ਅਸੀਂ ਤੁਹਾਡੇ ਪਾਸਵਰਡ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹਾਂ

ਪਿਛਲੇ ਲੇਖਾਂ ਵਿੱਚ, ਅਸੀਂ ਵੀਖਿਆ ਕਿ HTTPS ਕਿਸ ਤਰ੍ਹਾਂ ਤੁਹਾਡੇ ਐਪ ਅਤੇ ਸਾਡੇ ਸਰਵਰ ਦੇ ਵਿਚਕਾਰ ਰਸਤੇ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ, ਅਤੇ SSH ਕਿਸ ਤਰ੍ਹਾਂ ਸਰਵਰ ਦੀ ਰੱਖਿਆ ਕਰਦਾ ਹੈ। ਹੁਣ ਸਮਾਂ ਹੈ ਸਰਵਰ ਦੇ ਅੰਦਰ ਵੇਖਣ ਦਾ — ਕਿ ਜਦੋਂ ਤੁਹਾਡਾ ਪਾਸਵਰਡ ਉੱਥੇ ਪਹੁੰਚਦਾ ਹੈ, ਤਾਂ Splync ਉਸ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਰੱਖਦਾ ਹੈ। ਜੇਕਰ ਕਿਸੇ ਨੇ ਤੁਹਾਡਾ ਪਾਸਵਰਡ ਪ੍ਰਾਪਤ ਕਰ ਲਿਆ, ਤਾਂ ਉਹ ਤੁਹਾਡੇ ਖਾਤੇ ਵਿੱਚ ਲਾਗਇਨ ਕਰ ਸਕਦਾ ਹੈ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ, ਜਿਸ ਵਿੱਚ ਤੁਹਾਡੇ ਖਰਚ ਦੇ ਰਿਕਾਰਡ ਵੀ ਸ਼ਾਮਲ ਹਨ, ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਲਈ Splync ਕਦੇ ਵੀ ਪਾਸਵਰਡ ਨੂੰ ਸਾਦੇ ਪਾਠ ਵਿੱਚ ਨਹੀਂ ਸਾਂਭਦਾ। ਇਸ ਦੀ ਬਜਾਏ, ਹਰ ਪਾਸਵਰਡ ਨੂੰ ਡਾਟਾਬੇਸ ਵਿੱਚ ਸੰਭਾਲਣ ਤੋਂ ਪਹਿਲਾਂ ਹੈਸ਼ ਕੀਤੇ ਸੰਸਕਰਣ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ। ਇਸ ਦਾ ਕੀ ਮਤਲਬ ਹੈ? ਹੈਸ਼ਿੰਗ ਇੱਕ ਪਾਸਵਰਡ ਨੂੰ ਇੱਕੋ ਪਾਸੇ ਬਦਲਣ ਵਾਲੀ ਪ੍ਰਕਿਰਿਆ ਹੈ — ਇੱਕ ਵਾਰ ਬਦਲਣ 'ਤੇ, ਇਸ ਨੂੰ ਮੁੜ ਮੁਲ ਪਾਸਵਰਡ ਵਿੱਚ ਨਹੀਂ ਬਦਲਾ ਜਾ ਸਕਦਾ। ਇਹ ਥੀਕਨਾਲੋਜੀ ਇੰਟਰਨੈਟ 'ਤੇ ਆਮ ਹੈ, ਬੈਂਕਾਂ ਤੋਂ ਵੱਡੀਆਂ ਕਲਾਉਡ ਸੇਵਾਵਾਂ ਤੱਕ, ਪਰ ਬਹੁਤ ਸਾਰੇ ਲੋਕ ਇਹ ਨਹੀਂ ਜਾਣਦੇ ਕਿ ਇਹ ਅਸਲ ਵਿੱਚ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਆਓ ਇਸ ਨੂੰ ਇੱਕ ਸਧਾਰਨ ਦੈਨੀਕ ਉਦਾਹਰਨ ਰਾਹੀਂ ਸਮਝੀਏ।

ਪਾਸਵਰਡ ਸੰਰੱਖਣ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇਹ ਸਮਝਣ ਲਈ, ਆਓ ਇੱਕ ਸਧਾਰਨ ਹੈਸ਼ਿੰਗ ਵਿਧੀ ਨਾਲ ਸ਼ੁਰੂ ਕਰੀਏ ਜਿਸ ਨੂੰ SHA-256 ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਸਨੂੰ ਇੱਕ ਬਲੇਂਡਰ ਵਾਂਗ ਸਮਝੋ ਜੋ ਹਮੇਸ਼ਾਂ ਸਮੱਗਰੀ ਨੂੰ ਬਿਲਕੁਲ ਇੱਕੋ ਤਰੀਕੇ ਨਾਲ ਮਿਲਾਂਦਾ ਹੈ। ਜੇ ਤੁਸੀਂ ਬਲੇਂਡਰ ਵਿੱਚ ਇੱਕੋ ਪਾਸਵਰਡ ਪਾਉਂਦੇ ਹੋ ਅਤੇ ਬਟਨ ਦਬਾਉਂਦੇ ਹੋ, ਤਾਂ ਤੁਹਾਨੂੰ ਹਮੇਸ਼ਾਂ ਉਹ ਇੱਕੋ ਯੂਨੀਕ ਸਮੂਦੀ ਮਿਲੇਗੀ — ਅੱਖਰਾਂ ਅਤੇ ਨੰਬਰਾਂ ਦੀ ਗੁੱਥੀ ਹੋਈ ਮਿਸ਼ਰਣ। ਮੁੱਖ ਵਿਚਾਰ ਇਹ ਹੈ ਕਿ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਮੋੜਿਆ ਨਹੀਂ ਜਾ ਸਕਦਾ। ਜਿਵੇਂ ਤੁਸੀਂ ਸਮੂਦੀ ਨੂੰ ਮੁੜ ਬਨਾਨਾ ਅਤੇ ਦੁੱਧ ਵਿੱਚ ਵੰਡ ਨਹੀਂ ਸਕਦੇ, ਤਿਵੇਂ ਤੁਸੀਂ ਗੁੰਝਲਦਾਰ ਹੈਸ਼ ਨੂੰ ਮੁੜ ਮੂਲ ਪਾਸਵਰਡ ਵਿੱਚ ਪਰਤ ਨਹੀਂ ਸਕਦੇ।

SHA-256 ਸਭ ਤੋਂ ਆਮ ਹੈਸ਼ਿੰਗ ਅਲਗੋਰਿਦਮਾਂ ਵਿੱਚੋਂ ਇੱਕ ਹੈ। ਉਦਾਹਰਨ ਦੇ ਤੌਰ ਤੇ, ਇਹ "splync1234" ਪਾਸਵਰਡ ਨੂੰ “9cdafa20d069ecfb202e5f0bc937c73071cc6cd85634cc2d95d30ddcf2a71d41” ਵਿੱਚ ਹੈਸ਼ ਕਰਦਾ ਹੈ। ਮਿਲੀਸੈਕੰਡਸ ਵਿੱਚ, ਹਰ ਵੇਲੇ ਜਦੋਂ ਕੋਈ ਮੌਜੂਦਾ ਯੂਜ਼ਰ ਲੌਗਇਨ ਪਾਸਵਰਡ ਦਾਖਲ ਕਰਦਾ ਹੈ, ਤਾਂ SHA-256 ਹਮੇਸ਼ਾਂ ਇੱਕੋ ਹੈਸ਼ ਕੀਤੇ ਪਾਸਵਰਡ ਨੂੰ ਪੈਦਾ ਕਰਦਾ ਹੈ। ਐਪ ਸਿਰਫ ਦਾਖਲ ਕੀਤੇ ਪਾਸਵਰਡ ਨੂੰ ਦੁਬਾਰਾ ਹੈਸ਼ ਕਰਦਾ ਹੈ ਅਤੇ ਜਾਂਚਦਾ ਹੈ ਕਿ ਕੀ ਇਹ ਸਾਂਭੇ ਹੋਏ ਹੈਸ਼ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ ਕਿ ਨਹੀਂ। ਕਿਸੇ ਵੀ ਸਮੇਂ ਸਿਸਟਮ ਯੂਜ਼ਰ ਦੇ ਆਸਲ ਪਾਸਵਰਡ ਨੂੰ ਨਹੀਂ ਜਾਣਦਾ। ਪਰ ਜੇਕਰ ਕੋਈ ਹਮਲਾਵਰ ਆਮ ਪਾਸਵਰਡਾਂ ਅਤੇ ਉਨ੍ਹਾਂ ਦੇ ਹੈਸ਼ਾਂ ਦੀ ਸੂਚੀ (ਜਿਸਨੂੰ ਰੇਨਬੋ ਟੇਬਲ ਹਮਲਾ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਪਹਿਲਾਂ ਹੀ ਤਿਆਰ ਕਰ ਲੈਂਦਾ ਹੈ ਤਾਂ ਯੂਜ਼ਰਾਂ ਦੇ ਪਾਸਵਰਡਾਂ ਦਾ ਜਲਦੀ ਅਨੁਮਾਨ ਲਗਾਉਣ ਲਈ? ਇਹ ਚਿੰਤਾ ਬਹੁਤ ਵਾਸਤਵਿਕ ਹੈ। ਇਸ ਲਈ ਆਧੁਨਿਕ ਸਿਸਟਮ, ਜਿਸ ਵਿੱਚ Splync ਸ਼ਾਮਲ ਹੈ, ਸਿਰਫ ਸਧਾਰਨ SHA-256 'ਤੇ ਨਿਰਭਰ ਨਹੀਂ ਕਰਦੇ।

Bcrypt ਇੱਕ ਯੂਜ਼ਰ ਪ੍ਰਤੀ ਰੈਂਡਮ ਸਾਲਟ ਵਰਤਦਾ ਹੈ ਅਤੇ ਉਸ ਸਾਲਟ (ਅਤੇ ਲਾਗਤ ਦੇ ਗੁਣਾਂਕ) ਨੂੰ ਸਿੱਧੇ ਹੀ ਸਾਂਭੇ ਹੋਏ ਹੈਸ਼ ਸਤਰ ਵਿੱਚ ਐਨਕੋਡ ਕਰਦਾ ਹੈ। bcrypt ਨੂੰ ਇੱਕ ਬਲੇਂਡਰ ਵਾਂਗ ਸਮਝੋ ਜਿਸ ਵਿੱਚ ਇੱਕ ਗੁਪਤ ਮਸਾਲਾ (ਸਾਲਟ) ਅਤੇ ਹੌਲੀ ਮੋਟਰ (ਕੰਮ ਦਾ ਗੁਣਾਂਕ) ਹੈ — ਇਹ ਹਰ ਮਿਸ਼ਰਣ ਨੂੰ ਯੂਨੀਕ ਅਤੇ ਨਕਲ ਕਰਨਾ ਔਖਾ ਬਣਾਉਂਦਾ ਹੈ। ਕਿਉਂਕਿ ਸਾਲਟ 128 ਬਿਟ (≈3×10³⁸ ਸੰਭਾਵਨਾਵਾਂ) ਹੈ, ਇੱਕੋ ਪਾਸਵਰਡ ਇੱਕ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਵੱਖਰੇ ਸਾਂਭੇ ਹੋਏ ਹੈਸ਼ਾਂ ਵਿੱਚ ਨਕਸ਼ੇ ਬਣਾ ਸਕਦਾ ਹੈ। ਇਸ ਨਾਲ ਪੂਰਵ-ਕਲਪਿਤ ਰੇਨਬੋ ਟੇਬਲ ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਬੇਕਾਰ ਹੋ ਜਾਂਦੇ ਹਨ। ਲਾਗਇਨ ਦੌਰਾਨ, Splync ਸਾਂਭੇ ਹੋਏ bcrypt ਸਤਰ ਤੋਂ ਸਾਲਟ ਅਤੇ ਲਾਗਤ ਨੂੰ ਪੜ੍ਹਦਾ ਹੈ, ਇਹਨਾਂ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ ਦਾਖਲ ਕੀਤੇ ਪਾਸਵਰਡ 'ਤੇ ਦੁਬਾਰਾ bcrypt ਚਲਾਉਂਦਾ ਹੈ, ਅਤੇ ਨਤੀਜੇ ਦੀ ਤੁਲਨਾ ਸਾਂਭੇ ਹੋਏ ਹੈਸ਼ ਨਾਲ ਕਰਦਾ ਹੈ। ਜੇ ਉਹ ਮੇਲ ਕਰਦੇ ਹਨ ਤਾਂ ਪਾਸਵਰਡ ਠੀਕ ਹੈ — ਪਰ ਕਿਉਂਕਿ bcrypt ਜਾਣ-ਬੁਝ ਕੇ ਹੌਲਾ ਹੈ ਅਤੇ ਸਾਲਟ ਯੂਨੀਕ ਹਨ, ਬਰੂਟ-ਫੋਰਸ ਹਮਲੇ ਹਮਲਾਵਰ ਲਈ ਕਾਫ਼ੀ ਮਹਿੰਗੇ ਹੋ ਜਾਂਦੇ ਹਨ।

ਆਓ ਵੇਖੀਏ ਇਹ ਅਮਲ ਵਿੱਚ ਕਿਵੇਂ ਦਿਖਦਾ ਹੈ। ਜੇ ਤੁਸੀਂ "splync1234" ਪਾਸਵਰਡ ਨੂੰ bcrypt ਨਾਲ ਹੈਸ਼ ਕਰਦੇ ਹੋ (ਲਾਗਤ 12 ਵਰਤ ਰਿਹਾ ਹੈ), ਤਾਂ ਤੁਸੀਂ ਇੱਕ ਸਤਰ ਵਾਂਗ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹੋ: `$2b$12$gBeouKYdue9uvvuV0HtGgeVPymnrojMqP/wcRw28HFlGEGIQbyw7O`। ਇਸ bcrypt ਸਤਰ ਵਿੱਚ, `$2b` ਅਲਗੋਰਿਦਮ ਸੰਸਕਰਣ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ, `$12` ਲਾਗਤ ਦੇ ਗੁਣਾਂਕ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ (ਕਿੰਨੀ ਵਾਰ ਪਾਸਵਰਡ ਪ੍ਰਕਿਰਿਆ ਕੀਤੀ ਜਾਂਦੀ ਹੈ), `gBeouKYdue9uvvuV0HtGgeV` ਯੂਨੀਕ ਰੈਂਡਮ ਸਾਲਟ ਹੈ, ਅਤੇ `PymnrojMqP/wcRw28HFlGEGIQbyw7O` ਅੰਤਿਮ ਹੈਸ਼ ਕੀਤਾ ਪਾਸਵਰਡ ਹੈ। ਕਿਉਂਕਿ ਹੈਸ਼ ਖੁਦ ਸਾਲਟ ਅਤੇ ਲਾਗਤ ਨੂੰ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, Splync ਸਾਂਭੇ ਹੋਏ ਸਤਰ ਵਿੱਚੋਂ ਉਹ ਮੁੱਲ ਕਢ ਕੇ ਅਤੇ ਨਤੀਜੇ ਦੀ ਤੁਲਨਾ ਕਰਕੇ ਤਸਦੀਕ ਲਈ ਉਹੀ ਹੈਸ਼ਿੰਗ ਪ੍ਰਕਿਰਿਆ ਦੁਹਰਾਉਣ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ। ਦੂਜੀ ਪਾਸੇ, ਜੇਕਰ ਇੱਕ ਹਮਲਾਵਰ ਸਾਲਟ ਅਤੇ ਲਾਗਤ ਨੂੰ ਨਹੀਂ ਜਾਣਦਾ, ਤਾਂ ਉਹ ਹਰ ਯੂਜ਼ਰ ਲਈ ਕੰਮ ਕਰਨ ਲਈ ਇੱਕ ਸਿੰਗਲ ਰੇਨਬੋ ਟੇਬਲ ਨਹੀਂ ਤਿਆਰ ਕਰ ਸਕਦਾ।

ਇਸ ਪਸੰਦ ਦਾ ਹੋਰ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਫਾਇਦਾ ਹੈ। ਕਿਉਂਕਿ Splync ਕਦੇ ਵੀ ਸਧਾਰਨ ਪਾਸਵਰਡ ਸਾਂਭਦਾ ਨਹੀਂ ਹੈ, ਚਾਹੇ ਡਾਟਾਬੇਸ ਲੀਕ ਜਾਂ ਚੋਰੀ ਵੀ ਹੋ ਜਾਵੇ, ਯੂਜ਼ਰ ਤੁਰੰਤ ਖਤਰੇ ਵਿੱਚ ਨਹੀਂ ਹੁੰਦੇ। ਹਮਲਾਵਰ ਚੋਰੀ ਕੀਤੀਆਂ ਡਾਟਾ ਨਾਲ ਸਿੱਧਾ ਲਾਗਇਨ ਨਹੀਂ ਕਰ ਸਕਦੇ, ਕਿਉਂਕਿ ਜੋ ਉਨ੍ਹਾਂ ਕੋਲ ਹੈ ਉਹ ਸਿਰਫ ਗੁੰਝਲਦਾਰ ਸਤਰਾਂ ਹਨ। ਇਹ ਡਿਜ਼ਾਇਨ ਯੂਜ਼ਰਾਂ ਨੂੰ ਸਰਵਰ ਦੇ ਆਲੇ ਦੁਆਲੇ ਪਹਿਲਾਂ ਤੋਂ ਹੀ ਮੌਜੂਦ ਸੁਰੱਖਿਆ ਦੇ ਉਪਰ ਇਕ ਹੋਰ ਸੁਰੱਖਿਆ ਦੀ ਪਰਤ ਦਿੰਦਾ ਹੈ। ਪਾਸਵਰਡ ਹੈਸ਼ਿੰਗ Splync ਲਈ ਵਿਸ਼ੇਸ਼ ਨਹੀਂ ਹੈ; ਇਹ ਤਕਨੀਕੀ ਉਦਯੋਗ ਵਿੱਚ ਮਾਪਦੰਡ ਹੈ, ਜਿਸਨੂੰ Google, Apple, ਅਤੇ Amazon ਵਰਗੇ ਦਿੱਗਜ ਵਰਤਦੇ ਹਨ। Splync ਬਹੁਤ ਸੁਰੱਖਿਅਤ ਤਰੀਕੇ ਨਾਲ ਬਣਾਇਆ ਗਿਆ ਹੈ, ਅਤੇ ਜਿਵੇਂ ਜਿਵੇਂ ਅਸੀਂ ਪਤਰਾ ਤਸਦੀਕ, ਬਰੂਟ-ਫੋਰਸ ਸੁਰੱਖਿਆ, ਅਤੇ ਚਲ ਰਹੇ ਨਿਗਰਾਨੀ ਵਰਗੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨਾਲ ਸੁਰੱਖਿਆ ਵਿੱਚ ਸੁਧਾਰ ਕਰਦੇ ਰਹੀਏਗੇ, ਤਾਂ ਇਹ ਹੋਰ ਵੀ ਸੁਰੱਖਿਅਤ ਹੁੰਦਾ ਜਾਵੇਗਾ।