正確安全地存儲密碼的挑戰

store passwords correctly safely

恢復對在線帳戶的訪問權限的過程可能非常麻煩。有時,您需要與支持代理聯繫,支持代理會在您最終為您提供鏈接之前向您詢問各種問題,並為您的帳戶創建新密碼。

但是,對於某些服務(不是太多),恢復密碼很簡單。您單擊忘記密碼按鈕,計算機或個人會向您發送一封電子郵件,其中包含您忘記的密碼。對於像這樣工作的系統來說,你可能會感到很滿意。確實很方便。但是,您可能沒有意識到,所述系統正以極不安全的方式處理您的密碼。

首先,電子郵件不是最安全的通信形式。也有例外,但大多數主流電子郵件提供商不會對郵件中的信息進行加密,這意味著它可能在傳輸過程中被盜。這不是唯一的問題。

密碼以純文本形式發送給您的事實意味著它也可能以純文本形式存儲。這意味著,如果黑客得到它,那將沒有什麼可以阻止他們接管你的帳戶。您的密碼也可能以加密形式存儲,但這也不是一個好習慣。如果它是加密的, 則可以使用可能暴露的密鑰對其進行解密 。而且你永遠不知道一個心懷不滿的員工什麼時候會決定你是他們不快樂的原因。

因此,服務提供商不應以明文形式存儲您的密碼,也不應加密它們。那麼,保持它們安全的正確方法是什麼呢?

負責任的服務提供商如何存儲您的密碼?

網站所有者應該使用的數學運算稱為哈希。哈希函數將您的密碼轉換為不可讀的字符串(稱為哈希值,或簡稱為哈希),與實際密碼沒有視覺上的相似之處。例如,如果您使用SHA1散列算法(它是一種非常安全的舊算法,但我們將其用於說明目的),則“密碼”的散列值為“5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8”。然後將哈希值存儲在數據庫中,並與您在登錄時輸入的密碼的哈希值進行比較。

加密也會將您的密碼變成難以辨認的字符串,但是,如果存在解密密鑰,加密的密碼可以很容易地轉回到純文本中。 Hashing應該是單向操作,這意味著如果哈希算法足夠好,即使在強大的硬件上運行的自動化工具也需要花費大量時間來破解哈希並檢索密碼。因此, 不滿意的員工和黑客都無法看到您的密碼

問題是,相同的密碼在同一算法下產生相同的散列,並且因為有很多人使用“123456”來保護他們的帳戶 ,所以可以根據散列猜測密碼。這就是服務提供商也應該為您的密碼加鹽的原因。有效節省意味著他們在對密碼進行散列之前將一串字符(例如“QxLUF1bgIAdeQX”)添加到密碼的末尾. 每個用戶都應該獲得他們自己獨特的鹽,這意味著即使你的密碼與你的鄰居的密碼相同,哈希也會完全不同。這並不意味著使用普通或簡單的密碼是好的,但正確的散列和醃製確實使黑客的工作更加困難。

當然,除此之外還有更多內容,但您剛剛閱讀的內容有希望讓您基本了解網站所有者和服務提供商在設置身份驗證系統時應採取的步驟。可悲的是,在線帳戶日復一日受到損害這一事實意味著並非所有人都堅持這些基本的安全原則。不幸的是,你無能為力。

一旦您將密碼提供給網站,您就會信任其背後的人,以確保您的數據安全。你無法控制下一步會發生什麼。但是,您可以控制的是如何存儲自己的密碼。

你應該如何存儲密碼?

顯然,將它們保存在Microsoft Office文檔中不是一種選擇。風險太大,將密碼寫在黃色紙上並粘貼在顯示器上也是如此。哈希也是不可能的。即使您擁有這樣的工具和知識,您也需要能夠使用您的密碼。

那麼,加密是你最好的選擇。數據不以簡單形式提供,但是,只要您需要,您就可以使用它。

Cyclonis密碼管理器為您提供了一種方便的方法。首先,它使用AES-256加密您的數據,AES-256是來自世界各地的金融和軍事組織使用的加密算法。解密只能使用您的主密碼,因為只有您能夠看到您的數據,Cyclonis Password Manager才會以任何方式存儲或傳輸您的主密碼。

這是一個擁有你的蛋糕和吃它的場景。您的密碼遠離窺探,但是,當您需要它們時,您可以使用它們。最重要的是,Cyclonis密碼管理器是完全免費的。

May 23, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
9 + 5是什麼?