محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

آیا مدیر وب سایت به پسوردهای شما دسترسی دارد؟ به زبان خیلی ساده

یکی از سئوالاتی که در طی سالیان سال فعالیت در سازمان های مختلف و البته مدیریت وب سایت ITPRO کاربران از من می پرسیدند این بود که آیا شما می توانید پسوردها یا همان رمزهای عبور ( گذرواژه) را ببینید ؟ خوب اگر اینطور باشد ما احساس امنیت نمی کنیم و حریم خصوصی ما زیر سئوال می رود و به همین خاطر از عضویت در وب سایت شما خودداری می کنیم !!

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

از طرفی کاربران شبکه نیز همیشه به چشم یک جاسوس که به همه پسوردهای شما دسترسی دارد به شما نگاه می کنند ، اما آیا واقعا مدیر سیستم می تواند به پسوردهای شما دسترسی داشته باشد ؟ امروز می خواهم کمی خیال شما را بابت این موضوع راحت کنم که مکانیزم ذخیره سازی استاندارد پسوردها در اکثر سیستم ها به نحوی است که این اجازه را حتی به مدیر وب سایت و سیستم نمی دهد که بتواند پسورد شما را مشاهده کند ، پس با ما باشید.


نحوه نگهداری پسورد در وب سایت


شما زمانیکه در یک وب سایت ثبت نام می کنید یا در شبکه سازمانی خودتان پسوردتان را تغییر می دهید ، این پسورد با استفاده از یک الگوریتم رمزنگاری یک طرفه تبدیل به یک رشته با طول ثابت می شود که به آن در اصطلاح فنی Hash گفته می شود. به زبان ساده تر شما چه پسوردی با طول صدها کاراکتر چه پسوردی به طول یک کاراکتر داشته باشید ، زمانیکه پسورد در پایگاه داده سیستم ذخیره می شود در قالب یک رشته مثلا 100 کاراکتری ذخیره می شود که رمزنگاری شده و غیرقابل فهم برای انسان می باشد.

بنابراین در وهله اول هیچگاه پسورد شما در قالب چیزی که شما می بینید در سیستم ذخیره نمی شود که مدیر سیستم بتواند با باز کردن آن به محتویات پسوردها دسترسی پیدا کند و اون نیز فقط پسوردها را در قالب رمزنگاری شده مشاهده می کند. اما سئوال دیگر ممکن است اینگونه باشد که آیا مدیر سیستم یا برنامه نویس وب سایت می تواند کاری کند که پسوردها رمزنگاری نشوند و در قالب پسورد خام نگهداری شوند تا برایش قابل مشاهده باشند یا خیر ؟

پاسخ به این سئوال مثبت است اما هیچوقت و تاکید می کنم که هیچوقت هیچ مدیر سیستم و برنامه نویسی چنین ریسک بزرگی را نمی کند زیرا به کلی امنیت سیستم زیر سئوال می رود. همانطور که شما به عنوان کاربر نگران دسترسی پیدا کردن مدیر سیستم و وب سایت به پسوردهای خودتان هستید یک مدیر سیستم نیز نگران افشاء شدن و منتشر شدن پسوردها و نقض شدن حریم خصوصی کاربران و از همه مهمتر از بین رفتن اعتبار وب سایت خودش است و به همین دلیل به هیچ عنوان برای اینکه خودش بتواند به پسوردها دسترسی داشته باشد چنین کاری را نخواهد کرد مگر اینکه وب سایت مورد نظر بسیار سطح پایین و بی اعتبار باشد.

اما سئوال بعدی این است که با توجه به قاعده نگهداری پسوردها در قالب رمزنگاری Hash بنابراین اگر پسوردی با پسورد دیگر مشابه باشد Hash آنها نیز یکسان است و این ممکن است باعث شود که کاربرانی با پسوردهای مشابه در سیستم شناسایی شوند و با به دست آمدن پسورد یکی از آنها پسورد تعداد زیادی از کاربران افشاء شود !!! این درست است ؟


کاربرد Salt در عملیات Hashing



نحوه ذخیره سازی پسوردها


پاسخ این سئوال هم مثبت است اما نه همیشه ، بر اساس مکانیزم رمزنگاری یکطرفه Hash شما همیشه پسوردهای مشابه را به یک شکل رمزنگاری شده مشاهده می کنید یعنی پسورد 123 یک کاربر اگر برای 100 کاربر 123 باشد شما 100 عدد رشته Hash مشابه در پایگاه داده بصورت ذخیره شده دارید و این یعنی با بدست آمدن و افشاء شدن پسورد تنها یکی از این کاربران 100 کاربر رسما هک شده اند !!!

برای جلوگیری از به وجود آمدن این مشکل نیز راهکاری ارائه شده است که زمانیکه پسوردی تبدیل به Hash می شود قبل از ذخیره با یک رشته تصادفی در اصطلاح فنی ترکیب می شود و محتوای متفاوتی نسبت به سایر پسوردهای مشابه پیده می کند ، حتی جالب است بدانید که شما با تغییر پسورد نیز hash متفاوتی دریافت خواهید کرد و این مکانیزم امنیتی باعث می شود که هیچگاه شما در این پایگاه داده Hash مشابهی نداشته باشید. بنابراین آسوده خاطر باشید و با خیال راحت پسوردهای خودتان را در وب سایت ها و سرویس های معتبر تغییر و استفاده کنید. امیدوارم مورد توجه شما قرار گرفته باشد.


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات