Peppering non è solo una parola legata alle abilità culinarie; è anche un importante processo di crittografia nella sicurezza delle password. È essenziale che le password siano mantenute al sicuro dagli attacchi degli hacker. Peppering aiuta a farlo. Che cos'è il peppering e in che modo aiuta a proteggere le tue password?
Che cos'è il peperoncino?
Il Peppering è un processo crittografico che comporta l'aggiunta di una stringa di caratteri segreta e casuale a una password prima che venga salata e sottoposta a hash per renderla più sicura. La stringa di caratteri aggiunta alla password è chiamata pepe. Il pepe cambia completamente l'hash di una password e lo rende immune attacchi di forza bruta e cracking delle password utilizzando le tabelle del dizionario e le tabelle arcobaleno.
Come funziona il peperoncino?
Peppering è un ulteriore livello di sicurezza aggiunto alle password. Pensalo come condimenti diversi su una torta. La torta semplice è una password in chiaro e l'hashing è il condimento finale, diciamo gli spruzzi. Se metti gli zuccherini direttamente sulla torta, non starebbe molto bene. È lo stesso con la sicurezza della password.
Il solo hashing di una password non è sicuro perché la password può essere facilmente decifrata. Ecco perché gli altri condimenti, sale e pepe (ironicamente), rendono la torta migliore, come fanno con le password
Quindi cosa significa in realtà per una password essere hash? L'hashing è un processo di crittografia unidirezionale nella crittografia. Le password con hash sono fondamentalmente criptate e invece di memorizzare le password in chiaro in un database, gli hash vengono archiviati. Quando inserisci la tua password, viene eseguita l'hashing e quindi confrontata con la password hash nel database. È così che il sistema convalida la tua identità.
Proprio come la salatura, viene aggiunto un peperone a una password per renderla più sicura. Quindi una password viene trasformata da semplice password in testo semplice all'hash di password+sale+pepe. Quindi, nel caso in cui un hacker ottenga l'accesso ai sali e/o anche alle password degli utenti, l'hacker non sarebbe in grado di decrittografare la password con hash perché il pepper cambia completamente l'hash.
Ad esempio, confronta l'hash di una password semplice, una password salata e una password pepata. Lascia che la password sia "1yAm0r1a!", il sale "eW3dU%" e il pepe "Am41a?".
| Testo password | Password con hash | |
| Password in chiaro | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Password salata | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Password pepata | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Si può usare un peperone senza sale?
Sì, è possibile utilizzare una password senza sale. Ma questo non è l'ideale per la sicurezza della password. Se un utente malintenzionato viene a conoscenza del pepe di un sito, quel sito diventa vulnerabile agli attacchi perché il pepe viene utilizzato per tutte le password nel database.
Qual è la differenza tra pepare e salare?
In un certo senso, un pepe è un tipo di sale. Entrambi rendono le password più sicure, ma sono diverse. A differenza dei sali, i peperoni sono segreti, statici e non generati casualmente.
I peperoni non vengono generati casualmente
Quando accedi a un sito Web e inserisci la tua password, prima che venga eseguito l'hashing, viene generato casualmente un salt per te. Questo non è lo stesso con il peperoncino.
Nel peppering, il proprietario del sito sceglie il pepe. Il proprietario del sito ha il compito di garantire che il pepe scelto sia sicuro e sufficientemente forte. Naturalmente, il proprietario del sito può scegliere di utilizzare un generatore di valori casuali per scegliere un peperone.
I peperoni sono statici
Quando qualcosa è statico, significa che non cambia. Nella salatura, ogni sale viene generato per ogni utente nel database. Ma un pepe viene utilizzato in tutto il database. Non ci sono peperoni per i singoli utenti.
I peperoni sono tenuti segreti
A differenza dei sali che si trovano nel database di un sito, i peperoni sono segreti. Non vengono memorizzati nel database insieme ai sali e agli hash; ciò renderebbe i peperoni inutili.
Al contrario, i peperoni vengono archiviati in una parte sicura e separata dell'applicazione del sito. Questo è importante perché nel caso in cui un hacker comprometta un sito e ottenga l'accesso alle password e sale di utenti su quel sito, non sarebbero in grado di decifrare alcuna password perché non conoscono il Pepe.
La scelta di un buon peperone
La scelta di un buon peperone lo è importante quanto la scelta di una buona password. Proprio come le password, i peperoni dovrebbero essere ragionevolmente lunghi e unici. Ricorda che in tutto il sito viene utilizzato un peperone; se un hacker forza bruta o indovina il pepe, il tuo sito sarebbe vulnerabile. Non usare il nome del tuo sito come un peperone. È l'equivalente di usare "Password123" come password.
Un'altra alternativa è utilizzare un generatore di password. Ci sono molti generatori di password online che potrebbero essere usati per scegliere un buon peperoncino.
Un altro metodo per pepare è quello di non conservare affatto il pepe. Invece, il pepe è una stringa breve e quando un utente accede al sito, il sistema forza bruta o esegue una serie di possibili peperoni fino a quando non viene utilizzato quello giusto. Questo richiede più tempo, quindi è necessario utilizzare un peperone corto.
Un esempio facile ma non sicuro di questo metodo è rendere il pepe in ordine alfabetico. Quando accedi, il sito scorre ogni lettera dell'alfabeto, minuscolo e maiuscolo, finché il pepe non è corretto.
Sebbene sia tipico utilizzare un peperone in un sito, è possibile averne più di uno alla volta. Un peperone viene assegnato casualmente a un utente al momento della registrazione da un gruppo di peperoni. Quando quell'utente accede, ogni pepe viene provato fino a quando non viene scelto quello assegnato a quell'utente.
Peppering è efficace per aumentare la sicurezza?
Sì. Quando un pepe viene utilizzato con un sale, è incredibilmente difficile per un hacker decifrare la password di un utente. Anche quando gli utenti utilizzano password deboli o le stesse password, un hacker non lo saprebbe mai perché il pepe cambia l'hash. Con il peppering, la sicurezza delle password è notevolmente aumentata.
7 errori di password comuni che potrebbero farti hackerare
Leggi Avanti
Argomenti correlati
- Sicurezza
- Sicurezza in linea
- Sicurezza informatica
Circa l'autore
Chioma è una scrittrice tecnica che ama comunicare ai suoi lettori attraverso la sua scrittura. Quando non scrive qualcosa, può essere trovata in giro con gli amici, fare volontariato o provare nuove tendenze tecnologiche.
Iscriviti alla nostra Newsletter
Iscriviti alla nostra newsletter per suggerimenti tecnici, recensioni, ebook gratuiti e offerte esclusive!
Clicca qui per iscriverti
