Os métodos de hash de senha mais comuns para proteger sua plataforma de comércio eletrônico

Em 2018, o hash de senha está se tornando mais importante do que nunca para os proprietários de sites de comércio eletrônico e para as pessoas que fornecem aplicativos de software comercial.

Proteger os dados de seus usuários não é mais uma sugestão, mas um requisito, pois os consumidores estão começando a considerar sua segurança e a segurança de seus dados como prioridade máxima.

Como o comércio eletrônico continua a crescer a uma taxa sólida, com vendas projetadas para atingir pouco mais de US$ 4 bilhões até o ano de 2020, proteger os dados de seus usuários agora é mais importante do que nunca.

Se um hacker ou agente mal-intencionado obtiver acesso ao seu banco de dados de senhas e essas senhas forem armazenadas em texto simples, o intruso terá acesso a todas as contas de usuário em seu site ou aplicativo.

A maneira recomendada de evitar isso é através do hash de senha.

Hacks de comércio eletrônico

Sem os protocolos de segurança cibernética adequados, os proprietários de lojas de comércio eletrônico correm o risco de colocar a si mesmos e seus clientes em risco. Não precisamos ir além do hacking Target de 2013 para entender como e por que o hacking é uma grande ameaça às plataformas de comércio eletrônico.

Dito isto, lojas de comércio eletrônico menores correm um risco ainda maior do que as grandes corporações devido ao fato de terem protocolos de segurança menores contra cibercriminosos. Dois dos maiores tipos de crimes cibernéticos que as lojas de comércio eletrônico menores podem enfrentar incluem ataques de phishing, em que dados do usuário, como números de cartão de crédito e informações de login, são direcionados, e fraude de cartão de crédito, em que hackers tentam extrair números de cartão de crédito e depois vendê-los. no mercado negro.

Como você já deve saber, a segurança de sua loja de comércio eletrônico deve ser a sua maior preocupação, e isso exigirá que você empregue várias medidas de segurança, incluindo hash de senha.

O que é hash de senha?

Para entender como o hashing de senha é usado atualmente em sistemas de gerenciamento de conteúdo e aplicativos da Web, precisamos definir algumas coisas importantes.

Quando você faz o hash de uma senha, ele basicamente transforma a senha em uma representação embaralhada ou 'string', e você usa isso para evitar armazenar senhas como texto simples, onde podem ser encontradas por agentes mal-intencionados. O hash compara o valor com uma chave de criptografia internamente para realmente interpretar a senha.

Deve-se notar também que o hash é uma forma de segurança criptográfica diferente da criptografia. Isso ocorre porque a criptografia é projetada para criptografar e descriptografar uma mensagem por meio de um processo de duas etapas, mas como acabamos de examinar, o hash é projetado para gerar uma string de uma string anterior no texto, que pode variar significativamente com apenas pequenas variações de entrada.

Uma medida de hash adicional que você verá é o que é chamado de salting, que é simplesmente a adição de caracteres ao final da senha com hash para dificultar a decodificação.

Semelhante à salga é o que é referido como pimenta. Isso também adiciona um valor adicional ao final da senha. Existem duas versões diferentes de salting, a primeira em que você adiciona o valor ao final da senha como mencionei acima e a segunda em que o valor adicionado à senha é aleatório em localização e em seu valor. A vantagem disso é que torna os ataques de Força Bruta e alguns outros ataques muito difíceis.

Algoritmos de hash usados ​​atualmente

Você verá uma grande variedade de métodos de hash usados ​​em senhas, dependendo da plataforma. Isso também pode variar entre os sistemas de gerenciamento de conteúdo.

Um dos algoritmos de hash menos seguros é conhecido como MD5, que foi criado em 1992. Como você pode imaginar a partir de um algoritmo criado em 1992, não é o algoritmo de hash mais seguro. Esse algoritmo usa valores de 128 bits, que são muito inferiores aos padrões de criptografia tradicionais, o que significa que não é uma opção muito segura para senhas e, em vez disso, é mais usado para requisitos menos seguros, como downloads de arquivos.

O próximo algoritmo de hash comum que você verá é SHA-1. Este algoritmo foi criado em 1993 pela Agência de Segurança Nacional dos EUA. Eles esperaram alguns anos para publicar o algoritmo, no entanto, apesar de ter sido desenvolvido apenas um ano depois do MD5, é significativamente mais seguro na época. Você ainda pode ver algumas senhas sendo criptografadas dessa maneira, mas, infelizmente, esse padrão foi decidido que não é mais seguro.

Como uma atualização para o SHA1 que a Agência de Segurança Nacional publicou, o SHA-2, foi criado em 2001. E como seu antecessor, não foi criado especificamente pela NSA e foi padronizado apenas alguns anos antes. Ainda continua sendo um método viável para hash de senhas com segurança.

Outro algoritmo de hash de senha que você verá é o Bcrypt. O algoritmo BCrypt inclui um sal que é projetado para proteger contra ataques de força bruta.

Uma das ferramentas que o BCypt usa para dificultar os ataques de Força Bruta é diminuir a operação ou programa de Força Bruta que um ator mal-intencionado pode estar usando. Isso significa que, se um ataque de Força Bruta for tentado, provavelmente levará anos se for bem-sucedido.

Semelhante ao bCrypt é o Scrypt. Esse algoritmo de hash de senha também estende a chave com defesas adicionais, como sais (projetados para adicionar dados aleatórios a uma entrada de função de hash para criar uma saída mais exclusiva) e tornar os ataques de força bruta quase impossíveis com uma vantagem adicional do Scrypt é que ele é projetado para ocupar uma grande quantidade de memória do computador quando está sendo atacado por Força Bruta. Isso significa que ele tem uma medida adicional para estender o tempo que um ataque de Força Bruta pode levar para ser bem-sucedido.

O último algoritmo de hash de senha que veremos em sistemas de gerenciamento de conteúdo e aplicativos da Web é o PBKDF2. Este algoritmo de hash de senha foi criado pela RSA Laboratories e, como os algoritmos mencionados anteriormente, também adiciona extensões ao hash para dificultar o Brute Force.

Armazenando senhas com hash

Após o processo de hash, e depois que qualquer algoritmo que estiver sendo usado fizer seu trabalho, a saída da senha será uma representação hexadecimal embaralhada de si mesma.

O que isso significa é que será uma série muito longa de letras e números que será o que será armazenado pelo site ou aplicativo caso um hacker tenha acesso a essas informações.

Portanto, em outras palavras, se um hacker entrar no seu site de comércio eletrônico e encontrar um banco de dados de senhas de usuário, ele não poderá usá-las para fazer login diretamente na conta de um usuário.

Em vez disso, ele ou ela teria que interpretar as letras e números aleatórios para descobrir qual seria sua senha.

Várias senhas de sites

Às vezes, você se depara com situações em que os usuários da sua loja de comércio eletrônico podem precisar compartilhar senhas em diferentes serviços.

Um exemplo disso pode ser que você tenha uma versão separada do seu aplicativo para dispositivos móveis que talvez seja uma tecnologia diferente ou em uma plataforma diferente em comparação com sua versão baseada na web. Nesse caso, você precisaria sincronizar senhas com hash em várias plataformas, o que pode ser muito complicado.

Felizmente, existem empresas que podem ajudar na sincronização entre plataformas de senhas de hash. Um exemplo seria o FoxyCart, que é um serviço que permite a sincronização de senhas com hash de aplicativo para aplicativo.

Embrulhando-o

Além do Foxy, existem muitas outras plataformas populares de comércio eletrônico para escolher. Independentemente de qual você usa, manter sua loja de comércio eletrônico online segura antes deve ser uma prioridade , e o hash de senha é uma das melhores e também uma das medidas de segurança mais negligenciadas que você pode empregar hoje.

Quanto mais corretamente hash for uma senha, e se estiver usando os padrões mais recentes, como o anel de sal e pimenta, basicamente a única maneira de um agente malicioso obter a senha de alguém seria por meio de um ataque de Força Bruta.

E com os métodos que mencionamos acima e os algoritmos usados ​​por vários sistemas de gerenciamento de conteúdo, até os ataques de força bruta estão se tornando cada vez mais difíceis. Ou seja, somente se você implementar essas ferramentas corretamente.