અમે તમારી પાસવર્ડને કેવી રીતે સુરક્ષિત રાખીએ છીએ

પહેલાના લેખોમાં, આપણે HTTPS કેવી રીતે તમારા એપ્લિકેશન અને અમારા સર્વર વચ્ચેના માર્ગને સુરક્ષિત કરે છે અને SSH સર્વરને પોતે કેવી રીતે સુરક્ષિત કરે છે તે પરીક્ષણ કર્યું હતું. હવે તે સમય છે કે સર્વરના અંદર નજર કરીએ - Splync તમારું પાસવર્ડ ત્યાં પહોંચ્યા પછી તેને કેવી રીતે સુરક્ષિત રાખે છે. જો કોઈ તમારી પાસવર્ડ મેળવશે, તો તે વ્યક્તિ તમારા ખાતામાં પ્રવેશ મેળવીને સંવેદનશીલ માહિતી, જે પૈકીના તમારા ખર્ચ રેકોર્ડ્સ છે, મેળવી શકે છે. એટલા માટે Splync ક્યારેય પાસવર્ડને સાદો ટેક્સ્ટમાં સુરક્ષિત રાખતું નથી. તેના બદલે, દરેક પાસવર્ડ ડેટાબેઝમાં સંગ્રહિત થવા પહેલા એક હેશ્ડ સંસ્કરણમાં પરિવર્તિત થાય છે. તે ચોક્કસપણે શું અર્થ છે? હેશિંગ એ એક દિશામાં રૂપાંતરણ છે - એકવાર પરિવર્તિત થવાથી, તે ક્યારેય મૂળ પાસવર્ડમાં પાછું શકાતું નથી. આ પદ્ધતિ ઇન્ટરનેટ પર માનક છે, બેંકોથી મુખ્ય ક્લાઉડ સેવાઓ સુધી, છતાં ઘણા લોકો જાણતા નથી કે તે કેવી રીતે કાર્ય કરે છે. ચાલો તેને એક સરળ દૈનિક ઉદાહરણ દ્વારા તપાસીએ.

પાસવર્ડ રક્ષણ કેવી રીતે કાર્ય કરે છે તે સમજવા માટે, ચાલો એક સરળ હેશિંગ પદ્ધતિ જેનું નામ SHA-256 છે તેમાંથી શરૂ કરીએ. તેને એક બ્લેન્ડર તરીકે વિચારો જે હંમેશા ઘટકોને એકદમ સમાન રીતે મિક્સ કરે છે. જો તમે એકસમાન પાસવર્ડ બ્લેન્ડર માં મૂકીને બટન દબાવો, તો તમને હંમેશા એક સમાન અનોખો સ્મૂધી મળશે - અક્ષરો અને આંકડાઓની ગડબડ મિશ્રણ. મુખ્ય વિચાર એ છે કે આ પ્રક્રિયા ઉલટાવી શકાય એવું નથી. જેમ તમે એક સ્મૂધીને લઈ અને તેને મૂળ કેળા અને દૂધમાં ઉલટાવી શકતા નથી, તેમ તમે ગડબડ હેશને લઈ અને મૂળ પાસવર્ડને પુનઃપ્રાપ્ત કરી શકતા નથી.

SHA-256 એ સૌથી સામાન્ય હેશિંગ અલ્ગોરિદમ્સમાંથી એક છે. ઉદાહરણ તરીકે, તે પાસવર્ડ "splync1234" ને “9cdafa20d069ecfb202e5f0bc937c73071cc6cd85634cc2d95d30ddcf2a71d41”માં હેશ કરે છે. મિલિસેકન્ડ્સમાં, દરેક વખત જ્યારે એક હાજર વપરાશકર્તા લૉગિન પાસવર્ડ દાખલ કરે છે, તો SHA-256 હંમેશા એક સમાન હેશ્ડ પાસવર્ડ ઉત્પન્ન કરે છે. એપ્લિકેશન simpel હેશ દાખલ કરેલ પાસવર્ડને ફરીથી તપાસી અને તે સંગ્રહિત હેશ સાથે મેળ ખાય છે કે નહી તે ચકાસે છે. કોઈ પણ સમયે સિસ્ટમ વપરાશકર્તા નું મૂળ પાસવર્ડ ક્યારેય જાણતી નથી. પરંતુ શું થાય જો એક હુમલાખોર સામાન્ય પાસવર્ડ્સ અને તેમની હેશ્સની યાદી પૂર્વગણિત કરે (જેને રેઇનબો ટેબલ અર્કસ્તા કહેવામાં આવે છે) અને વપરાશકર્તાઓના પાસવર્ડ્સ ઝડપથી અનુભવે? આ ચિંતા ખૂબ સાચી છે. આ કારણ છે કે આધુનિક સિસ્ટમો, Splync સહિત, સાદા SHA-256 પર આધાર રાખતા નથી.

Bcrypt એક અનિયંત્રિત પ્રતિ વપરાશકર્તા સોલ્ટ નો ઉપયોગ કરે છે અને આ સોલ્ટ (અને ખર્ચ પરિબળ) ને સીધા સંગ્રહિત હેશ સ્ટ્રિંગ માં એન્કોડ કરે છે. bcrypt ને એક બ્લેન્ડર તરીકે વિચારો જે ગોપનીય મસાલા (સોલ્ટ) અને ધીમી મોટર (કામ પરિબળ) ધરાવે છે - તે દરેક મિક્સને અનોખું અને નકલ કરવું વધુ મુશ્કેલ બનાવે છે. કારણ કે સોલ્ટ 128 બિટ્સ (≈3×10³⁸ શક્યતાઓ) છે, એક સમાન પાસવર્ડ બહુ મોટી સંખ્યામાં વિવિધ સંગ્રહિત હેશ્સ સાથે નકશો કરી શકે છે. તે પૂર્વગણિત રેઇનબો ટેબલ્સ ને મોટા પાયે નકામી બનાવે છે. લૉગિન દરમ્યાન, Splync સંગ્રહિત bcrypt સ્ટ્રિંગમાંથી સોલ્ટ અને ખર્ચ વાંચે છે, દાખલ કરેલા પાસવોર્ડ પર bcrypt ફરીથી ચલાવે છે અને તે પરિણામને સંગ્રહિત હેશ સાથે સરખાવે છે. જો તે મેળ ખાતું હોય તો, પાસવર્ડ સાચો છે — પરંતુ કારણ કે bcrypt જાણબુઝીને ધીમી છે અને સોલ્ટ્સ અનોખા છે, ક્રૂર-બળ હુમલાઓ હુમલાખોર માટે વધુ ખર્ચાળ બનતા જાય છે.

ચાલો જુઓ આ વ્યવહારમાં કેવું લાગે છે. જો તમે પાસવર્ડ "splync1234" ને bcrypt સાથે (કિંમત 12 નો ઉપયોગ કરીને) હેશ કરો, તો તમને આ પ્રકારનો સ્ટ્રિંગ મળી શકે છે: `$2b$12$gBeouKYdue9uvvuV0HtGgeVPymnrojMqP/wcRw28HFlGEGIQbyw7O`. આ bcrypt સ્ટ્રિંગમાં, `$2b` અલ્ગોરિધમ સંસ્કરણ દર્શાવે છે, `$12` ખર્ચ પરિબળ દર્શાવે છે (પાસવર્ડ કેટલા વખત પ્રક્રિયા થાય છે), `gBeouKYdue9uvvuV0HtGgeV` અનોખો અનિયમિત સોલ્ટ છે અને `PymnrojMqP/wcRw28HFlGEGIQbyw7O` અંતિમ હેશ પાવર્ડ છે. કારણ કે હેશ પોતે સોલ્ટ અને ખર્ચ ધરાવે છે, Splync તે જ હેશિંગ પ્રક્રિયા ચકાસણી માટે પુનઃઉત્પાદન કરી શકે છે જે મૂલ્યો સંગ્રહિત સ્ટ્રિંગમાંથી કાઢે છે અને પરિણામની તુલના કરે છે. બીજી બાજુ, જો કોઈ હુમલાખોર સોલ્ટ અને ખર્ચ જાણતો નથી, તો તેઓ વપરાશકર્તા માટે એક જ રેઇનબો ટેબલ બનાવી શકતા નથી.

આ પદ્ધતિનો એક વધુ મહત્વપૂર્ણ ફાયદો છે. કારણ કે Splync ક્યારેય સાદા પાસવર્ડને સંગ્રહિત નથી કરતો, જો ડેટાબેઝ લીક અથવા ચોરી થાય તો પણ વપરાશકર્તાઓ તરત જ જોખમમાં નથી. હમલાખોરો ચોરી કરેલ ડેટાને સીધા પ્રવેશ કરી શકતા નથી, કારણ કે તેમની પાસે ફક્ત ગડબડ સ્ટ્રિંગ્સ છે. આ ડિઝાઇન વપરાશકર્તાઓને વધારાની સ્તરની સુરક્ષા આપે છે, સર્વર આસપાસ જે પહેલેથી જ સુરક્ષા છે તે ઉપરાંત. પાસવર્ડ હેશિંગ Splync માટે અનોખું નથી; તે ટેકનોલોજી ઉદ્યોગમાં ધોરણ છે, જે Google, Apple, અને Amazon જેવા દિગ્ગજોને ઉપયોગ કરે છે. Splync ખૂબ જ સલામત રીતે બનાવવામાં આવ્યું છે, અને અમે વધુ email ચકાસણી, ક્રૂર-બળ રક્ષણ, અને સતત મોનીટરીંગ જેવી વૈશિષ્ટ્યો સાથે સુરક્ષામાં સુધારો કરતા રહેશું તેથી તે વધુ સલામત બનશે.