전자 상거래 플랫폼을 보호하기 위한 가장 일반적인 암호 해싱 방법

2018년에 암호 해싱은 전자상거래 웹사이트 소유자와 상용 소프트웨어 애플리케이션을 제공하는 사람들 모두에게 그 어느 때보다 중요해지고 있습니다.

사용자의 데이터를 보호하는 것은 더 이상 제안이 아니라 소비자가 자신의 보안과 데이터의 안전을 최우선으로 고려하기 시작함에 따라 요구 사항입니다.

전자상거래가 견고한 속도로 계속 성장하고 2020년까지 전자상거래 매출이 40억 달러를 약간 넘을 것으로 예상됨에 따라 이제 사용자 데이터를 보호하는 것이 그 어느 때보다 중요해졌습니다.

해커나 악의적인 행위자가 비밀번호 데이터베이스에 액세스하고 해당 비밀번호가 일반 텍스트로 저장되어 있으면 침입자는 웹사이트 또는 애플리케이션의 모든 사용자 계정에 액세스할 수 있습니다.

이를 피하기 위해 권장되는 방법은 암호 해싱을 사용하는 것입니다.

전자상거래 해킹

적절한 사이버 보안 프로토콜이 없으면 전자 상거래 상점 소유자는 자신과 고객을 위험에 빠뜨릴 수 있습니다. 해킹이 전자 상거래 플랫폼에 주요 위협이 되는 방법과 이유를 이해하기 위해 2013년 타겟 해킹보다 더 멀리 볼 필요가 없습니다.

즉, 소규모 전자 상거래 상점은 사이버 범죄자에 대한 보안 프로토콜이 낮기 때문에 대기업보다 훨씬 더 큰 위험에 처해 있습니다. 소규모 전자 상거래 상점이 직면할 수 있는 가장 큰 두 가지 유형의 사이버 범죄에는 신용 카드 번호 및 로그인 정보와 같은 사용자 데이터를 표적으로 삼는 피싱 공격과 해커가 신용 카드 번호를 추출하여 판매하려고 시도하는 신용 ​​카드 사기가 있습니다. 암시장에.

지금쯤이면 알 수 있듯이 전자 상거래 상점의 보안은 가장 큰 관심사여야 하며 이를 위해서는 비밀번호 해싱을 비롯한 여러 보안 조치를 취해야 합니다.

비밀번호 해싱이란 무엇입니까?

현재 콘텐츠 관리 시스템과 웹 애플리케이션에서 암호 해싱이 어떻게 사용되는지 이해하려면 몇 가지 핵심 사항을 정의해야 합니다.

암호를 해시하면 기본적으로 암호가 스크램블된 표현 또는 '문자열'로 바뀌며 이를 사용하여 악의적인 행위자가 찾을 수 있는 암호를 일반 텍스트로 저장하는 것을 방지합니다. 해싱은 내부적으로 값을 암호화 키와 비교하여 실제로 암호를 해석합니다.

또한 해싱은 암호화와 다른 암호화 보안의 한 형태라는 점에 유의해야 합니다. 이는 암호화가 2단계 프로세스를 통해 메시지를 암호화하고 해독하도록 설계되었기 때문입니다. 그러나 방금 살펴보았듯이 해싱은 텍스트의 이전 문자열에서 문자열을 생성하도록 설계되었으며, 이는 작은 입력 변화만으로도 크게 달라질 수 있습니다.

볼 수 있는 추가 해싱 측정은 솔팅(salting)이라고 하는 것인데, 이는 단순히 해시된 암호 끝에 문자를 추가하여 디코딩을 더 어렵게 만드는 것입니다.

소금에 절이는 것과 유사한 것은 후추라고 하는 것입니다. 이것은 또한 암호 끝에 추가 값을 추가합니다. 위에서 언급한 것처럼 암호 끝에 값을 추가하는 첫 번째 솔팅 버전과 암호에 추가된 값이 위치와 값 모두에서 임의적이라는 두 번째 버전이 있습니다. 이것의 장점은 무차별 대입 공격과 특정 다른 공격을 매우 어렵게 만든다는 것입니다.

현재 사용되는 해싱 알고리즘

플랫폼에 따라 비밀번호에 사용되는 다양한 해싱 방법을 볼 수 있습니다. 이는 콘텐츠 관리 시스템마다 다를 수도 있습니다.

가장 덜 안전한 해싱 알고리즘 중 하나는 1992년에 만들어진 MD5라고 합니다. 1992년에 만들어진 알고리즘에서 상상할 수 있듯이 가장 안전한 해싱 알고리즘은 아닙니다. 이 알고리즘은 기존 암호화 표준보다 훨씬 낮은 128비트 값을 사용하므로 암호에 대해 그다지 안전한 옵션이 아니며 대신 파일 다운로드와 같은 덜 안전한 요구 사항에 더 자주 사용됩니다.

다음으로 보게 될 일반적인 해싱 알고리즘은 SHA-1입니다. 이 알고리즘은 1993년 미국 국가안보국(National Security Agency)에서 만들어졌습니다. 그들은 알고리즘을 게시하기 위해 몇 년을 기다렸지만 MD5보다 1년 늦게 개발되었음에도 불구하고 당시에는 훨씬 더 안전합니다. 일부 암호가 이 방법으로 해시되는 것을 여전히 볼 수 있지만 불행히도 이 표준은 더 이상 안전하지 않다고 결정되었습니다.

국가안보국이 발표한 SHA1의 업그레이드 버전인 SHA-2는 2001년에 만들어졌다. 그리고 전작과 마찬가지로 NSA에서 특별히 만든 것이 아니라 표준화된 지 불과 몇 년밖에 되지 않았다. 그것은 여전히 ​​​​비밀번호를 안전하게 해싱하기 위한 실행 가능한 방법으로 남아 있습니다.

보게 될 또 다른 암호 해싱 알고리즘은 Bcrypt입니다. BCrypt 알고리즘에는 무차별 대입 공격으로부터 보호하도록 설계된 솔트가 포함되어 있습니다.

Brute Force 공격을 더 어렵게 만들기 위해 BCypt가 사용하는 도구 중 하나는 악의적인 행위자가 사용할 수 있는 Brute Force 작업 또는 프로그램의 속도를 늦추는 것입니다. 즉, 무차별 대입 공격이 시도되면 성공할 경우 몇 년이 걸릴 수 있습니다.

bCrypt와 유사한 것은 Scrypt입니다. 이 암호 해싱 알고리즘은 또한 솔트(보다 고유한 출력을 생성하기 위해 해시 함수 입력에 임의의 데이터를 추가하도록 설계됨)와 같은 추가 방어를 통해 키를 확장하고 Scrypt의 추가 이점으로 무차별 대입 공격을 거의 불가능하게 만듭니다. Brute Force 공격을 받을 때 많은 양의 컴퓨터 메모리를 차지하도록 설계되었습니다. 즉, 무차별 대입 공격이 성공하는 데 걸리는 시간을 연장할 수 있는 추가 조치가 있습니다.

콘텐츠 관리 시스템과 웹 애플리케이션에서 보게 될 마지막 비밀번호 해싱 알고리즘은 PBKDF2입니다. 이 암호 해싱 알고리즘은 RSA Laboratories에서 만들었으며 앞서 언급한 알고리즘과 마찬가지로 해시에 확장을 추가하여 Brute Force를 더 어렵게 만듭니다.

해시된 암호 저장

해싱 프로세스 후, 그리고 어떤 알고리즘이 사용되든 제 역할을 수행한 후 비밀번호 출력은 자체적으로 스크램블된 16진법 표현이 됩니다.

이것이 의미하는 바는 해커가 해당 정보에 액세스할 수 있는 경우 웹사이트 또는 애플리케이션에 저장되는 매우 긴 일련의 문자와 숫자가 된다는 것입니다.

즉, 해커가 전자상거래 웹사이트에 침입하여 사용자 비밀번호 데이터베이스를 찾은 경우 이를 사용하여 사용자 계정에 직접 로그인할 수 없습니다.

오히려 그 또는 그녀는 임의의 문자와 숫자를 해석하여 귀하의 비밀번호가 실제로 무엇인지 알아내야 합니다.

여러 웹사이트 비밀번호

때때로 전자 상거래 상점 사용자가 여러 서비스에서 암호를 공유해야 하는 상황에 직면하게 될 것입니다.

이에 대한 예로 웹 기반 버전과 비교하여 다른 기술 또는 다른 플랫폼에 있는 모바일 장치용 애플리케이션의 별도 빌드가 있을 수 있습니다. 이 경우 여러 플랫폼에서 해시된 암호를 동기화해야 하며 이는 매우 복잡할 수 있습니다.

다행히 해시 암호의 플랫폼 간 동기화를 도울 수 있는 회사가 있습니다. 예를 들어 FoxyCart는 응용 프로그램에서 응용 프로그램으로 해시된 암호 동기화를 허용하는 서비스입니다.

정리하기

Foxy 외에도 선택할 수 있는 인기 있는 전자 상거래 플랫폼이 많이 있습니다. 어느 것을 사용하든 간에 온라인 전자 상거래 상점을 안전하게 유지 하는 것이 최우선 과제 여야 하며 암호 해싱은 현재 사용할 수 있는 최고의 보안 조치 중 하나이자 가장 간과되는 보안 조치 중 하나입니다.

더 적절하게 해시된 암호는 소금과 후추와 같은 최신 표준을 사용하는 경우 기본적으로 악의적인 행위자가 누군가의 암호를 얻을 수 있는 유일한 방법은 무차별 대입 공격을 통하는 것입니다.

그리고 위에서 언급한 방법과 다양한 콘텐츠 관리 시스템에서 사용되는 알고리즘으로 인해 무차별 대입 공격도 점점 더 어려워지고 있습니다. 즉, 이러한 도구를 올바르게 구현하는 경우에만 가능합니다.