हामी तपाईंको पासवर्ड कसरी सुरक्षित गर्छौं

अघिल्लो लेखहरूमा, हामीले HTTPS तपाईंको एप र हाम्रो सर्भर बीचको मार्ग कसरी सुरक्षित गर्छ भनेर र SSH ले सर्भरलाई आफैंलाई कसरी सुरक्षित गर्छ भनेर अन्वेषण गरेका थियौं। अब यो सर्भर भित्र हेर्ने समय हो - Splync ले तपाईंको पासवर्डलाई त्यहाँ पुगेपछि कसरी सुरक्षित राख्छ भनेर। यदि कसैले तपाईंको पासवर्ड प्राप्त गर्‍यो भने, उक्त व्यक्ति तपाईंको खातामा लगइन गर्न सक्छ र तपाईंको खर्च रेकर्डहरू सहित संवेदनशील जानकारी पहुँच गर्न सक्छ। त्यसैले Splync कहिल्यै पासवर्डहरू साधारण पाठमा भण्डारण गर्दैन। यसको सट्टा, प्रत्येक पासवर्ड डेटाबेसमा बचत गर्नुअघि एक ह्यास गरिएको संस्करणमा रूपान्तरण गरिन्छ। यसको अर्थ के हो? ह्यासिङ एक दिशात्मक रूपान्तरण हो - एक पटक परिवर्तन गरिसकेपछि, यो कहिल्यै मूल पासवर्डमा फिर्ता गर्न सकिँदैन। यो विधि इन्टरनेटमा मानक हो, बैंकहरूदेखि प्रमुख क्लाउड सेवाहरू सम्म, यद्यपि धेरै मानिसहरूले यो वास्तवमा कसरी काम गर्छ भन्ने जान्दैनन्। यसलाई एक साधारण दैनिक उपमा मार्फत अन्वेषण गरौं।

पासवर्ड सुरक्षा कसरी काम गर्छ भनेर बुझ्न, SHA-256 भनिने एक साधारण ह्यासिङ विधिबाट सुरु गरौं। यसलाई सधैं सटीक उस्तै तरिकाले सामग्रीहरू मिलाउने ब्लेन्डरको रूपमा सोच्नुहोस्। यदि तपाईंले एउटै पासवर्ड ब्लेन्डरमा राखेर बटन थिच्नुभयो भने, तपाईंले सधैं उस्तै अद्वितीय स्मूदी पाउनुहुनेछ - अक्षरहरू र संख्याहरूको गडबड मिश्रण। मुख्य विचार भनेको प्रक्रियालाई उल्टाउन सकिँदैन भन्ने हो। जस्तै तपाईंले स्मूदीलाई फिर्ता मूल केरा र दूधमा छुट्याउन सक्नुहुन्न, तपाईंले गडबड ह्यासलाई लिएर मूल पासवर्ड फिर्ता प्राप्त गर्न सक्नुहुन्न।

SHA-256 सबैभन्दा सामान्य ह्यासिङ एल्गोरिदमहरू मध्ये एक हो। उदाहरणका लागि, यसले पासवर्ड "splync1234" लाई "9cdafa20d069ecfb202e5f0bc937c73071cc6cd85634cc2d95d30ddcf2a71d41" मा ह्यास गर्दछ। प्रत्येक पटक कुनै अवस्थित प्रयोगकर्ताले लगइन पासवर्ड प्रविष्ट गर्दा, SHA-256 सधैं त्यही ह्यास गरिएको पासवर्ड उत्पादन गर्छ। एपले प्रवेश गरिएका पासवर्डलाई फेरि ह्यास मात्र गर्छ र यो भण्डारित ह्याससँग मेल खान्छ कि भनेर जाँच गर्छ। प्रणालीले कहिल्यै प्रयोगकर्ताको मूल पासवर्ड थाहा पाउँदैन। तर के यदि आक्रमणकारीले साधारण पासवर्डहरूको सूची र तिनीहरूको ह्यासहरू (रेनबो टेबल आक्रमणको रूपमा चिनिन्छ) पूर्व-गणना गर्छ भने प्रयोगकर्ताहरूको पासवर्डहरू छिटो अनुमान गर्न? त्यो चिन्ता धेरै वास्तविक छ। यही कारणले गर्दा आधुनिक प्रणालीहरूले, Splync सहित, साधारण SHA-256 मा निर्भर गर्दैनन्।

Bcrypt ले प्रत्येक प्रयोगकर्ताको लागि एक अनियमित नुन प्रयोग गर्दछ र त्यो नुन (र लागत कारक) लाई प्रत्यक्ष रूपमा भण्डारित ह्यास स्ट्रिङमा इनकोड गर्दछ। bcrypt लाई गोप्य मसला (नुन) र ढिलो मोटर (काम गर्ने कारक) भएको ब्लेन्डरको रूपमा सोच्नुहोस् - यसले प्रत्येक मिश्रणलाई अद्वितीय र प्रतिलिपि गर्न गाह्रो बनाउँछ। किनकि नुन 128 बिट्सको छ (≈3×10³⁸ सम्भावनाहरू), एउटै पासवर्डले विभिन्न भण्डारित ह्यासहरूको अनन्त ठूलो संख्यामा म्याप गर्न सक्छ। यसले पूर्व गणना गरिएको रेनबो टेबलहरूलाई समूहमा बेकार बनाउँछ। लगइन गर्दा, Splync ले बचत गरिएको bcrypt स्ट्रिङबाट नुन र लागतलाई पढ्छ, ती प्यारामिटरहरूसँग प्रवेश गरिएका पासवर्डमा bcrypt लाई पुन: चलाउँछ, र परिणामलाई भण्डारित ह्याससँग तुलना गर्छ। यदि तिनीहरू मेल खान्छन् भने, पासवर्ड सही छ - तर किनभने bcrypt जानाजानी ढिलो छ र नुनहरू अद्वितीय छन्, बलपूर्वक आक्रमणहरू आक्रमणकारीको लागि धेरै महँगो हुन्छन्।

यो व्यवहारमा कसरी देखिन्छ हेर्नुहोस्। यदि तपाईंले bcrypt (कास्ट 12 प्रयोग गरी) को साथ पासवर्ड "splync1234" लाई ह्यास गर्नुभयो भने, तपाईंले यस्तो स्ट्रिङ प्राप्त गर्न सक्नुहुन्छ: `$2b$12$gBeouKYdue9uvvuV0HtGgeVPymnrojMqP/wcRw28HFlGEGIQbyw7O`। यो bcrypt स्ट्रिङमा, `$2b` एल्गोरिदम संस्करणलाई चिन्ह लगाउँछ, `$12` लागत कारक देखाउँछ (पासवर्ड कति पटक प्रशोधन गरिएको हो), `gBeouKYdue9uvvuV0HtGgeV` अद्वितीय अनियमित नुन हो, र `PymnrojMqP/wcRw28HFlGEGIQbyw7O` अन्तिम ह्यास गरिएको पासवर्ड हो। किनभने ह्यासले आफैंमा नुन र लागत समावेश गर्दछ, Splync ले ती मानहरू बचत गरिएको स्ट्रिङबाट निकालेर र परिणामलाई तुलना गरेर प्रमाणीकरणको लागि उही ह्यासिङ प्रक्रिया पुन: निर्माण गर्न सक्छ। अर्कोतर्फ, यदि आक्रमणकारीलाई नुन र लागत थाहा छैन भने, तिनीहरू प्रत्येक प्रयोगकर्ताका लागि कार्य गर्ने एउटा मात्र रेनबो टेबल बनाउन सक्दैनन्।

यस दृष्टिकोणको अर्को महत्त्वपूर्ण फाइदा छ। किनभने Splync ले कहिल्यै साधारण पासवर्डहरू भण्डारण गर्दैन, यदि डेटाबेस चुहावट भयो वा चोरी भयो भने पनि प्रयोगकर्ताहरू तुरुन्त जोखिममा पर्दैनन्। आक्रमणकारीहरूले चोरेको डेटा सँगै सिधै लगइन गर्न सक्दैनन्, किनभने उनीहरूसँग भएको कुरा केवल गडबड स्ट्रिङहरू हुन्। यस डिजाइनले प्रयोगकर्ताहरूलाई सर्भरमा पहिले नै भएका सुरक्षा उपायहरूको अतिरिक्त थप सुरक्षा तह प्रदान गर्छ। पासवर्ड ह्यासिङ Splync सम्म सीमित छैन; यो प्रविधि उद्योगभरि मानक हो, Google, Apple, र Amazon जस्ता दिग्गजहरूले प्रयोग गरेका। Splync धेरै सुरक्षित रूपमा निर्माण गरिएको छ, र हामीले इमेल प्रमाणीकरण, बलपूर्वक सुरक्षित गर्ने सुरक्षा, र निरन्तर निगरानी गर्ने जस्ता सुविधाहरूको साथ सुरक्षा सुधार गर्दै जाँदा यो अरू सुरक्षित हुँदै जानेछ।