• โฮมเพจ
  • บทความ
  • แนะนำ
  • วิธีการแฮชรหัสผ่านที่ใช้บ่อยที่สุดสำหรับการรักษาความปลอดภัยแพลตฟอร์มอีคอมเมิร์ซของคุณ

วิธีการแฮชรหัสผ่านที่ใช้บ่อยที่สุดสำหรับการรักษาความปลอดภัยแพลตฟอร์มอีคอมเมิร์ซของคุณ

เผยแพร่แล้ว: 2019-01-23

ในปี 2018 การแฮชรหัสผ่านมีความสำคัญมากขึ้นกว่าเดิมสำหรับทั้งเจ้าของเว็บไซต์อีคอมเมิร์ซและผู้ให้บริการซอฟต์แวร์เชิงพาณิชย์

การปกป้องข้อมูลผู้ใช้ของคุณ ไม่ใช่คำแนะนำอีกต่อไป แต่เป็นข้อกำหนดเนื่องจากผู้บริโภคเริ่มพิจารณาความปลอดภัยและความปลอดภัยของข้อมูลเป็นลำดับความสำคัญสูงสุด

ในขณะที่อีคอมเมิร์ซเติบโตอย่างต่อเนื่องในอัตราที่มั่นคง โดยยอดขายอีคอมเมิร์ซคาดว่าจะแตะระดับกว่า 4 พันล้านดอลลาร์ในปี 2020 การปกป้องข้อมูลของผู้ใช้ของคุณมีความสำคัญมากกว่าที่เคย

หากแฮ็กเกอร์หรือผู้ประสงค์ร้ายเข้าถึงฐานข้อมูลรหัสผ่านของคุณ และรหัสผ่านเหล่านั้นถูกจัดเก็บไว้ในข้อความธรรมดา ผู้บุกรุกจะสามารถเข้าถึงบัญชีผู้ใช้ทุกบัญชีบนเว็บไซต์หรือแอปพลิเคชันของคุณ

วิธีที่แนะนำเพื่อหลีกเลี่ยงปัญหานี้คือผ่านการแฮชรหัสผ่าน

แฮ็คอีคอมเมิร์ซ

หากไม่มีโปรโตคอลความปลอดภัยทางไซเบอร์ที่เหมาะสม เจ้าของร้านค้าอีคอมเมิร์ซก็เสี่ยงที่จะให้ตัวเองและลูกค้าตกอยู่ในความเสี่ยง เราไม่จำเป็นต้องมองไปไกลกว่าการแฮ็กเป้าหมายปี 2013 เพื่อทำความเข้าใจว่าทำไมการแฮ็กจึงเป็นภัยคุกคามที่สำคัญต่อแพลตฟอร์มอีคอมเมิร์ซ

ดังที่กล่าวไว้ ร้านค้าอีคอมเมิร์ซขนาดเล็กมีความเสี่ยงมากกว่าบริษัทขนาดใหญ่เนื่องจากมีโปรโตคอลความปลอดภัยน้อยกว่าสำหรับอาชญากรไซเบอร์ อาชญากรรมทางอินเทอร์เน็ตที่ใหญ่ที่สุดสองประเภทที่ร้านค้าอีคอมเมิร์ซขนาดเล็กอาจเผชิญ ได้แก่ การโจมตีแบบฟิชชิง โดยที่ข้อมูลผู้ใช้เช่นหมายเลขบัตรเครดิตและข้อมูลการเข้าสู่ระบบเป็นเป้าหมาย และการฉ้อโกงบัตรเครดิต ซึ่งแฮกเกอร์จะพยายามดึงหมายเลขบัตรเครดิตแล้วขาย ในตลาดมืด

ตามที่คุณสามารถบอกได้อย่างมีความหวังในตอนนี้ ความปลอดภัยของร้านค้าอีคอมเมิร์ซของคุณต้องเป็นกังวลสูงสุด และคุณต้องใช้มาตรการรักษาความปลอดภัยหลายประการ รวมถึงการแฮชรหัสผ่าน

การแฮชรหัสผ่านคืออะไร?

เพื่อให้เข้าใจถึงวิธีการใช้การแฮชรหัสผ่านในระบบจัดการเนื้อหาและเว็บแอปพลิเคชันในปัจจุบัน เราต้องกำหนดสิ่งสำคัญสองสามประการ

เมื่อคุณแฮชรหัสผ่าน โดยทั่วไปแล้วจะเปลี่ยนรหัสผ่านให้เป็นตัวแทนที่มีสัญญาณรบกวนหรือ 'สตริง' และคุณใช้สิ่งนี้เพื่อหลีกเลี่ยงการจัดเก็บรหัสผ่านเป็นข้อความธรรมดาที่ผู้ประสงค์ร้ายสามารถค้นพบได้ การแฮชจะเปรียบเทียบค่ากับคีย์การเข้ารหัสภายในเพื่อตีความรหัสผ่านจริงๆ

ควรสังเกตด้วยว่าการแฮชเป็นรูปแบบการรักษาความปลอดภัยการเข้ารหัสที่แตกต่างจากการเข้ารหัส เนื่องจากการเข้ารหัสได้รับการออกแบบมาเพื่อเข้ารหัสและถอดรหัสข้อความผ่านกระบวนการสองขั้นตอน แต่เมื่อเราได้ดำเนินการไปแล้ว การแฮชได้รับการออกแบบมาเพื่อสร้างสตริงจากสตริงก่อนหน้าในข้อความ ซึ่งสามารถเปลี่ยนแปลงได้อย่างมากด้วยรูปแบบอินพุตเพียงเล็กน้อยเท่านั้น

การวัดแฮชเพิ่มเติมที่คุณจะเห็นคือสิ่งที่เรียกว่าการใส่เกลือ ซึ่งเป็นเพียงการเพิ่มอักขระที่ส่วนท้ายของรหัสผ่านที่แฮชเพื่อทำให้ถอดรหัสได้ยากขึ้น

คล้ายกับการใส่เกลือคือสิ่งที่เรียกว่าพริกไทย นอกจากนี้ยังเพิ่มค่าเพิ่มเติมที่ส่วนท้ายของรหัสผ่าน มีสองเวอร์ชันที่แตกต่างกันของ salting ในครั้งแรกที่คุณเพิ่มค่าที่ส่วนท้ายของรหัสผ่านดังที่ฉันได้กล่าวไว้ข้างต้น และแบบที่สองที่ค่าที่เพิ่มให้กับรหัสผ่านนั้นสุ่มทั้งในตำแหน่งที่ตั้งและในมูลค่าของมัน ข้อดีของสิ่งนี้คือทำให้การโจมตี Brute Force และการโจมตีอื่น ๆ ทำได้ยากมาก

อัลกอริทึมการแฮชที่ใช้ในปัจจุบัน

คุณจะเห็นวิธีการแฮชที่หลากหลายที่ใช้กับรหัสผ่านขึ้นอยู่กับแพลตฟอร์ม นอกจากนี้ยังอาจแตกต่างกันไปตามระบบการจัดการเนื้อหา

อัลกอริธึมการแฮชที่ปลอดภัยน้อยที่สุดตัวหนึ่งเรียกว่า MD5 ซึ่งสร้างขึ้นในปี 1992 อย่างที่คุณอาจจินตนาการได้จากอัลกอริธึมที่สร้างขึ้นในปี 1992 อัลกอริทึมนี้ไม่ใช่อัลกอริธึมการแฮชที่ปลอดภัยที่สุด อัลกอริธึมนี้ใช้ค่า 128 บิตซึ่งต่ำกว่ามาตรฐานการเข้ารหัสแบบเดิมมาก ดังนั้นจึงไม่ใช่ตัวเลือกที่ปลอดภัยสำหรับรหัสผ่าน และมักใช้สำหรับข้อกำหนดที่มีความปลอดภัยน้อย เช่น การดาวน์โหลดไฟล์

อัลกอริทึมการแฮชทั่วไปถัดไปที่คุณจะเห็นคือ SHA-1 อัลกอริธึมนี้ถูกสร้างขึ้นในปี 1993 โดยสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา พวกเขารอสองสามปีเพื่อเผยแพร่อัลกอริทึม อย่างไรก็ตาม แม้จะได้รับการพัฒนาช้ากว่า MD5 เพียงหนึ่งปี แต่ในขณะนั้นก็มีความปลอดภัยมากกว่าอย่างเห็นได้ชัด คุณอาจยังคงเห็นรหัสผ่านบางส่วนถูกแฮชด้วยวิธีนี้ แต่น่าเสียดายที่มาตรฐานนี้ได้รับการตัดสินว่าไม่ปลอดภัยอีกต่อไป

จากการอัปเกรดเป็น SHA1 ที่หน่วยงานความมั่นคงแห่งชาติเผยแพร่ SHA-2 ถูกสร้างขึ้นในปี 2544 และเช่นเดียวกับรุ่นก่อน ไม่ได้สร้างโดย NSA โดยเฉพาะและเพิ่งได้รับมาตรฐานเมื่อไม่กี่ปีก่อนนี้ ยังคงเป็นวิธีที่ใช้ได้สำหรับการแฮชรหัสผ่านอย่างปลอดภัย

อัลกอริธึมการแฮชรหัสผ่านอื่นที่คุณจะเห็นคือ Bcrypt อัลกอริธึม BCrypt ประกอบด้วยเกลือที่ออกแบบมาเพื่อป้องกันการโจมตีแบบเดรัจฉาน

หนึ่งในเครื่องมือที่ BCypt ใช้เพื่อทำให้การโจมตีแบบ Brute Force ยากขึ้นคือการชะลอการทำงานหรือโปรแกรม Brute Force ที่ผู้ประสงค์ร้ายอาจใช้อยู่ ซึ่งหมายความว่าหากมีการพยายามโจมตี Brute Force อาจต้องใช้เวลาหลายปีกว่าจะสำเร็จ

คล้ายกับ bCrypt คือ Scrypt อัลกอริธึมการแฮชรหัสผ่านนี้ยังขยายคีย์ด้วยการป้องกันเพิ่มเติม เช่น เกลือ (ออกแบบมาเพื่อเพิ่มข้อมูลแบบสุ่มไปยังอินพุตฟังก์ชันแฮชเพื่อสร้างเอาต์พุตที่ไม่ซ้ำใคร) และทำให้การโจมตีแบบ Brute Force แทบจะเป็นไปไม่ได้ด้วยข้อดีเพิ่มเติมของ Scrypt ก็คือ ได้รับการออกแบบให้ใช้หน่วยความจำคอมพิวเตอร์จำนวนมากเมื่อถูกโจมตีโดย Brute Force นั่นหมายความว่ามีมาตรการเพิ่มเติมเพื่อขยายระยะเวลาการโจมตี Brute Force ให้สำเร็จ

อัลกอริธึมการแฮชรหัสผ่านสุดท้ายที่เราเห็นในระบบการจัดการเนื้อหาและเว็บแอปพลิเคชันคือ PBKDF2 อัลกอริธึมการแฮชรหัสผ่านนี้สร้างขึ้นโดย RSA Laboratories และเช่นเดียวกับอัลกอริธึมที่กล่าวถึงก่อนหน้านี้ ยังเพิ่มส่วนขยายให้กับแฮชเพื่อทำให้ Brute Force ยากขึ้น

การจัดเก็บรหัสผ่านที่แฮช

หลังจากกระบวนการของการแฮช และหลังจากที่อัลกอริทึมใดๆ ถูกใช้ทำงาน ผลลัพธ์ของรหัสผ่านจะเป็นการแสดงเลขฐานสิบหกที่มีสัญญาณรบกวนในตัวมันเอง

นั่นหมายความว่าจะเป็นชุดตัวอักษรและตัวเลขที่ยาวมาก ซึ่งจะเป็นข้อมูลที่เว็บไซต์หรือแอปพลิเคชันจัดเก็บไว้ในกรณีที่แฮ็กเกอร์เข้าถึงข้อมูลนั้นได้

กล่าวอีกนัยหนึ่ง หากแฮ็กเกอร์เข้าไปในเว็บไซต์อีคอมเมิร์ซของคุณและพบฐานข้อมูลรหัสผ่านของผู้ใช้ เขาจะไม่สามารถใช้รหัสผ่านเหล่านั้นเพื่อเข้าสู่บัญชีของผู้ใช้ได้โดยตรง

แต่เขาจะต้องตีความตัวอักษรและตัวเลขแบบสุ่มเพื่อดูว่ารหัสผ่านของคุณคืออะไร

การจัดเก็บ-แฮช-รหัสผ่าน

รหัสผ่านหลายเว็บไซต์

บางครั้ง คุณอาจเจอสถานการณ์ที่ผู้ใช้ร้านอีคอมเมิร์ซของคุณอาจต้องแชร์รหัสผ่านในบริการต่างๆ

ตัวอย่างอาจเป็นเพราะคุณมีแอปพลิเคชันแยกต่างหากสำหรับอุปกรณ์มือถือซึ่งอาจเป็นเทคโนโลยีที่แตกต่างกันหรือบนแพลตฟอร์มอื่นเมื่อเทียบกับเวอร์ชันบนเว็บของคุณ ในกรณีนี้ คุณจะต้องซิงค์รหัสผ่านที่แฮชข้ามแพลตฟอร์มต่างๆ ซึ่งอาจซับซ้อนมาก

โชคดีที่มีบริษัทที่สามารถช่วยในการซิงค์รหัสผ่านแฮชข้ามแพลตฟอร์มได้ ตัวอย่างคือ FoxyCart ซึ่งเป็นบริการที่อนุญาตให้มีการซิงค์รหัสผ่านที่แฮชจากแอปพลิเคชันหนึ่งไปยังอีกแอปพลิเคชันหนึ่ง

ห่อหมก

นอกจาก Foxy แล้ว ยังมีแพลตฟอร์มอีคอมเมิร์ซยอดนิยมอื่นๆ ให้เลือกอีกมากมาย ไม่ว่าคุณจะใช้อันไหน การรักษาร้านค้าอีคอมเมิร์ซออนไลน์ของคุณให้ปลอดภัยมาก่อนจะต้อง มีความสำคัญสูงสุด และการแฮชรหัสผ่านเป็นหนึ่งในมาตรการที่ดีที่สุดและเป็นหนึ่งในมาตรการรักษาความปลอดภัยที่คุณมองข้ามไปในปัจจุบัน

ยิ่งมีการแฮชรหัสผ่านอย่างถูกต้องมากขึ้น และถ้ามันใช้มาตรฐานใหม่ล่าสุด เช่น แหวนเกลือและพริกไทย โดยทั่วไปแล้ว วิธีเดียวที่ผู้ประสงค์ร้ายจะได้รับรหัสผ่านของใครบางคนก็คือผ่านการโจมตีแบบ Brute Force

และด้วยวิธีการที่เรากล่าวถึงข้างต้นและอัลกอริทึมที่ใช้โดยระบบจัดการเนื้อหาต่างๆ แม้แต่การโจมตีด้วยกำลังเดรัจฉานก็ยิ่งยากขึ้นเรื่อยๆ นั่นคือถ้าคุณใช้เครื่องมือเหล่านี้อย่างถูกต้องเท่านั้น