La sicurezza delle password è una parte vitale della sicurezza informatica. Le password sono usate ovunque. Quando accedi a un account, inserisci una password, utilizzata per verificare la tua identità.
Potresti aver sentito parlare del termine "salting" in relazione alle password, quindi cos'è il salting? In che modo le password vengono effettivamente mantenute al sicuro dagli hacker? E la salatura mantiene le tue password al sicuro?
Cos'è la salatura?
Il salting è il processo di aggiunta di stringhe casuali univoche di caratteri alle password in un database oa ciascuna password prima che la password venga sottoposta a hash (un termine su cui torneremo). Questo viene fatto per modificare l'hash e rendere le password più sicure. La stringa di caratteri aggiunta alla password è chiamata salt. Un sale può essere aggiunto davanti o dietro una password.
Il sale non è reso pubblico ed è noto solo al sito.
Come funziona la salatura?
Quando crei un account su un sito Web o un'app, la password che utilizzi deve essere memorizzata, in modo da poter essere verificata la prossima volta che visiti il sito. Ma questo
la password non può essere memorizzata come testo in chiaro cioè senza alcuna forma di formattazione o codifica. La password deve essere sottoposta a hash per impedire agli hacker di accedere facilmente al tuo account.Supponi di accedere a un sito con questa password: myPassword. Prima che la password venga sottoposta a hash, viene aggiunto un valore salt. Se il valore salt per quel particolare sito o utente è MUOrocks%, la tua password salted diventa myPasswordMUOrocks%.
La password salata viene quindi sottoposta a hash e archiviata nel database insieme ad altri hash di password.
Qual è la differenza tra crittografia, hashing e salatura?
Salting, hashing e crittografia sono tecniche di sicurezza utilizzate ogni giorno in siti e sistemi. Sono termini di crittografia necessari per la sicurezza della password. Ma come si differenziano?
Crittografia
La crittografia è una forma di crittografia dove le informazioni sono codificate matematicamente e possono essere raggiunte e decodificate solo da una persona con una chiave autorizzata. Le informazioni che devono essere protette vengono tradotte da testo normale a testo cifrato utilizzando un algoritmo che rende le informazioni indecifrabili agli utenti non autorizzati.
La crittografia è un processo a due vie, il che significa che i dati crittografati possono essere invertiti e letti, ma solo da coloro che dispongono della chiave di decrittografia corretta.
Hashing
L'hashing è il processo di trasformazione delle informazioni che si desidera mantenere al sicuro in una stringa di caratteri noti anche come hash. Fondamentalmente sta rimescolando le informazioni usando un algoritmo.
L'hashing è una funzione crittografica unidirezionale e ciò significa che, a differenza della crittografia, generalmente non può essere annullata. L'unico modo per decifrare un hash è confrontarlo con un altro hash con un valore di testo in chiaro noto.
L'hashing viene utilizzato per convalidare la tua autenticità. Quando accedi a un sito Web e inserisci la tua password, l'hash della tua password viene confrontato con l'hash identificato con il tuo account. Se i due hash sono gli stessi, ti viene concesso l'accesso al sito.
Salatura
Il salting è un altro livello di sicurezza aggiunto all'hashing. Per rendere un hash più sicuro, alla password vengono aggiunte stringhe di caratteri univoche prima dell'hashing per modificare completamente l'hash.
Perché le password sono salate?
La salatura è molto importante per la sicurezza. Aiuta a ridurre il rischio che hacker malintenzionati ottengano le password.
La semplice memorizzazione delle password nei database così com'è è un metodo molto poco sicuro per mantenere la privacy degli utenti. Qualsiasi hacker esperto potrebbe entrare nel database e avere accesso a tutti gli account sul sito.
Poi è arrivato l'hashing. Ha migliorato la sicurezza delle password fino a quando gli hacker non hanno avuto la meglio. Gli hacker usano attacchi di forza bruta, attacchi dizionario, spruzzatura di passwordo tabelle arcobaleno per decodificare le password per ottenere le credenziali di accesso.
Per rafforzare le password deboli
La salatura aggiunge un altro livello di sicurezza al sito. Quando un valore salt viene aggiunto a una password, l'hash viene completamente modificato. Ciò rende molto difficile il reverse engineering della password e rende inutile la tabella arcobaleno. Ecco un esempio.
| Testo della password | Hash | |
| Password originale | la mia password | deb1536f480475f7d593219aa1afd74c |
| Password salata | myPasswordMUOrocks% | 51ae8ec80ae589f4270a1260841650a1 |
Come puoi vedere nella tabella, gli hash sono completamente diversi. La password rimane la stessa quando visiti il sito, ma l'hash è più sicuro contro lo sfruttamento. Il salting è particolarmente importante quando gli utenti utilizzano password deboli e popolari come "password" o "12345". La salatura riduce il rischio derivante da password deboli.
Per rendere unici gli hash delle password
Il salting è importante anche quando due o più utenti hanno le stesse password. L'aggiunta di diversi sali casuali a ciascuna password aiuta a renderle uniche. Ad esempio, se la tua password è iL0veCh3ese! e un altro utente, Chioma, ha quella password esatta, il salting viene utilizzato per rendere unici gli hash delle password.
| Parola d'ordine | Valore del sale | Password salata | MD5 Hash | |
| Voi | iL0veCh3ese! | Am4la! | iL0veCh3ese! Am4la! | 31fda55ee57bc4c49ef6e0c99b0ba904 |
| Chioma | iL0veCh3ese! | ew3du? | iL0veCh3ese!ew3du? | cf0bea59647ba39e058a20c14fc10b0d |
Ora queste password, sebbene le stesse, hanno hash completamente diversi. Quando guardi gli hash, non sarai mai in grado di riconoscere che i due utenti condividono una password.
La scelta di un buon sale
Scegliere un buon sale è importante quanto scegliere una password. Un buon sale deve essere unico. Assicurati di utilizzare caratteri e/o simboli unici che renderebbero il tuo hash più sicuro. Il sale o i sali che scegli per il tuo sito Web non dovrebbero essere prevedibili o facilmente intuibili, come il nome del sito o dell'utente. Un altro vantaggio aggiunto è l'uso di sali lunghi.
Il modo migliore per scegliere un sale unico e forte è utilizzare generatori di valore del sale. Questi ti aiutano a creare sali casuali e forti per aumentare la tua sicurezza.
Non archiviare i salt insieme al database delle password e non utilizzare gli stessi salt per tutte le password. Un altro buon consiglio per la salatura è cambiare il sale ogni volta che un utente cambia la propria password.
La salatura è efficace per aumentare la sicurezza?
Sì. La salatura aumenta la sicurezza di una password. Quando si sale una password, è impossibile per un hacker decifrare una password utilizzando le tabelle dei dizionari o le tabelle arcobaleno. Anche la forzatura bruta della password con hash è inutile perché ci vorrebbe molto tempo prima che venga trovata la combinazione perfetta dell'hash. In questo modo, le password sono più sicure e più sicure dagli hacker.
Gli 8 trucchi più comuni utilizzati per hackerare le password
Leggi Avanti
Argomenti correlati
- Sicurezza
- Suggerimenti per la password
- Sicurezza in linea
- Crittografia
- Sicurezza informatica
Circa l'autore
Chioma è una scrittrice tecnica che ama comunicare ai suoi lettori attraverso la sua scrittura. Quando non scrive qualcosa, può essere trovata in giro con gli amici, fare volontariato o provare nuove tendenze tecnologiche.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti