पासवर्ड को कैसे स्टोर और वेरिफाई करें?

  • स्टोर करने का सही तरीका
  • क्यों हैश?
  • नमक का उपयोग क्यों?
  • लॉगिन क्यों जोड़ें?
  • सत्यापन

यदि आप एक एप्लिकेशन विकसित करते हैं जो पासवर्ड का प्रबंधन करता है, तो आपके सिस्टम की चोरी के जोखिम को कम करने और अपने डेटा उपयोगकर्ताओं से समझौता करने के लिए ऐसा करना महत्वपूर्ण है।

पासवर्ड स्टोर करने के लिए अच्छा अभ्यास है।

स्टोर करने का सही तरीका

लॉगिन और हैश को स्टोर करें (लॉगिन + पासवर्ड + नमक)

छद्म कोड: पासवर्डहश = MD5MD5 (लॉगिन + "zo5pro $ 1pvkhj6 * cz4a8ùtvb # ui4oeuio" + पासवर्ड)

स्टोर और पासवर्डहैश लॉगिन करें। पासवर्ड स्टोर न करें।

क्यों हैश?

हमें कभी भी क्लियर टेक्स्ट में पासवर्ड स्टोर नहीं करना चाहिए।

  • जोखिम: यदि कोई आपके पासवर्ड के डेटाबेस में विघटित होता है, तो यह सीधे उन्हें पुनः प्राप्त और उपयोग कर सकता है।
  • सुरक्षा: हैश पासवर्ड के एक फिंगरप्रिंट की गणना करने के लिए उपयोग किया जाता है। जैसा कि एल्गोरिथ्म प्रतिवर्ती नहीं है, यह तुरंत हैश से पासवर्ड नहीं ढूंढ सकता है।
  • यही कारण है कि हम एक क्रिप्टोग्राफिक हैश का उपयोग करते हैं। आमतौर पर MD5, SHA-1 या अन्य (SHA-256, SHA-512 ...)
  • कभी भी CRC या CRC32 का उपयोग न करें।

नमक का उपयोग क्यों?

इंद्रधनुष-टेबल बड़े टेबल होते हैं जिनमें हैश (एमडी 5, और अन्य) प्री-कॉम्पट्यूट होते हैं।

यह आपको एक विशिष्ट हैश देने वाले पासवर्ड को जल्दी से खोजने की अनुमति देता है।

जोखिम : यदि आप एमडी 5 (पासवर्ड) का उपयोग करते हैं, तो इंद्रधनुष-तालिकाओं को एमडी 5 मिनट, यहां तक ​​कि सेकंड में पासवर्ड को पुनर्प्राप्त करने की अनुमति मिलती है।

संरक्षण : एक नमक का उपयोग करना, यह इंद्रधनुष-तालिकाओं को पूरी तरह से अनावश्यक बनाता है।

नमक एक मनमाना मूल्य है, आपकी पसंद की लंबाई। इसे अपने एप्लिकेशन में एक स्थिरांक के रूप में सेट करें।

लॉगिन क्यों जोड़ें?

यदि आप एमडी 5 (सॉल्ट + पासवर्ड) या एमडी 5 (पासवर्ड) स्टोर करते हैं, तो इसका मतलब है कि एक ही पासवर्ड वाले दो उपयोगकर्ताओं के पास एक ही एचएच होगा।

  • जोखिम: आप उपयोगकर्ताओं को समान पासवर्ड से आसानी से पहचान सकते हैं। यदि कोई उपयोगकर्ता समझौता करता है, तो यह अन्य उपयोगकर्ताओं (जिनके पास अधिक अधिकार हो सकता है) तक तत्काल पहुँच की अनुमति देता है।
  • सुरक्षा: हैशर से पहले लॉगिन जोड़कर, एमडी 5 परिणाम प्रत्येक उपयोगकर्ता के लिए अलग-अलग होगा, भले ही उनके पास एक ही पासवर्ड हो।

सत्यापन

जब आप लॉगिन और पासवर्ड प्राप्त करते हैं, तो आप बस उसी गणना को दोहराते हैं:

  • इस लॉगिन के लिए हैश के लिए, अपने आधार में देखें
  • हैश मान (लॉगिन + नमक + पासवर्ड) की तुलना करें
  • यदि दो हैश समान हैं, तो दर्ज पासवर्ड सही है।

इस टिप के लिए sebsauvage का धन्यवाद।

पिछला लेख अगला लेख

शीर्ष युक्तियाँ