Étape 1: Sels et hachage
Permet d’interrompre rapidement pour expliquer pourquoi ce système fonctionne si le site Web, vous vous connectez en fait de bonnes choses. Vous savez peut-être déjà ce genre de choses. Si oui, n’hésitez pas à sauter cette étape. Si vous êtes encore confus au titre de cette étape, vous ferez vous-même une grande faveur si vous lisez cette étape et d’obtenir une compréhension de base de ce qui se passe dans les coulisses d’un site Web.
Lorsque vous créez un mot de passe via un site Web, il ne doit pas être stocké en texte brut. Il y avait un site raisonnablement de bonne réputation qui piraté quelques années en arrière. L’intrus a obtenu tous les mots de passe que ceux utilisés pour se connecter sur le site parce que les mots de passe étaient stockés au format texte brut.
Comment est-ce qu’ils devraient conserver les mots de passe qu’ils obtiennent ? Ils devraient être salés et hachés. Nous allons expliquer premier hachage.
Hachage
Il s’agit d’une opération numérique appliquée à un mot de passe. Il transforme un mot de passe de texte en une chaîne de nombres.
Par exemple : MyVoiceIsMyPassword
Sous un hash appelé « md5 » devient : 7be7c47db5818d392367c183e6f4a8f3
Tant que je convertir tous mes mots de passe entrants à un hachage md5 et uniquement stocker le hachage, il devient beaucoup plus difficile pour les méchants d’utiliser les mots de passe qu'ils sont voler. Si vous deviez casser mon site dès maintenant et regardez ce hachage, il est très difficile de le convertir dans le texte original.
Mais chaque fois que je me connecte et tapez « MyVoiceIsMyPassword », il obtient transformé en « 7be7c47db5818d392367c183e6f4a8f3 » chaque fois. Ce hachage ne change pas. Donc quand l’ordinateur va et vérifie si vous avez entré le bon mot de passe, il peut convertir mon mot de passe dans un hachage et il correspondra au hachage stocké dans la base de données.
Pouvez-vous dire si un site est hachage votre mot de passe ? Nope. Malheureusement vous ne pouvez pas, mais il est important de comprendre pourquoi ce système de mot de passe fonctionne.
Salage
En plus de hashage de mots de passe entrants, ils devraient également être salés. Un sel est une chaîne de texte qui est ajouté à tous les mots de passe entrants. Si, disons, Instructables a décidé de faire un sel de « 1n57ruc7ab135 » (qui ne serait pas très judicieux, il devrait être plus aléatoire) c’est ce que cela ressemblerait.
Par exemple : MyVoiceIsMyPassword avec un hachage de 7be7c47db5818d392367c183e6f4a8f3
Quand le salé devient : 1n57ruc7ab135MyVoiceIsMyPassword avec un hachage de 731408efd06313fe205ee18fe253a5ee
Les hachages ne sont pas les mêmes. Mais pourquoi est-ce qui est important?! ? Vous pourriez demander, et une bonne question, c’est. C’est parce que si chaque site là-bas a un sel unique, il devient excessivement difficile d’utiliser un hachage volé à un site Web pour accéder à un hachage sur un autre site.
Pouvez-vous dire si un site est salage leur mot de passe ? Nope. Encore une fois, c’est juste important pour comprendre le système présenté.