Pelanggaran keselamatan adalah lebih biasa berbanding sebelum ini, dan kata laluan selalunya merupakan pautan paling lemah dalam rantaian. Penyerang kerap menggunakan serangan kekerasan, serangan kamus dan kaedah lain untuk memecahkan kata laluan. Oleh itu, adalah penting untuk memastikan kata laluan disimpan dengan selamat dan tidak boleh dikompromi dengan mudah.
Keselamatan kata laluan yang lemah boleh menyebabkan pelanggaran data, kecurian identiti dan kerugian kewangan yang ketara. Menyimpan kata laluan dalam teks biasa, menggunakan algoritma pencincangan yang lemah atau tidak melaksanakan kawalan capaian yang betul adalah beberapa kesilapan biasa yang boleh membawa kepada akibat bencana.
Pencincangan ialah proses menukar kata laluan kepada rentetan aksara panjang tetap, yang hampir mustahil untuk direka bentuk semula. Fungsi cincang yang baik hendaklah pantas untuk dikira, menentukan, tidak boleh diterbalikkan, dan menghasilkan output unik untuk input yang berbeza.
Terdapat beberapa teknik teguh untuk menjamin kata laluan pengguna dalam pangkalan data. Bahagian berikut merangkumi teknik ini secara terperinci, bersama dengan contoh kod, tunjuk cara dan hasil.
Pengasinan ialah proses menambah data rawak pada kata laluan sebelum mencincangnya. Teknik ini memastikan bahawa walaupun dua pengguna mempunyai kata laluan yang sama, nilai cincang mereka akan berbeza, menjadikannya lebih sukar bagi penyerang untuk menggunakan jadual cincang prakiraan (jadual pelangi) untuk serangan.
Contoh Kod untuk Pengasinan dan Hashing dalam Java:
import java.security.SecureRandom; import java.security.MessageDigest; import java.util.Base64; public class PasswordSecurity { private static final String SALT_ALGORITHM = "SHA1PRNG"; private static final String HASH_ALGORITHM = "SHA-256"; public static String generateSalt() throws Exception { SecureRandom sr = SecureRandom.getInstance(SALT_ALGORITHM); byte[] salt = new byte[16]; sr.nextBytes(salt); return Base64.getEncoder().encodeToString(salt); } public static String hashPassword(String password, String salt) throws Exception { MessageDigest md = MessageDigest.getInstance(HASH_ALGORITHM); md.update(salt.getBytes()); byte[] hashedPassword = md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } public static void main(String[] args) throws Exception { String salt = generateSalt(); String hashedPassword = hashPassword("mySecurePassword123", salt); System.out.println("Salt: " + salt); System.out.println("Hashed Password: " + hashedPassword); } }
Output menunjukkan garam unik dan kata laluan cincang, menjelaskan bahawa kata laluan yang sama pun akan mempunyai cincang yang berbeza disebabkan garam yang berbeza.
Algoritma pencincangan moden seperti bcrypt, scrypt dan Argon2 direka khusus untuk menjadi intensif secara pengiraan, yang menjadikannya tahan terhadap serangan kekerasan. Algoritma ini menggunakan teknik seperti regangan kunci dan boleh ditala untuk meningkatkan kerumitannya dari semasa ke semasa.
Contoh Kod Menggunakan bcrypt dalam Java:
import org.mindrot.jbcrypt.BCrypt; public class BCryptExample { public static String hashPassword(String plainPassword) { return BCrypt.hashpw(plainPassword, BCrypt.gensalt(12)); } public static boolean checkPassword(String plainPassword, String hashedPassword) { return BCrypt.checkpw(plainPassword, hashedPassword); } public static void main(String[] args) { String hashed = hashPassword("mySecurePassword123"); System.out.println("Hashed Password: " + hashed); boolean isMatch = checkPassword("mySecurePassword123", hashed); System.out.println("Password Match: " + isMatch); } }
Kata laluan cincang ditunjukkan, dan pengesahan kata laluan berjaya, menunjukkan keselamatan dan keberkesanan bcrypt untuk pencincangan kata laluan.
Lada melibatkan penambahan kunci rahsia (dikenali sebagai lada) pada kata laluan sebelum pencincangan. Lada disimpan secara berasingan daripada kata laluan cincang dan garam, biasanya dalam kod aplikasi atau pembolehubah persekitaran, menambah lapisan keselamatan tambahan.
Strategi Pelaksanaan:
Walaupun dengan pencincangan dan pengasinan yang kuat, serangan kekerasan tetap menjadi ancaman. Melaksanakan pengehadan kadar (cth., mengehadkan bilangan percubaan log masuk) dan mekanisme kunci keluar akaun membantu mengurangkan risiko ini.
Contoh Kod untuk Kunci Akaun di Java:
import java.security.SecureRandom; import java.security.MessageDigest; import java.util.Base64; public class PasswordSecurity { private static final String SALT_ALGORITHM = "SHA1PRNG"; private static final String HASH_ALGORITHM = "SHA-256"; public static String generateSalt() throws Exception { SecureRandom sr = SecureRandom.getInstance(SALT_ALGORITHM); byte[] salt = new byte[16]; sr.nextBytes(salt); return Base64.getEncoder().encodeToString(salt); } public static String hashPassword(String password, String salt) throws Exception { MessageDigest md = MessageDigest.getInstance(HASH_ALGORITHM); md.update(salt.getBytes()); byte[] hashedPassword = md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } public static void main(String[] args) throws Exception { String salt = generateSalt(); String hashedPassword = hashPassword("mySecurePassword123", salt); System.out.println("Salt: " + salt); System.out.println("Hashed Password: " + hashedPassword); } }
Untuk memastikan keselamatan yang teguh, ikuti amalan terbaik ini:
Gunakan Garam dan Lada Yang Kuat dan Unik
Garam hendaklah unik bagi setiap kemasukan kata laluan dan dijana menggunakan penjana nombor rawak yang selamat. Lada harus disimpan dengan selamat dan tidak pernah dikodkan dalam kod sumber.
Kemas Kini Algoritma Pencincangan Anda dengan kerap
Kekalkan perkembangan terkini dalam algoritma pencincangan dan laraskan pelaksanaan anda mengikut keperluan untuk kekal selamat daripada vektor serangan baharu.
Melaksanakan Pengesahan Berbilang Faktor (MFA)
Walaupun keselamatan kata laluan yang kukuh adalah kritikal, pelaksanaan MFA menambahkan lapisan keselamatan tambahan dengan memerlukan pengguna menyediakan berbilang bentuk pengesahan.
Melindungi kata laluan pengguna dalam pangkalan data bukanlah satu tugas yang sesuai untuk semua; ia memerlukan gabungan teknik dan amalan untuk memastikan keselamatan yang teguh. Dengan melaksanakan pengasinan, menggunakan algoritma pencincangan adaptif, menggunakan lada, dan menetapkan pengehadan kadar dan mekanisme kunci keluar akaun, pembangun boleh meningkatkan keselamatan kata laluan pengguna yang disimpan dengan ketara.
Ingin tahu lebih lanjut atau ada soalan? Sila komen di bawah!
Baca siaran lagi di : Selamatkan Kata Laluan Pengguna dalam Pangkalan Data
Atas ialah kandungan terperinci Kata Laluan Pengguna Selamat dalam Pangkalan Data. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!