Najczęstsze metody haszowania haseł do zabezpieczania platformy e-commerce

W 2018 r. haszowanie haseł staje się ważniejsze niż kiedykolwiek zarówno dla właścicieli witryn e-commerce, jak i osób dostarczających komercyjne aplikacje.

Ochrona danych użytkowników nie jest już sugestią, a raczej wymogiem, ponieważ konsumenci zaczynają uważać swoje bezpieczeństwo i bezpieczeństwo swoich danych za najwyższy priorytet.

Ponieważ e-commerce nadal rośnie w stałym tempie, a sprzedaż e-commerce ma osiągnąć do 2020 roku nieco ponad 4 miliardy dolarów, ochrona danych użytkowników jest teraz ważniejsza niż kiedykolwiek.

Jeśli haker lub złośliwy aktor uzyska dostęp do bazy haseł, a hasła te są przechowywane w postaci zwykłego tekstu, intruz będzie miał dostęp do wszystkich kont użytkowników w Twojej witrynie lub aplikacji.

Zalecanym sposobem uniknięcia tego jest haszowanie hasła.

Hacki e-commerce

Bez odpowiednich protokołów bezpieczeństwa cybernetycznego właściciele sklepów internetowych ryzykują narażenie siebie i swoich klientów. Aby zrozumieć, w jaki sposób i dlaczego hakowanie jest głównym zagrożeniem dla platform e-commerce, wystarczy spojrzeć na hakowanie Target z 2013 roku.

Mając to na uwadze, mniejsze sklepy e-commerce są jeszcze bardziej zagrożone niż większe korporacje, ponieważ mają słabsze protokoły bezpieczeństwa przed cyberprzestępcami. Dwa z największych rodzajów cyberprzestępczości, z jakimi mogą spotkać się mniejsze sklepy internetowe, to ataki phishingowe, w których celem są dane użytkowników, takie jak numery ich kart kredytowych i dane logowania, oraz oszustwa związane z kartami kredytowymi, w ramach których hakerzy próbują wyłuskać numery kart kredytowych, a następnie je sprzedać na czarnym rynku.

Jak możesz mieć nadzieję, że do tej pory bezpieczeństwo Twojego sklepu internetowego musi być dla Ciebie sprawą najwyższej wagi, a to będzie wymagało zastosowania szeregu środków bezpieczeństwa, w tym haszowania hasła.

Co to jest haszowanie hasła?

Aby zrozumieć, w jaki sposób hashowanie haseł jest obecnie wykorzystywane w systemach zarządzania treścią i aplikacjach internetowych, musimy zdefiniować kilka kluczowych rzeczy.

Kiedy haszujesz hasło, w zasadzie zmienia to hasło w zaszyfrowaną reprezentację lub „ciąg” i używasz tego, aby uniknąć przechowywania haseł jako zwykłego tekstu, w którym mogą je znaleźć złośliwi aktorzy. Hashing porównuje wartość z wewnętrznym kluczem szyfrowania, aby faktycznie zinterpretować hasło.

Należy również zauważyć, że haszowanie jest formą zabezpieczenia kryptograficznego, która różni się od szyfrowania. Dzieje się tak dlatego, że szyfrowanie ma na celu szyfrowanie i odszyfrowywanie wiadomości w dwuetapowym procesie, ale jak właśnie omówiliśmy, haszowanie ma na celu wygenerowanie ciągu z poprzedniego ciągu w tekście, który może się znacznie różnić przy tylko niewielkich zmianach danych wejściowych.

Dodatkową miarą haszowania, którą zobaczysz, jest tak zwane solenie, czyli po prostu dodanie znaków na końcu zaszyfrowanego hasła, aby utrudnić jego odszyfrowanie.

Podobny do solenia jest to, co nazywa się pieprzem. To również dodaje dodatkową wartość na końcu hasła. Istnieją dwie różne wersje solenia: pierwsza, w której dodaje się wartość na końcu hasła, jak wspomniałem powyżej, a druga, w której wartość dodana do hasła jest losowa zarówno pod względem lokalizacji, jak i jego wartości. Zaletą tego jest to, że bardzo utrudnia ataki Brute Force i niektóre inne ataki.

Obecnie używane algorytmy haszujące

Zobaczysz szeroką gamę metod haszowania używanych na hasłach w zależności od platformy. Może się to również różnić w zależności od systemów zarządzania treścią.

Jednym z najmniej bezpiecznych algorytmów haszujących jest MD5, który powstał w 1992 roku. Jak można sobie wyobrazić po algorytmie stworzonym w 1992 roku, nie jest to najbezpieczniejszy algorytm haszujący. Algorytm ten wykorzystuje wartości 128-bitowe, które są znacznie niższe niż tradycyjne standardy szyfrowania, co oznacza, że ​​nie jest to bardzo bezpieczna opcja dla haseł, a zamiast tego jest częściej używany do mniej bezpiecznych wymagań, takich jak pobieranie plików.

Następnym powszechnym algorytmem mieszającym, który zobaczysz, jest SHA-1. Algorytm ten został stworzony w 1993 roku przez Narodową Agencję Bezpieczeństwa USA. Czekali kilka lat z opublikowaniem algorytmu, jednak pomimo tego, że został opracowany zaledwie rok później niż MD5, jest on wówczas znacznie bezpieczniejszy. Nadal możesz zobaczyć niektóre hasła zaszyfrowane w ten sposób, ale niestety ten standard nie jest już bezpieczny.

Jako uaktualnienie do SHA1, opublikowane przez National Security Agency, SHA-2 powstało w 2001 roku. I podobnie jak jego poprzednik, nie zostało specjalnie stworzone przez NSA i zostało ujednolicone zaledwie kilka lat wcześniej. Nadal pozostaje realną metodą bezpiecznego haszowania haseł.

Innym algorytmem haszującym hasła, który zobaczysz, jest Bcrypt. Algorytm BCrypt zawiera sól, która ma chronić przed atakami typu brute-force.

Jednym z narzędzi używanych przez BCypt do utrudniania ataków Brute Force jest spowolnienie operacji Brute Force lub programu, z którego może korzystać złośliwy aktor. Oznacza to, że jeśli zostanie podjęta próba ataku Brute Force, prawdopodobnie zajmie to lata, jeśli w ogóle się powiedzie.

Podobnie jak bCrypt jest Scrypt. Ten algorytm haszowania hasła rozszerza również klucz o dodatkowe zabezpieczenia, takie jak sole (zaprojektowane w celu dodawania losowych danych do danych wejściowych funkcji skrótu w celu stworzenia bardziej unikalnych danych wyjściowych) i aby ataki Brute Force były prawie niemożliwe, a dodatkową zaletą Scrypt jest to, że jest przeznaczony do zajmowania dużej ilości pamięci komputera, gdy jest atakowany przez Brute Force. Oznacza to, że ma dodatkowy środek, aby wydłużyć czas, w którym atak Brute Force może się powieść.

Ostatnim algorytmem haszującym hasła, jaki zobaczymy w systemach zarządzania treścią i aplikacjach internetowych, jest PBKDF2. Ten algorytm haszowania haseł został stworzony przez RSA Laboratories i, podobnie jak algorytmy wspomniane wcześniej, również dodaje rozszerzenia do skrótu, aby utrudnić Brute Force.

Przechowywanie haszowanych haseł

Po procesie haszowania i po wykonaniu zadania przez dowolny algorytm, dane wyjściowe hasła będą zaszyfrowaną szesnastkową reprezentacją samego siebie.

Oznacza to, że będzie to bardzo długa seria liter i cyfr, które będą przechowywane przez witrynę internetową lub aplikację na wypadek, gdyby haker uzyskał dostęp do tych informacji.

Innymi słowy, jeśli haker wejdzie na Twoją witrynę e-commerce i znajdzie bazę haseł użytkowników, nie będzie mógł ich użyć do bezpośredniego zalogowania się na konto użytkownika.

Musiałby raczej zinterpretować losowe litery i cyfry, aby dowiedzieć się, jakie będzie Twoje hasło.

Wiele haseł do witryn

Czasami możesz napotkać sytuacje, w których użytkownicy Twojego sklepu internetowego będą musieli udostępniać hasła w różnych usługach.

Przykładem może być to, że masz osobną wersję swojej aplikacji na urządzenia mobilne, która może być inną technologią lub na innej platformie w porównaniu z wersją internetową. W takim przypadku musisz zsynchronizować zaszyfrowane hasła na wielu platformach, co może być bardzo skomplikowane.

Na szczęście istnieją firmy, które mogą pomóc w międzyplatformowej synchronizacji haseł haszujących. Przykładem może być FoxyCart, usługa umożliwiająca synchronizację haszowanych haseł z aplikacji do aplikacji.

Zawijanie

Oprócz Foxy istnieje wiele innych popularnych platform e-commerce do wyboru. Bez względu na to, z którego z nich korzystasz, utrzymywanie bezpieczeństwa swojego sklepu internetowego musi być najwyższym priorytetem , a haszowanie hasła jest jednym z najlepszych, a także jednym z najbardziej pomijanych środków bezpieczeństwa, jakie możesz dziś zastosować.

Im bardziej poprawnie zahaszowane jest hasło i jeśli korzysta z najnowszych standardów, takich jak pierścień soli i pieprzu, to w zasadzie jedynym sposobem, w jaki złośliwy aktor może uzyskać czyjeś hasło, jest atak Brute Force.

A dzięki metodom, o których wspomnieliśmy powyżej, oraz algorytmom stosowanym przez różne systemy zarządzania treścią, nawet ataki typu brute force stają się coraz trudniejsze. To znaczy tylko wtedy, gdy odpowiednio zaimplementujesz te narzędzia.