Наиболее распространенные методы хеширования паролей для защиты вашей платформы электронной коммерции

В 2018 году хеширование паролей становится как никогда важным как для владельцев веб-сайтов электронной коммерции, так и для людей, которые предоставляют коммерческие программные приложения.

Защита данных ваших пользователей больше не является предложением, а скорее требованием, поскольку потребители начинают считать свою безопасность и сохранность своих данных главным приоритетом.

Поскольку электронная торговля продолжает расти устойчивыми темпами, а к 2020 году объем продаж электронной коммерции, по прогнозам, достигнет чуть более 4 миллиардов долларов, защита данных ваших пользователей сейчас важнее, чем когда-либо.

Если хакер или злоумышленник получит доступ к вашей базе данных паролей и эти пароли хранятся в виде простого текста, злоумышленник получит доступ ко всем учетным записям пользователей на вашем веб-сайте или в приложении.

Рекомендуемый способ избежать этого — хеширование пароля.

Хаки электронной коммерции

Без надлежащих протоколов кибербезопасности владельцы интернет-магазинов рискуют подвергнуть себя и своих клиентов риску. Нам не нужно заглядывать дальше, чем взлом Target 2013 года, чтобы понять, как и почему взлом представляет собой серьезную угрозу для платформ электронной коммерции.

При этом небольшие магазины электронной коммерции подвергаются еще большему риску, чем крупные корпорации, из-за того, что у них меньше протоколов безопасности от киберпреступников. Два самых крупных вида киберпреступлений, с которыми могут столкнуться небольшие магазины электронной коммерции, включают фишинговые атаки, когда нацелены данные пользователей, такие как номера их кредитных карт и данные для входа, и мошенничество с кредитными картами, когда хакеры пытаются извлечь номера кредитных карт, а затем продать их. на черном рынке.

Как вы, надеюсь, уже поняли, безопасность вашего магазина электронной коммерции должна иметь для вас первостепенное значение, и это потребует от вас применения ряда мер безопасности, включая хеширование паролей.

Что такое хеширование паролей?

Чтобы понять, как хеширование паролей используется в настоящее время в системах управления контентом и веб-приложениях, мы должны определить несколько ключевых моментов.

Когда вы хэшируете пароль, он в основном превращает пароль в зашифрованное представление или «строку», и вы используете это, чтобы избежать хранения паролей в виде простого текста, где их могут найти злоумышленники. Хэширование сравнивает значение с ключом шифрования для фактической интерпретации пароля.

Следует также отметить, что хеширование — это форма криптографической защиты, отличная от шифрования. Это связано с тем, что шифрование предназначено для шифрования и расшифровки сообщения посредством двухэтапного процесса, но, как мы только что рассмотрели, хеширование предназначено для создания строки из предыдущей строки в тексте, которая может значительно различаться только при небольших изменениях ввода.

Дополнительная мера хэширования, которую вы увидите, называется солением, то есть просто добавлением символов в конец хешированного пароля, чтобы затруднить его декодирование.

Подобно солению, это то, что называют перцем. Это также добавляет дополнительное значение в конец пароля. Существует две разные версии соления: первая, когда вы добавляете значение в конец пароля, как я упоминал выше, и вторая, когда значение, добавляемое к паролю, является случайным как по местоположению, так и по его значению. Преимущество этого заключается в том, что он делает атаки грубой силы и некоторые другие атаки очень сложными.

Используемые в настоящее время алгоритмы хеширования

Вы увидите широкий спектр методов хеширования, используемых для паролей в зависимости от платформы. Это также может варьироваться в зависимости от системы управления контентом.

Один из наименее безопасных алгоритмов хеширования называется MD5, он был создан в 1992 году. Как вы можете догадаться по алгоритму, созданному в 1992 году, это не самый безопасный алгоритм хеширования. Этот алгоритм использует 128-битные значения, которые намного ниже, чем традиционные стандарты шифрования, поэтому это означает, что это не очень безопасный вариант для паролей и вместо этого чаще используется для менее безопасных требований, таких как загрузка файлов.

Следующий распространенный алгоритм хеширования, который вы увидите, — это SHA-1. Этот алгоритм был создан в 1993 году Агентством национальной безопасности США. Они ждали несколько лет, чтобы опубликовать алгоритм, однако, несмотря на то, что он был разработан всего на год позже, чем MD5, в то время он был значительно более безопасным. Вы все еще можете видеть, что некоторые пароли хешируются таким образом, но, к сожалению, этот стандарт больше не является безопасным.

В качестве обновления SHA1, опубликованного Агентством национальной безопасности, SHA-2 был создан в 2001 году. И, как и его предшественник, он не был специально создан АНБ, а был стандартизирован всего несколько лет назад. Он по-прежнему остается жизнеспособным методом безопасного хеширования паролей.

Другой алгоритм хеширования паролей, который вы увидите, — это Bcrypt. Алгоритм BCrypt включает в себя соль, предназначенную для защиты от атак грубой силы.

Один из инструментов, который BCypt использует для усложнения атак грубой силы, — это замедление операции или программы грубой силы, которую может использовать злоумышленник. Это означает, что если будет предпринята попытка атаки грубой силы, то, скорее всего, потребуются годы, если она вообще будет успешной.

Подобно bCrypt, это Scrypt. Этот алгоритм хеширования паролей также расширяет ключ с помощью дополнительных средств защиты, таких как соли (предназначенные для добавления случайных данных к входным данным хеш-функции для создания более уникального вывода), и делает атаки грубой силы практически невозможными благодаря дополнительному преимуществу Scrypt. разработан, чтобы занимать большой объем памяти компьютера, когда он подвергается атаке методом грубой силы. Это означает, что у него есть дополнительная мера для увеличения времени, которое может потребоваться для успешной атаки грубой силы.

Последний алгоритм хеширования паролей, который мы увидим в системах управления контентом и веб-приложениях, — PBKDF2. Этот алгоритм хеширования паролей был создан RSA Laboratories и, как и упомянутые ранее алгоритмы, также добавляет расширения к хэшу, чтобы усложнить Brute Force.

Хранение хешированных паролей

После процесса хеширования и после того, как любой используемый алгоритм выполнит свою работу, вывод пароля будет представлять собой зашифрованное шестнадцатеричное представление самого себя.

Это означает, что это будет очень длинная последовательность букв и цифр, которая будет храниться веб-сайтом или приложением на случай, если хакер получит доступ к этой информации.

Другими словами, если хакер проникнет на ваш сайт электронной коммерции и найдет базу данных паролей пользователей, он не сможет использовать их для прямого входа в учетную запись пользователя.

Скорее, ему или ей придется интерпретировать случайные буквы и цифры, чтобы выяснить, каким на самом деле будет ваш пароль.

Несколько паролей веб-сайтов

Иногда вы будете сталкиваться с ситуациями, когда пользователям вашего интернет-магазина может потребоваться обмен паролями между различными службами.

Примером этого может быть то, что у вас есть отдельная сборка вашего приложения для мобильных устройств, которая может быть основана на другой технологии или на другой платформе по сравнению с вашей веб-версией. В этом случае вам потребуется синхронизировать хешированные пароли на нескольких платформах, что может быть очень сложно.

К счастью, есть компании, которые могут помочь с кроссплатформенной синхронизацией хеш-паролей. Примером может служить FoxyCart, служба, позволяющая синхронизировать хешированные пароли от приложения к приложению.

Завершение

Помимо Foxy, существует множество других популярных платформ электронной коммерции. Независимо от того, какой из них вы используете, обеспечение безопасности вашего интернет-магазина электронной коммерции должно быть главным приоритетом , а хеширование паролей — одна из лучших, а также одна из наиболее недооцененных мер безопасности, которые вы можете использовать сегодня.

Чем более правильно хэширован пароль, и если он использует новейшие стандарты, такие как кольцо из соли и перца, то, по сути, единственный способ для злоумышленника получить чей-то пароль — это атака грубой силы.

А с упомянутыми выше методами и алгоритмами, используемыми различными системами управления контентом, даже атаки методом полного перебора становятся все более и более сложными. То есть, только если вы правильно реализуете эти инструменты.