Cele mai comune metode de hashing a parolelor pentru securizarea platformei dvs. de comerț electronic

În 2018, hashingul parolei devine mai important ca niciodată atât pentru proprietarii de site-uri de comerț electronic, cât și pentru cei care furnizează aplicații software comerciale.

Protejarea datelor utilizatorilor dvs. nu mai este o sugestie, mai degrabă, este o cerință, deoarece consumatorii încep să considere securitatea și siguranța datelor lor o prioritate de vârf.

Pe măsură ce comerțul electronic continuă să crească într-un ritm solid, vânzările de comerț electronic estimate să atingă puțin peste 4 miliarde USD până în anul 2020, protejarea datelor utilizatorilor dvs. este acum mai importantă ca niciodată.

Dacă un hacker sau un actor rău intenționat obține acces la baza ta de parole și acele parole sunt stocate în text simplu, Intruderul va avea acces la toate conturile de utilizator de pe site-ul sau aplicația ta.

Modul recomandat de a evita acest lucru este prin hashingul parolei.

Hack-uri de comerț electronic

Fără protocoalele adecvate de securitate cibernetică, proprietarii de magazine de comerț electronic riscă să se expună pe ei înșiși și pe clienții lor. Nu trebuie să căutăm mai departe decât hackingul Target din 2013 pentru a înțelege cum și de ce hacking-ul este o amenințare majoră pentru platformele de comerț electronic.

Acestea fiind spuse, magazinele de comerț electronic mai mici sunt expuse unui risc și mai mare decât corporațiile mai mari, datorită faptului că au protocoale de securitate mai reduse împotriva infractorilor cibernetici. Două dintre cele mai mari tipuri de infracțiuni cibernetice cu care se pot confrunta magazinele de comerț electronic mai mici includ atacurile de tip phishing, în care sunt vizate datele utilizatorilor, cum ar fi numerele cardului de credit și informațiile de conectare, și frauda cu cardul de credit, în care hackerii vor încerca să extragă numere de card de credit și apoi să le vândă. pe piata neagra.

După cum sperăm că puteți spune până acum, securitatea magazinului dvs. de comerț electronic trebuie să vă preocupe cea mai mare măsură, iar acest lucru vă va cere să utilizați o serie de măsuri de securitate, inclusiv hashingul parolei.

Ce este parola hashing?

Pentru a înțelege cum se utilizează hashingul parolelor în prezent pe sistemele de management de conținut și aplicațiile web, trebuie să definim câteva lucruri cheie.

Când indexați o parolă, aceasta transformă practic parola într-o reprezentare amestecată sau „șir” și o utilizați pentru a evita stocarea parolelor ca text simplu, unde pot fi găsite de către actori rău intenționați. Hashing compară valoarea cu o cheie de criptare în interior pentru a interpreta efectiv parola.

De asemenea, trebuie remarcat faptul că hashingul este o formă de securitate criptografică diferită de criptare. Acest lucru se datorează faptului că criptarea este concepută pentru a cripta și decripta un mesaj printr-un proces în doi pași, dar așa cum tocmai am trecut, hashingul este conceput pentru a genera un șir dintr-un șir anterior în text, care poate varia semnificativ doar cu mici variații de intrare.

O măsură suplimentară de hashing pe care o veți vedea este ceea ce se numește sare, care este pur și simplu adăugarea de caractere la sfârșitul parolei hashing pentru a face mai dificilă decodarea.

Similar cu sărarea este ceea ce se numește piper. Acest lucru adaugă și o valoare suplimentară la sfârșitul parolei. Există două versiuni diferite de sărare, prima în care adăugați valoarea la sfârșitul parolei, așa cum am menționat mai sus, iar a doua în care valoarea adăugată parolei este atât aleatorie în locație, cât și în valoare. Avantajul acestui lucru este că face atacurile Brute Force și anumite alte atacuri foarte dificile.

Algoritmi de hashing utilizați în prezent

Veți vedea o mare varietate de metode de hashing utilizate pe parole, în funcție de platformă. Acest lucru poate varia și între sistemele de management al conținutului.

Unul dintre cei mai puțin siguri algoritmi de hashing este denumit MD5, care a fost creat în 1992. După cum vă puteți imagina dintr-un algoritm creat în 1992, nu este cel mai sigur algoritm de hashing. Acest algoritm folosește valori de 128 de biți, ceea ce este mult mai scăzut decât standardele tradiționale de criptare, astfel încât nu este o opțiune foarte sigură pentru parole și este mai des folosit pentru cerințe mai puțin sigure, cum ar fi descărcări de fișiere.

Următorul algoritm de hashing comun pe care îl veți vedea este SHA-1. Acest algoritm a fost creat în 1993 de către Agenția de Securitate Națională a SUA. Ei au așteptat câțiva ani pentru a publica algoritmul, cu toate acestea, în ciuda faptului că a fost dezvoltat doar cu un an mai târziu decât MD5, este semnificativ mai sigur la momentul respectiv. Este posibil să vedeți în continuare unele parole în acest fel, dar, din păcate, acest standard a fost decis să nu mai fie sigur.

Ca o actualizare la SHA1 pe care Agenția Națională de Securitate a publicat, SHA-2, a fost creat în 2001. Și, ca și predecesorul său, nu a fost creat în mod special de NSA și a fost standardizat doar cu câțiva ani înainte de acum. Rămâne în continuare o metodă viabilă pentru hashingul în siguranță a parolelor.

Un alt algoritm de hashing a parolei pe care îl veți vedea este Bcrypt. Algoritmul BCrypt include o sare care este concepută pentru a proteja împotriva atacurilor de forță brută.

Unul dintre instrumentele pe care BCypt le folosește pentru a îngreuna atacurile Brute Force este încetinirea operațiunii sau programului Brute Force pe care un actor rău intenționat îl poate folosi. Aceasta înseamnă că dacă se încearcă un atac Brute Force, probabil că va dura ani dacă va avea succes.

Similar cu bCrypt este Scrypt. Acest algoritm de hashing a parolei extinde, de asemenea, cheia cu apărări suplimentare, cum ar fi săruri (conceput pentru a adăuga date aleatorii la o intrare a funcției de hash pentru a crea o ieșire mai unică) și pentru a face atacurile Brute Force aproape imposibile cu un avantaj suplimentar al Scrypt este că este proiectat să ocupe o cantitate mare de memorie de computer atunci când este atacat cu forța brută. Aceasta înseamnă că are o măsură suplimentară pentru a prelungi durata de timp pe care o poate dura un atac cu forță brută pentru a avea succes.

Ultimul algoritm de hashing a parolei pe care îl vom vedea pe sistemele de management de conținut și aplicațiile web este PBKDF2. Acest algoritm de hashing a parolei a fost creat de RSA Laboratories și, la fel ca algoritmii menționați anterior, adăugați extensii la hash pentru a face Brute Force mai dificilă.

Stocarea parolelor hashed

După procesul de hashing și după ce orice algoritm este folosit își face treaba, rezultatul parolei va fi o reprezentare hexazecimală amestecată a ei însăși.

Ceea ce înseamnă că va fi o serie foarte lungă de litere și numere care va fi ceea ce este stocat de site-ul web sau de aplicație în cazul în care un hacker obține acces la acele informații.

Deci, cu alte cuvinte, dacă un hacker intră pe site-ul dvs. de comerț electronic și găsește o bază de date cu parole de utilizator, atunci nu le va putea folosi pentru a se conecta direct la contul unui utilizator.

Mai degrabă, el sau ea ar trebui să interpreteze literele și numerele aleatorii pentru a-și da seama care ar fi de fapt parola ta.

Parole multiple pentru site-uri web

Uneori, veți întâlni situații în care utilizatorii magazinului dvs. de comerț electronic ar putea avea nevoie să partajeze parole pentru diferite servicii.

Un exemplu în acest sens ar putea fi faptul că aveți o versiune separată a aplicației dvs. pentru dispozitive mobile, care este poate o tehnologie diferită sau pe o platformă diferită în comparație cu versiunea dvs. bazată pe web. În acest caz, ar trebui să sincronizați parolele hashing pe mai multe platforme, ceea ce poate fi foarte complicat.

Din fericire, există companii care pot ajuta cu sincronizarea pe mai multe platforme a parolelor hash. Un exemplu ar fi FoxyCart, care este un serviciu care permite sincronizarea parolelor cu hashing de la o aplicație la alta.

Încheierea

Pe lângă Foxy, există multe alte platforme de comerț electronic populare din care să alegeți. Indiferent pe care îl utilizați, păstrarea în siguranță a magazinului dvs. de comerț electronic online înainte trebuie să fie o prioritate de top , iar hashingul parolei este una dintre cele mai bune și, de asemenea, una dintre cele mai neglijate măsuri de securitate pe care le puteți folosi astăzi.

Cu cât o parolă este mai corectă și dacă folosește cele mai noi standarde, cum ar fi inelul de sare și piper, atunci, practic, singura modalitate prin care un actor rău intenționat să obțină parola cuiva ar fi printr-un atac Brute Force.

Și odată cu metodele pe care le-am menționat mai sus și cu algoritmii folosiți de diverse sisteme de management al conținutului, chiar și atacurile de forță brută devin din ce în ce mai dificile. Adică numai dacă implementați aceste instrumente în mod corespunzător.