哈希与加密:有什么区别?
网站或应用如何知道您输入的密码正确?好吧,很容易假设系统会查看您编写的内容,然后将其与文件中的内容进行比较。或多或少这确实是现代在线认证的工作原理。然而,还有一个额外的步骤,并且,通常情况下,它可以在保持安全和暴露之间产生差异。
我们注册的网站的任务是尽一切可能让坏人远离我们的账户。众所周知,坏人可以进入的唯一方法是通过我们的密码。密码需要以某种方式存储,这可能是一个问题,因为如果它们以简单的形式保留并且黑客到达它们,那么一些复制粘贴将是妥协一些帐户所需的全部。如果你足够勤奋地知道你不记得你需要使用的所有唯一密码并且你决定以数字方式存储它们,那么你将面临一个完全相同的问题。你永远无法知道一件恶意软件何时会窃取所有我的密码.xlsx。
Table of Contents
密码学得到了拯救
加密和散列都是加密过程。它们将“mysecretpassword”(顺便使用的可怕密码)转换为存储在数据库中的不合格字符串。下次登录时,“mysecretpassword”会经历相同的过程,并将生成的字符串与数据库中的字符串进行比较。关键的一点是,如果黑客以某种方式获取存储的字符串并将其粘贴到密码字段中,它将无法工作。
那么,散列和加密密码之间的区别是什么?
这很简单:使用散列,您无法将散列值(散列后获得的字符串)恢复为纯文本,而使用加密,您可以使用可以反转过程的密钥。让我们深入研究一些细节。
哈希:万维网的解决方案
这是你应该记住的事情。您使用的在线服务提供商及其员工不应该看到您的密码。如果他们通过电子邮件发送给您,或者他们通过电话或实时聊天请求,这意味着您的密码不会被散列,因此不会安全存储。
如果您正在构建在线服务,那么哈希真的是唯一的出路。正如我们已经提到的,这是一个单向过程,这意味着如果它被正确实现,黑客绝对无法获得用户的明文密码,即使他们确实获得了数据库。
不同的人创建不同的密码。许多人使用简单,易于猜测的键盘模式和单词,而其他人依赖长而看似随机的密码短语 。散列的一个显着特点是,在它们被散列之后,“abc123”和“correcthorsebatterystaple”的散列值将完全相同,这意味着黑客绝对无法知道它们是什么。但是有一些陷阱。
世界在不断发展,几年前发生的事情已经不复存在了. 以同样的方式,曾经被认为是安全的哈希算法长期以来一直被谴责为“坏主意”类别。对于你应该使用哪种算法的问题,没有确凿的答案,但大多数专家都同意bcrypt和scrypt是你应该选择的。即使是最强大的哈希算法也可能不足以保护用户。
黑客已经开发了一种蛮力攻击的变种,它使用了所谓的彩虹表。彩虹表通常比传统的暴力尝试更受欢迎,因为虽然典型的表重量为几十千兆字节,但它尝试预先计算的哈希值而不是明文密码,这使得破解过程更快。
仅依赖于散列的另一个问题是它们中的许多使用相同的密码。相同散列算法下的相同密码产生相同的散列值。
为了打败彩虹表攻击并绕过用户不太理想的密码创建习惯,密码学家使用腌制。 Salting表示在对其进行哈希处理之前,会在密码中添加唯一的字符串。因此,系统永远不会为两个相同的密码存储两个相同的哈希值,并且因为黑客不能只猜测盐的含量,他们不能使用彩虹表来恢复普通密码。
当然,如果它们不合理地长,并且至关重要,它们是独一无二的,它们将无济于事。阻止骗子抓住他们也是非常重要的。总而言之,存储其他人的密码并非易事。但是如何存储自己的登录数据呢?
加密:保护个人信息安全的方法
显然,保护其他人的数据是一项巨大的责任,但这并不意味着您应该忽略自己的登录凭据。正如您现在可能知道的那样,您的密码必须冗长,复杂且至关重要。记住如此多的密码是不可能的,这意味着您必须考虑存储解决方案。
将它们粘贴在文本文件中并不是一个好主意,但它们也不会散列它们。您需要一个双向进程,在大多数情况下让它们进行模糊处理,同时让您在需要时访问它们。这就是加密的地方。
如果您在密码的加密版本旁边放置一个哈希值,您可能会对哪个是哪个很困惑。它们看起来像捆绑在一起的随机字符,它们都与实际密码没有任何相似之处。不同之处在于密码如何变成随机字符串。这种差异还允许将加密数据恢复为其原始格式。
加密使用密钥来加密信息,众所周知,密钥既可以锁定也可以解锁。使用散列,没有密钥,因此无法获取原始密码。
再次,如果加密是安全的,则需要正确完成。选择正确的算法至关重要,因此确保解密数据的密钥得到适当保护。
如果您的服务器需要保存成千上万用户的登录数据,同时确保一切顺利运行,那么这并不容易实现。这就是为什么安全专家说在线服务提供商应该坚持散列。幸运的是,如果涉及您的个人数据,您可以使用可以帮助您安全加密密码的工具。
例如,Cyclonis Password Manager使用AES-256来加扰您的用户名,密码和其他个人信息. 使用您选择的主密码,它会创建一个永远不会传输到我们服务器的加密密钥。
除了加密您的敏感数据外,Cyclonis Password Manager还提供了许多功能,可以让您的生活更加便捷。例如,Cyclonis Password Manager Wallet可以比您的登录数据节省更多。付款详细信息,个人资料信息和私人笔记都可以在您的保险库中进行组织,并且由于浏览器扩展,所有这些都将在您需要时随时可用。
单击此处以了解有关Cyclonis Password Manager的更多信息。
