Metode Hashing Kata Sandi Paling Umum Untuk Mengamankan Platform E-niaga Anda

Pada tahun 2018, hashing kata sandi menjadi lebih penting dari sebelumnya bagi pemilik situs web e-niaga dan orang-orang yang menyediakan aplikasi perangkat lunak komersial.

Melindungi data pengguna Anda bukan lagi saran, melainkan persyaratan karena konsumen mulai mempertimbangkan keamanan dan keamanan data mereka sebagai prioritas utama.

Karena e-niaga terus tumbuh pada tingkat yang solid, dengan penjualan e-niaga diproyeksikan mencapai lebih dari $4 miliar pada tahun 2020, melindungi data pengguna Anda sekarang lebih penting dari sebelumnya.

Jika peretas atau aktor jahat memperoleh akses ke basis data kata sandi Anda dan kata sandi tersebut disimpan dalam teks biasa, Penyusup akan memiliki akses ke setiap akun pengguna di situs web atau aplikasi Anda.

Cara yang disarankan untuk menghindari ini adalah melalui hashing kata sandi.

Peretasan E-niaga

Tanpa protokol keamanan siber yang tepat, pemilik toko e-niaga berisiko menempatkan diri mereka dan pelanggan mereka dalam risiko. Kita tidak perlu melihat lebih jauh dari peretasan Target 2013 untuk memahami bagaimana dan mengapa peretasan merupakan ancaman utama bagi platform e-niaga.

Meskipun demikian, toko e-niaga yang lebih kecil memiliki risiko yang lebih besar daripada perusahaan besar karena fakta bahwa mereka memiliki protokol keamanan yang lebih rendah terhadap penjahat dunia maya. Dua dari jenis kejahatan dunia maya terbesar yang mungkin dihadapi toko e-niaga yang lebih kecil termasuk serangan phishing, di mana data pengguna seperti nomor kartu kredit dan informasi login mereka ditargetkan, dan penipuan kartu kredit, di mana peretas akan mencoba mengekstrak nomor kartu kredit dan kemudian menjualnya di pasar gelap.

Seperti yang mudah-mudahan dapat Anda ketahui sekarang, keamanan toko e-niaga Anda harus menjadi perhatian utama Anda, dan ini akan mengharuskan Anda untuk menggunakan sejumlah langkah keamanan, termasuk hashing kata sandi.

Apa itu Hashing Kata Sandi?

Untuk memahami bagaimana hashing kata sandi digunakan saat ini pada sistem manajemen konten dan aplikasi web, kita harus mendefinisikan beberapa hal penting.

Saat Anda meng-hash kata sandi, itu pada dasarnya mengubah kata sandi menjadi representasi acak atau 'string', dan Anda menggunakan ini untuk menghindari penyimpanan kata sandi sebagai teks biasa yang dapat ditemukan oleh pelaku jahat. Hashing membandingkan nilai dengan kunci enkripsi secara internal untuk benar-benar menafsirkan kata sandi.

Perlu juga dicatat bahwa hashing adalah bentuk keamanan kriptografi yang berbeda dari enkripsi. Ini karena enkripsi dirancang untuk mengenkripsi dan mendekripsi pesan melalui proses dua langkah, tetapi seperti yang baru saja kita bahas, hashing dirancang untuk menghasilkan string dari string sebelumnya dalam teks, yang dapat bervariasi secara signifikan dengan hanya variasi input kecil.

Ukuran hashing tambahan yang akan Anda lihat adalah apa yang disebut sebagai salting, yang merupakan penambahan karakter di akhir kata sandi hash untuk membuatnya lebih sulit untuk didekode.

Mirip dengan penggaraman adalah apa yang disebut sebagai merica. Ini juga menambahkan nilai tambahan pada akhir kata sandi. Ada dua versi pengasinan yang berbeda yang pertama di mana Anda menambahkan nilai di akhir kata sandi seperti yang saya sebutkan di atas dan yang kedua bahwa nilai yang ditambahkan ke kata sandi adalah acak di lokasi dan nilainya. Keuntungannya adalah membuat serangan Brute Force dan serangan tertentu lainnya menjadi sangat sulit.

Algoritma Hashing yang Digunakan Saat Ini

Anda akan melihat berbagai macam metode hashing yang digunakan pada kata sandi tergantung pada platformnya. Ini juga dapat bervariasi antara sistem manajemen konten.

Salah satu algoritme hashing yang paling tidak aman disebut sebagai MD5, yang dibuat pada tahun 1992. Seperti yang dapat Anda bayangkan dari algoritme yang dibuat pada tahun 1992, ini bukanlah algoritme hashing yang paling aman. Algoritme ini menggunakan nilai 128-bit yang jauh lebih rendah daripada standar enkripsi tradisional sehingga artinya ini bukan opsi yang sangat aman untuk kata sandi dan lebih sering digunakan untuk persyaratan yang kurang aman seperti unduhan file.

Algoritma hashing umum berikutnya yang akan Anda lihat adalah SHA-1. Algoritma ini dibuat pada tahun 1993 oleh Badan Keamanan Nasional AS. Mereka menunggu beberapa tahun untuk menerbitkan algoritme, namun meskipun dikembangkan hanya satu tahun lebih lambat dari MD5, algoritma ini secara signifikan lebih aman pada saat itu. Anda mungkin masih melihat beberapa kata sandi di-hash dengan cara ini, tetapi sayangnya, standar ini diputuskan tidak lagi aman.

Sebagai peningkatan ke SHA1 yang diterbitkan oleh Badan Keamanan Nasional, SHA-2, dibuat tahun 2001. Dan seperti pendahulunya, itu tidak secara khusus dibuat oleh NSA dan hanya distandarisasi beberapa tahun sebelum sekarang. Itu masih tetap menjadi metode yang layak untuk hashing kata sandi yang aman.

Algoritma hashing kata sandi lain yang akan Anda lihat adalah Bcrypt. Algoritma BCrypt menyertakan garam yang dirancang untuk melindungi dari serangan brute force.

Salah satu alat yang digunakan BCypt untuk membuat serangan Brute Force lebih sulit adalah memperlambat operasi atau program Brute Force yang mungkin digunakan oleh aktor jahat. Ini berarti jika serangan Brute Force dicoba, kemungkinan akan memakan waktu bertahun-tahun jika berhasil sama sekali.

Mirip dengan bCrypt adalah Scrypt. Algoritma hashing kata sandi ini juga memperluas kunci dengan pertahanan tambahan seperti garam (dirancang untuk menambahkan data acak ke input fungsi hash untuk membuat output yang lebih unik), dan untuk membuat serangan Brute Force hampir mustahil dengan keuntungan tambahan dari Scrypt adalah bahwa hal itu dirancang untuk mengambil sejumlah besar memori komputer ketika sedang diserang Brute Force. Itu berarti ia memiliki ukuran tambahan untuk memperpanjang waktu yang dibutuhkan serangan Brute Force agar berhasil.

Algoritma hashing kata sandi terakhir yang akan kita lihat pada sistem manajemen konten dan aplikasi web adalah PBKDF2. Algoritma hashing kata sandi ini dibuat oleh RSA Laboratories dan seperti algoritma yang disebutkan sebelumnya, juga menambahkan ekstensi ke hash untuk membuat Brute Force lebih sulit.

Menyimpan Kata Sandi yang Di-Hash

Setelah proses hashing, dan setelah algoritma apa pun yang digunakan melakukan tugasnya, keluaran kata sandi akan menjadi representasi heksadesimal yang diacak dari dirinya sendiri.

Artinya, itu akan menjadi rangkaian huruf dan angka yang sangat panjang yang akan disimpan oleh situs web atau aplikasi jika peretas memperoleh akses ke informasi tersebut.

Jadi dengan kata lain, jika seorang peretas masuk ke situs web e-niaga Anda dan menemukan basis data kata sandi pengguna, maka ia tidak akan dapat menggunakannya untuk langsung masuk ke akun pengguna.

Sebaliknya, dia harus menafsirkan huruf dan angka acak untuk mencari tahu apa kata sandi Anda sebenarnya.

Beberapa Kata Sandi Situs Web

Terkadang Anda akan mengalami situasi di mana pengguna toko e-niaga Anda mungkin perlu membagikan kata sandi di berbagai layanan.

Contohnya adalah Anda memiliki versi terpisah dari aplikasi untuk perangkat seluler yang mungkin memiliki teknologi berbeda atau pada platform berbeda dibandingkan dengan versi berbasis web Anda. Dalam hal ini, Anda perlu menyinkronkan kata sandi yang di-hash di berbagai platform, yang bisa sangat rumit.

Untungnya, ada perusahaan yang dapat membantu sinkronisasi lintas platform kata sandi hash. Contohnya adalah FoxyCart, yang merupakan layanan yang memungkinkan sinkronisasi kata sandi hash dari aplikasi ke aplikasi.

Membungkusnya

Selain Foxy, ada banyak platform e-niaga populer lainnya untuk dipilih. Apa pun yang Anda gunakan, menjaga keamanan toko e-niaga online Anda sebelumnya harus menjadi prioritas utama , dan hashing kata sandi adalah salah satu yang terbaik dan juga salah satu langkah keamanan yang lebih diabaikan yang dapat Anda terapkan saat ini.

Semakin benar hash kata sandi, dan jika itu menggunakan standar terbaru seperti salt and pepper ring, maka pada dasarnya satu-satunya cara bagi aktor jahat untuk mendapatkan kata sandi seseorang adalah melalui serangan Brute Force.

Dan dengan metode yang kami sebutkan di atas dan algoritme yang digunakan oleh berbagai sistem manajemen konten, bahkan serangan brute force menjadi semakin sulit. Artinya, hanya jika Anda menerapkan alat-alat ini dengan benar.