در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

آیا مدیر وب سایت به پسوردهای شما دسترسی دارد؟

یکی از سئوالاتی که در طی سالیان سال فعالیت در سازمان های مختلف و البته مدیریت وب سایت ITPRO کاربران از من می پرسیدند این بود که آیا شما می توانید پسوردها یا همان رمزهای عبور ( گذرواژه) را ببینید ؟ خوب اگر اینطور باشد ما احساس امنیت نمی کنیم و حریم خصوصی ما زیر سئوال می رود و به همین خاطر از عضویت در وب سایت شما خودداری می کنیم !!

از طرفی کاربران شبکه نیز همیشه به چشم یک جاسوس که به همه پسوردهای شما دسترسی دارد به شما نگاه می کنند ، اما آیا واقعا مدیر سیستم می تواند به پسوردهای شما دسترسی داشته باشد ؟ امروز می خواهم کمی خیال شما را بابت این موضوع راحت کنم که مکانیزم ذخیره سازی استاندارد پسوردها در اکثر سیستم ها به نحوی است که این اجازه را حتی به مدیر وب سایت و سیستم نمی دهد که بتواند پسورد شما را مشاهده کند ، پس با ما باشید.

نحوه نگهداری پسورد در وب سایت

شما زمانیکه در یک وب سایت ثبت نام می کنید یا در شبکه سازمانی خودتان پسوردتان را تغییر می دهید ، این پسورد با استفاده از یک الگوریتم رمزنگاری یک طرفه تبدیل به یک رشته با طول ثابت می شود که به آن در اصطلاح فنی Hash گفته می شود. به زبان ساده تر شما چه پسوردی با طول صدها کاراکتر چه پسوردی به طول یک کاراکتر داشته باشید ، زمانیکه پسورد در پایگاه داده سیستم ذخیره می شود در قالب یک رشته مثلا 100 کاراکتری ذخیره می شود که رمزنگاری شده و غیرقابل فهم برای انسان می باشد.

بنابراین در وهله اول هیچگاه پسورد شما در قالب چیزی که شما می بینید در سیستم ذخیره نمی شود که مدیر سیستم بتواند با باز کردن آن به محتویات پسوردها دسترسی پیدا کند و اون نیز فقط پسوردها را در قالب رمزنگاری شده مشاهده می کند. اما سئوال دیگر ممکن است اینگونه باشد که آیا مدیر سیستم یا برنامه نویس وب سایت می تواند کاری کند که پسوردها رمزنگاری نشوند و در قالب پسورد خام نگهداری شوند تا برایش قابل مشاهده باشند یا خیر ؟

پاسخ به این سئوال مثبت است اما هیچوقت و تاکید می کنم که هیچوقت هیچ مدیر سیستم و برنامه نویسی چنین ریسک بزرگی را نمی کند زیرا به کلی امنیت سیستم زیر سئوال می رود. همانطور که شما به عنوان کاربر نگران دسترسی پیدا کردن مدیر سیستم و وب سایت به پسوردهای خودتان هستید یک مدیر سیستم نیز نگران افشاء شدن و منتشر شدن پسوردها و نقض شدن حریم خصوصی کاربران و از همه مهمتر از بین رفتن اعتبار وب سایت خودش است و به همین دلیل به هیچ عنوان برای اینکه خودش بتواند به پسوردها دسترسی داشته باشد چنین کاری را نخواهد کرد مگر اینکه وب سایت مورد نظر بسیار سطح پایین و بی اعتبار باشد.

اما سئوال بعدی این است که با توجه به قاعده نگهداری پسوردها در قالب رمزنگاری Hash بنابراین اگر پسوردی با پسورد دیگر مشابه باشد Hash آنها نیز یکسان است و این ممکن است باعث شود که کاربرانی با پسوردهای مشابه در سیستم شناسایی شوند و با به دست آمدن پسورد یکی از آنها پسورد تعداد زیادی از کاربران افشاء شود !!! این درست است ؟

کاربرد Salt در عملیات Hashing

نحوه ذخیره سازی پسوردها

پاسخ این سئوال هم مثبت است اما نه همیشه ، بر اساس مکانیزم رمزنگاری یکطرفه Hash شما همیشه پسوردهای مشابه را به یک شکل رمزنگاری شده مشاهده می کنید یعنی پسورد 123 یک کاربر اگر برای 100 کاربر 123 باشد شما 100 عدد رشته Hash مشابه در پایگاه داده بصورت ذخیره شده دارید و این یعنی با بدست آمدن و افشاء شدن پسورد تنها یکی از این کاربران 100 کاربر رسما هک شده اند !!!

برای جلوگیری از به وجود آمدن این مشکل نیز راهکاری ارائه شده است که زمانیکه پسوردی تبدیل به Hash می شود قبل از ذخیره با یک رشته تصادفی در اصطلاح فنی ترکیب می شود و محتوای متفاوتی نسبت به سایر پسوردهای مشابه پیده می کند ، حتی جالب است بدانید که شما با تغییر پسورد نیز hash متفاوتی دریافت خواهید کرد و این مکانیزم امنیتی باعث می شود که هیچگاه شما در این پایگاه داده Hash مشابهی نداشته باشید. بنابراین آسوده خاطر باشید و با خیال راحت پسوردهای خودتان را در وب سایت ها و سرویس های معتبر تغییر و استفاده کنید. امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید

نویسنده : محمد نصیری

منبع : جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

#hashing_چیست #دسترسی_به_پسوردها_توسط_مدیر #روش_نگهداری_پسورد_در_وب_سایت #نحوه_ذخیره_سازی_پسوردها #salt_چیست؟ #مفهوم_salt_در_hashing #بالابردن_امنیت_پسورد #نحوه_نگهداری_پسورد_در_سرور #مکانیزم_نگهداری_پسورد
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....