成され、前述のアルゴリズムと同様に、ハッシュに拡張機能を追加してBruteForceをより困難にします。
ハッシュ化されたパスワードの保存
ハッシュのプロセスの後、および使用されているアルゴリズムがその役割を果たした後、パスワードの出力は、それ自体のスクランブルされた16進表現になります。
つまり、ハッカーがその情報にアクセスした場合にWebサイトまたはアプリケーションによって保存されるのは、非常に長い一連の文字と数字になるということです。
つまり、ハッカーがeコマースWebサイトにアクセスしてユーザーパスワードのデータベースを見つけた場合、ハッカーはそれらを使用してユーザーのアカウントに直接ログインすることはできません。
むしろ、彼または彼女はあなたのパスワードが実際に何であるかを理解するためにランダムな文字と数字を解釈しなければならないでしょう。
複数のWebサイトのパスワード
eコマースストアのユーザーがさまざまなサービス間でパスワードを共有する必要がある状況に遭遇することがあります。
この例としては、モバイルデバイス用のアプリケーションのビルドが別にある場合があります。これは、Webベースのバージョンとは異なるテクノロジーまたは異なるプラットフォーム上にある可能性があります。 この場合、ハッシュ化されたパスワードを複数のプラットフォーム間で同期する必要がありますが、これは非常に複雑になる可能性があります。
幸いなことに、ハッシュパスワードのクロスプラットフォーム同期を支援できる企業があります。 例としては、FoxyCartがあります。これは、アプリケーション間でハッシュ化されたパスワードの同期を可能にするサービスです。
まとめ
Foxyに加えて、他にも多くの人気のあるeコマースプラットフォームから選択できます。 どちらを使用する場合でも、オンラインeコマースストアを安全に保つことが最優先事項である必要があります。パスワードハッシュは、今日採用できる最高のセキュリティ対策の1つであり、見過ごされがちなセキュリティ対策の1つでもあります。
より適切にハッシュされたパスワードは、ソルトアンドペッパーリングなどの最新の標準を使用している場合、基本的に悪意のある攻撃者が誰かのパスワードを取得する唯一の方法は、ブルートフォース攻撃を介することです。
そして、前述の方法とさまざまなコンテンツ管理システムで使用されるアルゴリズムにより、ブルートフォース攻撃でさえますます困難になっています。 つまり、これらのツールを適切に実装した場合のみです。