در این مقاله میخوایم ببینیم pepper و salt در رمزنگاری چی هستن و تفاوت های بینشونو بررسی کنیم
بریم توی اشپزخونه و با فلفل و نمک یکم رمزنگاری کنیم 😁
در وهله اول این پیشنیاز رو بگم که پسورد ها باید به صورت هش ذخیره بشن که وقتی مهاجم به سیستم دسترسی گرفت نتونه پسورد رو راحت بخونه و بفهمه ، حالا یه مشکلی داریم ، اگر پسورد دوتا کاربر ها یکسان باشه و یه مهاجم بخواد هش هارو بفهمه و حمله کنه ، موقع Brute Force یکی از پسورد هارو بتونه کشف کنه، پسوردی که کشف شده برای دوتا کاربر هست و انگار دوتا پسورد دوتا کاربر درامده
برای مثال به این پسورد ها دقت کنید ، مثلا پسورد دوتا از کاربر ها اناناسه (Pineapple) و اون هش اگر موقع حمله در بیاد ، وقتی میبینن عه این هش دوبار تکرار شده میفهمن که دوتا پسورد یکسان بوده و انگار دوتا کاربر رو هک کردن
برای حل این مشکل Pepper اختراع شد ، Pepper یک مقداریه که در Application Code تعریف میشه و ثابته و بعد پسورد وارد میشه و موقع هش گرفتن از Pepper بعلاوه اون پسورد هش گرفته میشه
برای مثال ما اینجا عبارت "PT0s!NsO9" رو به عنوان Pepper داریم ، این عبارت مقدار ثابتیه و فایده ای که داره اینه که مهاجم وقتی میبینه که عه یه هش دوبار تکرار شده و میخواد با حملات Brute Force مقدار اون هشو در بیاره تا عبارت Pepper رو نداشته باشه نمیتونه ، یعنی مهاجم حتما باید عبارت Pepper رو داشته باشه تا با اون عبارت و پسورد بیاد حمله Brute Force رو انجام بده تا هش گرفته شده مطابق چیزی که میبینید در بیاد
چون عبارت Pepper یک عبارت ثابتیه ، اگر کشف بشه امنیت به خطر میفته ، پس چیکار کنیم ؟ میاییم و برای هر کاربر یه مقدار تصادفی انتخاب میکنیم که با اون هش گرفته بشه و این عبارت چون رندوم و تصادفی انتخاب میشه و یکسان نیست و از الگوی خاصی پیروی نمیکنه ، حدث زدن و پیدا کردنش غیر ممکنه ، اینجاست که Salt میاد وسط :
به عبارات بالا دقت کنید ، دوتا کاربر پسورد یکسان که عبارت "Pineapple" هست رو وارد کردن ، عبارت Pepper در پسوند امده و یه مقدار 12 کاراکتری تحت عنوان Salt وارد شده که برای هر کاربر متفاوته و رندومه ، حالا وقتی از Password + Pepper + Salt هش گرفته بشه احتمال کرک کردنش حتی ممکنه به 0 برسه (منظور اینه واسه کرک این عبارت باید 100 سال زمان صرف بشه)
پس به صورت خلاصه :
عاشق امنیت و نفوذ ، رد تیم و دوستدار بزن بکش :)
کارشناس تست نفوذ سنجی ، علاقه مند به امنیت تهاجمی و رد تیمینگ | عضو انجمن بین المللی ورزش های رزمی کشور آلمان و دارای احکام بین المللی و داخلی کمربند مشکی در سبک های کیوکوشین ، هاپکیدو ، کیک بوکسینگ و چند تام قهرمانی کشوری
زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18
فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود