哈希與加密:有什麼區別?

Hashing vs. Encryption

網站或應用如何知道您輸入的密碼正確?好吧,很容易假設系統會查看您編寫的內容,然後將其與文件中的內容進行比較。或多或少這確實是現代在線認證的工作原理。然而,還有一個額外的步驟,並且,通常情況下,它可以在保持安全和暴露之間產生差異。

我們註冊的網站的任務是盡一切可能讓壞人遠離我們的賬戶。眾所周知,壞人可以進入的唯一方法是通過我們的密碼。密碼需要以某種方式存儲,這可能是一個問題,因為如果它們以簡單的形式保留並且黑客到達它們,那麼一些複製粘貼將是妥協一些帳戶所需的全部。如果你足夠勤奮地知道你不記得你需要使用的所有唯一密碼並且你決定以數字方式存儲它們,那麼你將面臨一個完全相同的問題。你永遠無法知道一件惡意軟件何時會竊取所有我的密碼.xlsx。

密碼學得到了拯救

加密和散列都是加密過程。它們將“mysecretpassword”(順便使用的可怕密碼)轉換為存儲在數據庫中的不合格字符串。下次登錄時,“mysecretpassword”會經歷相同的過程,並將生成的字符串與數據庫中的字符串進行比較。關鍵的一點是,如果黑客以某種方式獲取存儲的字符串並將其粘貼到密碼字段中,它將無法工作。

那麼,散列和加密密碼之間的區別是什麼?

這很簡單:使用散列,您無法將散列值(散列後獲得的字符串)恢復為純文本,而使用加密,您可以使用可以反轉過程的密鑰。讓我們深入研究一些細節。

哈希:萬維網的解決方案

這是你應該記住的事情。您使用的在線服務提供商及其員工不應該看到您的密碼。如果他們通過電子郵件發送給您或者他們通過電話或實時聊天請求,這意味著您的密碼不會被散列,因此不會安全存儲。

如果您正在構建在線服務,那麼哈希真的是唯一的出路。正如我們已經提到的,這是一個單向過程,這意味著如果它被正確實現,黑客絕對無法獲得用戶的明文密碼,即使他們確實獲得了數據庫。

不同的人創建不同的密碼。許多人使用簡單,易於猜測的鍵盤模式和單詞,而其他人依賴長而看似隨機的密碼短語 。散列的一個顯著特點是,在它們被散列之後,“abc123”和“correcthorsebatterystaple”的散列值將完全相同,這意味著黑客絕對無法知道它們是什麼。但是有一些陷阱。

世界在不斷發展,幾年前發生的事情已經不復存在了. 以同樣的方式,曾經被認為是安全的哈希算法長期以來一直被譴責為“壞主意”類別。對於你應該使用哪種算法的問題,沒有確鑿的答案,但大多數專家都同意bcrypt和scrypt是你應該選擇的。即使是最強大的哈希算法也可能不足以保護用戶。

黑客已經開發了一種蠻力攻擊的變種,它使用了所謂的彩虹表。彩虹表通常比傳統的暴力嘗試更受歡迎,因為雖然典型的表重量為幾十千兆字節,但它嘗試預先計算的哈希值而不是明文密碼,這使得破解過程更快。

僅依賴於散列的另一個問題是它們中的許多使用相同的密碼。相同散列算法下的相同密碼產生相同的散列值。

為了打敗彩虹表攻擊並繞過用戶不太理想的密碼創建習慣,密碼學家使用醃製。 Salting表示在對其進行哈希處理之前,會在密碼中添加唯一的字符串。因此,系統永遠不會為兩個相同的密碼存儲兩個相同的哈希值,並且因為黑客不能只猜測鹽的含量,他們不能使用彩虹表來恢復普通密碼。

當然,如果它們不合理地長,並且至關重要,它們是獨一無二的,它們將無濟於事。阻止騙子抓住他們也是非常重要的。總而言之,存儲其他人的密碼並非易事。但是如何存儲自己的登錄數據呢?

加密:保護個人信息安全的方法

顯然,保護其他人的數據是一項巨大的責任,但這並不意味著您應該忽略自己的登錄憑據。正如您現在可能知道的那樣,您的密碼必須冗長,複雜且至關重要。記住如此多的密碼是不可能的,這意味著您必須考慮存儲解決方案。

將它們粘貼在文本文件中並不是一個好主意,但它們也不會散列它們。您需要一個雙向進程,在大多數情況下讓它們進行模糊處理,同時讓您在需要時訪問它們。這就是加密的地方。

如果您在密碼的加密版本旁邊放置一個哈希值,您可能會對哪個是哪個很困惑。它們看起來像捆綁在一起的隨機字符,它們都與實際密碼沒有任何相似之處。不同之處在於密碼如何變成隨機字符串。這種差異還允許將加密數據恢復為其原始格式。

加密使用密鑰來加密信息,眾所周知,密鑰既可以鎖定也可以解鎖。使用散列,沒有密鑰,因此無法獲取原始密碼。

再次,如果加密是安全的,則需要正確完成。選擇正確的算法至關重要,因此確保解密數據的密鑰得到適當保護。

如果您的服務器需要保存成千上萬用戶的登錄數據,同時確保一切順利運行,那麼這並不容易實現。這就是為什麼安全專家說在線服務提供商應該堅持散列。幸運的是,如果涉及您的個人數據,您可以使用可以幫助您安全加密密碼的工具。

例如,Cyclonis Password Manager使用AES-256來加擾您的用戶名,密碼和其他個人信息. 使用您選擇的主密碼,它會創建一個永遠不會傳輸到我們服務器的加密密鑰。

除了加密您的敏感數據外,Cyclonis Password Manager還提供了許多功能,可以讓您的生活更加便捷。例如,Cyclonis Password Manager Wallet可以比您的登錄數據節省更多。付款詳細信息,個人資料信息和私人筆記都可以在您的保險庫中進行組織,並且由於瀏覽器擴展,所有這些都將在您需要時隨時可用。

單擊此處以了解有關Cyclonis Password Manager的更多信息。

April 30, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
4 + 3是什麼?