En uppmaning till er som driver sidor på nätet!

maj 24th, 2008 by Kristoffer Leave a reply »

Trots att det nästan dagligen skrivs om sidor som blivit hackade så fortsätter folk att spara sina lösenord i klartext. Varför? Det finns också dem som tror att det räcker att hasha lösenorden med md5 eller sha1 en gång, sen lagra dem i databasen. Vi pratar inte om några små, hobby sidor, utan stora vinstdrivande sidor som inte tycks veta bättre, eller är för lata för att skydda sina användare.

Vi lever i 2008! En tid där vilken 12-åring som helst kan knäcka ett hashat ”svensson” lösenord med hjälp av gratis mjukvaror. Det finns så kallade rainbow tables där ute som också är gratis, eller om man har tid och ork, kan skapa själv.  Hur man skyddar sig mot att få sina lösenord knäckta är väldigt simpelt. Det du behöver göra är att lagra dina lösenord hashade och saltade. Vad detta innebär är att du skapar ett slumpalt salt på x antal tecken som du sedan bakar in i hashen med lösenordet. Du sparar sedan det hashade lösenordet+saltet och saltet i databasen, så att du vid inloggning kan matcha inskrivna lösenord mot de som finns i databasen.

Detta förebygger användningen av rainbow tables eftersom varje lösenord då är unikt. Enkelt förklarat så betyder det att om användaren ”Björn” och ”Per” har samma lösenord (potatis), ser hashsträngen inte lika dan ut. Hackaren måste bygga upp en rainbow table för varje användare (om man har unika, slumpade salt)…och detta är Otroligt tidskrävande.

Detta kan man kalla det sista skyddet eftersom om hackaren har fått tag på användaruppgifterna från databasen, betyder det att han antagligen har kontroll över databasen.. eller så har du extremt dåligt skydd mot SQL-injections och korkad konstruktion på din databas.

Advertisement

Kommentera