Les méthodes de hachage de mot de passe les plus courantes pour sécuriser votre plateforme de commerce électronique

En 2018, le hachage de mot de passe devient plus important que jamais pour les propriétaires de sites Web de commerce électronique et les personnes qui fournissent des applications logicielles commerciales.

La protection des données de vos utilisateurs n'est plus une suggestion, mais plutôt une exigence car les consommateurs commencent à considérer leur sécurité et la sécurité de leurs données comme une priorité absolue.

Alors que le commerce électronique continue de croître à un rythme soutenu, avec des ventes en ligne qui devraient atteindre un peu plus de 4 milliards de dollars d'ici 2020, la protection des données de vos utilisateurs est désormais plus importante que jamais.

Si un pirate ou un acteur malveillant accède à votre base de données de mots de passe et que ces mots de passe sont stockés en texte brut, l'intrus aura accès à tous les comptes d'utilisateurs sur votre site Web ou votre application.

La méthode recommandée pour éviter cela consiste à hacher le mot de passe.

Hacks de commerce électronique

Sans les protocoles de cybersécurité appropriés en place, les propriétaires de magasins de commerce électronique risquent de se mettre eux-mêmes et leurs clients en danger. Nous n'avons pas besoin de regarder plus loin que le piratage Target 2013 pour comprendre comment et pourquoi le piratage est une menace majeure pour les plateformes de commerce électronique.

Cela étant dit, les petits magasins de commerce électronique courent un risque encore plus grand que les grandes entreprises en raison du fait qu'ils ont moins de protocoles de sécurité contre les cybercriminels. Deux des plus grands types de cybercrimes auxquels les petits magasins de commerce électronique peuvent être confrontés comprennent les attaques de phishing, où les données des utilisateurs telles que leurs numéros de carte de crédit et leurs informations de connexion sont ciblées, et la fraude par carte de crédit, où les pirates tentent d'extraire les numéros de carte de crédit, puis de les vendre. sur le marché noir.

Comme vous pouvez l'espérer maintenant, la sécurité de votre boutique en ligne doit vous préoccuper au plus haut point, et cela vous obligera à utiliser un certain nombre de mesures de sécurité, y compris le hachage de mot de passe.

Qu'est-ce que le hachage de mot de passe ?

Pour comprendre comment le hachage de mot de passe est actuellement utilisé sur les systèmes de gestion de contenu et les applications Web, nous devons définir quelques éléments clés.

Lorsque vous hachez un mot de passe, cela transforme essentiellement le mot de passe en une représentation brouillée ou une "chaîne", et vous l'utilisez pour éviter de stocker les mots de passe sous forme de texte brut où ils peuvent être trouvés par des acteurs malveillants. Le hachage compare la valeur avec une clé de chiffrement en interne pour interpréter réellement le mot de passe.

Il convient également de noter que le hachage est une forme de sécurité cryptographique différente du chiffrement. En effet, le chiffrement est conçu pour chiffrer et déchiffrer un message via un processus en deux étapes, mais comme nous venons de le voir, le hachage est conçu pour générer une chaîne à partir d'une chaîne précédente dans le texte, qui peut varier considérablement avec seulement de petites variations d'entrée.

Une mesure de hachage supplémentaire que vous verrez est ce qu'on appelle le salage, qui est simplement l'ajout de caractères à la fin du mot de passe haché pour le rendre plus difficile à décoder.

Semblable au salage est ce qu'on appelle le poivre. Cela ajoute également une valeur supplémentaire à la fin du mot de passe. Il existe deux versions différentes du salage, la première où vous ajoutez la valeur à la fin du mot de passe comme je l'ai mentionné ci-dessus et la seconde que la valeur ajoutée au mot de passe est à la fois aléatoire dans son emplacement et dans sa valeur. L'avantage est que cela rend les attaques Brute Force et certaines autres attaques très difficiles.

Algorithmes de hachage actuellement utilisés

Vous verrez une grande variété de méthodes de hachage utilisées sur les mots de passe en fonction de la plate-forme. Cela peut également varier entre les systèmes de gestion de contenu.

L'un des algorithmes de hachage les moins sécurisés est appelé MD5, qui a été créé en 1992. Comme vous pouvez l'imaginer à partir d'un algorithme créé en 1992, ce n'est pas l'algorithme de hachage le plus sécurisé. Cet algorithme utilise des valeurs de 128 bits, ce qui est bien inférieur aux normes de cryptage traditionnelles, ce qui signifie qu'il ne s'agit pas d'une option très sécurisée pour les mots de passe et qu'il est plutôt utilisé pour des exigences moins sécurisées telles que les téléchargements de fichiers.

Le prochain algorithme de hachage commun que vous verrez est SHA-1. Cet algorithme a été créé en 1993 par la National Security Agency des États-Unis. Ils ont attendu quelques années pour publier l'algorithme, mais bien qu'il n'ait été développé qu'un an plus tard que MD5, il est nettement plus sécurisé à l'époque. Vous pouvez toujours voir certains mots de passe hachés de cette façon, mais malheureusement, cette norme a été décidée comme n'étant plus sécurisée.

En tant que mise à niveau de SHA1 publiée par la National Security Agency, SHA-2 a été créée en 2001. Et comme son prédécesseur, elle n'a pas été spécifiquement créée par la NSA et n'a été standardisée que quelques années auparavant. Cela reste toujours une méthode viable pour hacher les mots de passe en toute sécurité.

Un autre algorithme de hachage de mot de passe que vous verrez est Bcrypt. L'algorithme BCrypt comprend un sel conçu pour protéger contre les attaques par force brute.

L'un des outils que BCypt utilise pour rendre les attaques Brute Force plus difficiles est de ralentir l'opération ou le programme Brute Force qu'un acteur malveillant peut utiliser. Cela signifie que si une attaque par force brute est tentée, cela prendra probablement des années si elle réussit.

Similaire à bCrypt est Scrypt. Cet algorithme de hachage de mot de passe étend également la clé avec des défenses supplémentaires telles que les sels (conçus pour ajouter des données aléatoires à une entrée de fonction de hachage pour créer une sortie plus unique), et pour rendre les attaques Brute Force presque impossibles avec un avantage supplémentaire de Scrypt est qu'il est conçu pour occuper une grande quantité de mémoire de l'ordinateur lorsqu'il est attaqué par la force brute. Cela signifie qu'il a une mesure supplémentaire pour prolonger la durée qu'une attaque de force brute peut prendre pour réussir.

Le dernier algorithme de hachage de mot de passe que nous verrons sur les systèmes de gestion de contenu et les applications Web est PBKDF2. Cet algorithme de hachage de mot de passe a été créé par RSA Laboratories et, comme les algorithmes mentionnés précédemment, ajoute également des extensions au hachage pour rendre Brute Force plus difficile.

Stockage des mots de passe hachés

Après le processus de hachage, et après que l'algorithme utilisé ait fait son travail, la sortie du mot de passe sera une représentation hexadécimale brouillée de lui-même.

Cela signifie qu'il s'agira d'une très longue série de lettres et de chiffres qui seront stockés par le site Web ou l'application au cas où un pirate aurait accès à ces informations.

En d'autres termes, si un pirate informatique accède à votre site Web de commerce électronique et trouve une base de données de mots de passe d'utilisateurs, il ne pourra pas les utiliser pour se connecter directement au compte d'un utilisateur.

Au lieu de cela, il ou elle devrait interpréter les lettres et les chiffres aléatoires pour déterminer ce que serait réellement votre mot de passe.

Plusieurs mots de passe de site Web

Parfois, vous allez rencontrer des situations où les utilisateurs de votre boutique en ligne peuvent avoir besoin de partager des mots de passe entre différents services.

Un exemple de cela pourrait être que vous avez une version distincte de votre application pour les appareils mobiles qui est peut-être une technologie différente ou sur une plate-forme différente par rapport à votre version Web. Dans ce cas, vous devrez synchroniser les mots de passe hachés sur plusieurs plates-formes, ce qui peut être très compliqué.

Heureusement, il existe des entreprises qui peuvent aider à la synchronisation multiplateforme des mots de passe de hachage. Un exemple serait FoxyCart, qui est un service qui permet la synchronisation du mot de passe haché d'une application à l'autre.

Envelopper

En plus de Foxy, il existe de nombreuses autres plateformes de commerce électronique populaires parmi lesquelles choisir. Quelle que soit celle que vous utilisez, la sécurisation de votre boutique de commerce électronique en ligne doit être une priorité absolue , et le hachage de mot de passe est l'une des meilleures et aussi l'une des mesures de sécurité les plus négligées que vous pouvez utiliser aujourd'hui.

Plus un mot de passe est correctement haché, et s'il utilise les normes les plus récentes comme l'anneau de sel et de poivre, alors le seul moyen pour un acteur malveillant d'obtenir le mot de passe de quelqu'un serait via une attaque Brute Force.

Et avec les méthodes que nous avons mentionnées ci-dessus et les algorithmes utilisés par divers systèmes de gestion de contenu, même les attaques par force brute deviennent de plus en plus difficiles. Autrement dit, uniquement si vous implémentez ces outils correctement.