E-Ticaret Platformunuzun Güvenliğini Sağlamak İçin En Yaygın Parola Hash Yöntemleri
Yayınlanan: 2019-01-232018'de hem e-ticaret sitesi sahipleri hem de ticari yazılım uygulamaları sağlayan kişiler için şifre hash işlemi her zamankinden daha önemli hale geliyor.
Kullanıcılarınızın verilerini korumak artık bir öneri değil, tüketiciler kendi güvenliklerini ve verilerinin güvenliğini birinci öncelik olarak görmeye başladıkları için bir gerekliliktir.
2020 yılına kadar e-ticaret satışlarının 4 milyar doları biraz aşacağı tahmin edildiğinden, e-ticaret sağlam bir oranda büyümeye devam ederken, kullanıcılarınızın verilerini korumak artık her zamankinden daha önemli.
Bir bilgisayar korsanı veya kötü niyetli aktör, şifre veritabanınıza erişim kazanırsa ve bu şifreler düz metin olarak saklanırsa, Saldırgan, web sitenizdeki veya uygulamanızdaki her kullanıcı hesabına erişebilir.
Bunu önlemenin önerilen yolu, parola karmasıdır.
E-ticaret Hack'leri
Uygun siber güvenlik protokolleri olmadan, e-ticaret mağazası sahipleri kendilerini ve müşterilerini riske atma riskiyle karşı karşıyadır. Bilgisayar korsanlığının e-ticaret platformları için nasıl ve neden büyük bir tehdit olduğunu anlamak için 2013 Hedef korsanlığından daha uzağa bakmamıza gerek yok.
Bununla birlikte, daha küçük e-ticaret mağazaları, siber suçlulara karşı daha az güvenlik protokollerine sahip olmaları nedeniyle büyük şirketlerden daha büyük bir risk altındadır. Daha küçük e-ticaret mağazalarının karşı karşıya kalabileceği en büyük iki siber suç türü, kredi kartı numaraları ve oturum açma bilgileri gibi kullanıcı verilerinin hedeflendiği kimlik avı saldırıları ve bilgisayar korsanlarının kredi kartı numaralarını alıp satmaya çalıştığı kredi kartı sahtekarlığını içerir. kara borsada.
Şimdiye kadar umduğunuz gibi, e-ticaret mağazanızın güvenliği sizin için en büyük endişe kaynağı olmalıdır ve bu, parola karma dahil olmak üzere bir dizi güvenlik önlemi almanızı gerektirecektir.
Şifre Hash nedir?
Şu anda içerik yönetim sistemlerinde ve web uygulamalarında parola karmasının nasıl kullanıldığını anlamak için birkaç önemli şeyi tanımlamamız gerekiyor.
Bir parolaya sahip olduğunuzda, temel olarak parolayı karıştırılmış bir temsile veya 'dize'ye dönüştürür ve bunu parolaları kötü niyetli kişiler tarafından bulunabilecekleri düz metin olarak saklamaktan kaçınmak için kullanırsınız. Hashing, parolayı gerçekten yorumlamak için değeri dahili olarak bir şifreleme anahtarıyla karşılaştırır.
Karma işleminin şifrelemeden farklı bir kriptografik güvenlik şekli olduğu da unutulmamalıdır. Bunun nedeni, şifrelemenin bir mesajı iki aşamalı bir işlemle şifrelemek ve şifresini çözmek için tasarlanmış olmasıdır, ancak biraz önce değindiğimiz gibi, karma, metindeki önceki bir dizeden yalnızca küçük girdi varyasyonlarıyla önemli ölçüde değişebilen bir dize oluşturmak için tasarlanmıştır.
Göreceğiniz ek bir karma önlemi, kod çözmeyi daha zor hale getirmek için yalnızca karma parolanın sonuna karakterlerin eklenmesi olan tuzlama olarak adlandırılan şeydir.
Tuzlamaya benzer şekilde biberleme denir. Bu aynı zamanda parolanın sonuna ek bir değer ekler. Salting'in iki farklı versiyonu var. Birincisi yukarıda bahsettiğim gibi şifrenin sonuna değeri eklediğiniz, ikincisi ise şifreye eklenen değerin hem lokasyon hem de değer olarak rastgele olduğu. Bunun avantajı, Brute Force saldırılarını ve diğer bazı saldırıları çok zor hale getirmesidir.
Şu Anda Kullanılan Hashing Algoritmaları
Platforma bağlı olarak şifrelerde kullanılan çok çeşitli karma yöntemleri göreceksiniz. Bu, içerik yönetim sistemleri arasında da değişebilir.
En az güvenli karma algoritmalardan biri, 1992'de oluşturulan MD5 olarak adlandırılır. 1992'de oluşturulan bir algoritmadan tahmin edebileceğiniz gibi, en güvenli karma algoritma değildir. Bu algoritma, geleneksel şifreleme standartlarından çok daha düşük olan 128 bitlik değerler kullanır; bu, parolalar için çok güvenli bir seçenek olmadığı ve bunun yerine daha sık dosya indirme gibi Daha az güvenli gereksinimler için kullanıldığı anlamına gelir.
Göreceğiniz bir sonraki ortak karma algoritması SHA-1'dir. Bu algoritma 1993 yılında ABD Ulusal Güvenlik Ajansı tarafından oluşturuldu. Algoritmayı yayınlamak için birkaç yıl beklediler, ancak MD5'ten yalnızca bir yıl sonra geliştirilmiş olmasına rağmen, o zaman için önemli ölçüde daha güvenli. Hala bazı şifrelerin bu şekilde hash edildiğini görebilirsiniz, ancak ne yazık ki bu standardın artık güvenli olmadığına karar verildi.
Ulusal Güvenlik Ajansı'nın yayınladığı SHA1'e yükseltme olarak SHA-2, 2001'de oluşturuldu. Ve öncekiler gibi, NSA tarafından özel olarak oluşturulmadı ve bundan sadece birkaç yıl önce standartlaştırıldı. Parolaları güvenli bir şekilde karma hale getirmek için hala geçerli bir yöntem olmaya devam ediyor.
Göreceğiniz başka bir parola karma algoritması Bcrypt'tir. BCrypt algoritması, kaba kuvvet saldırılarına karşı koruma sağlamak için tasarlanmış bir tuz içerir.
BCypt'in Brute Force saldırılarını daha zor hale getirmek için kullandığı araçlardan biri, Brute Force operasyonunu veya kötü niyetli bir aktörün kullanıyor olabileceği programı yavaşlatmaktır. Bu, bir Brute Force saldırısına teşebbüs edilirse, başarılı olması durumunda muhtemelen yıllar alacağı anlamına gelir.
bCrypt'e benzer şekilde Scrypt'tir. Bu parola karma algoritması ayrıca anahtarı, tuzlar (daha benzersiz bir çıktı oluşturmak için bir karma işlev girişine rastgele veriler eklemek üzere tasarlanmıştır) gibi ek savunmalarla genişletir ve Scrypt'in ek bir avantajıyla Brute Force saldırılarını neredeyse imkansız hale getirir. Brute Force saldırısına uğradığında büyük miktarda bilgisayar belleğini kaplayacak şekilde tasarlanmıştır. Bu, bir Brute Force saldırısının başarılı olması için gereken süreyi uzatmak için ek bir önlemi olduğu anlamına gelir.
İçerik yönetim sistemlerinde ve web uygulamalarında göreceğimiz son şifre hash algoritması PBKDF2'dir. Bu parola karma algoritması RSA Laboratories tarafından oluşturulmuştur ve daha önce bahsedilen algoritmalar gibi, Brute Force'u daha zor hale getirmek için karmaya uzantılar da ekler.
Karma Şifreleri Saklama
Karma işleminden sonra ve hangi algoritma kullanılıyorsa onu yaptıktan sonra, şifrenin çıktısı, kendisinin şifreli onaltılık bir temsili olacaktır.
Bunun anlamı, bir bilgisayar korsanının bu bilgilere erişmesi durumunda web sitesi veya uygulama tarafından depolanacak olan çok uzun bir harf ve sayı dizisi olacağıdır.
Başka bir deyişle, bir bilgisayar korsanı e-ticaret web sitenize girer ve bir kullanıcı şifreleri veritabanı bulursa, bunları doğrudan bir kullanıcının hesabına giriş yapmak için kullanamaz.
Bunun yerine, şifrenizin gerçekte ne olacağını anlamak için rastgele harfleri ve sayıları yorumlaması gerekecekti.
Birden Fazla Web Sitesi Şifresi
Bazen, e-ticaret mağazası kullanıcılarınızın farklı hizmetler arasında şifre paylaşması gerekebileceği durumlarla karşılaşacaksınız.
Bunun bir örneği, web tabanlı sürümünüze kıyasla farklı bir teknoloji veya farklı bir platformda mobil cihazlar için uygulamanızın ayrı bir derlemesine sahip olmanız olabilir. Bu durumda, çok karmaşık olabilen birden çok platformda karma parolaları eşitlemeniz gerekir.
Neyse ki, karma şifrelerin platformlar arası senkronizasyonuna yardımcı olabilecek şirketler var. Bir örnek, uygulamadan uygulamaya karma parola senkronizasyonuna izin veren bir hizmet olan FoxyCart olabilir.
Sarmalamak
Foxy'ye ek olarak, aralarından seçim yapabileceğiniz birçok popüler e-ticaret platformu var. Hangisini kullanırsanız kullanın, çevrimiçi e-ticaret mağazanızı daha önce güvende tutmak en önemli önceliğiniz olmalıdır ve parola karması en iyilerden biridir ve aynı zamanda bugün uygulayabileceğiniz en fazla gözden kaçan güvenlik önlemlerinden biridir.
Bir parola ne kadar düzgün bir şekilde hashlenirse, tuz ve biber halkası gibi en yeni standartları kullanıyorsa, temelde kötü niyetli bir oyuncunun birinin parolasını almasının tek yolu bir Brute Force saldırısı olacaktır.
Ve yukarıda bahsettiğimiz yöntemler ve çeşitli içerik yönetim sistemlerinin kullandığı algoritmalar ile kaba kuvvet saldırıları bile giderek zorlaşıyor. Yani, yalnızca bu araçları doğru şekilde uygularsanız.