Jinsi Tunavyolinda Nywila Zako

Katika makala zilizopita, tulichunguza jinsi HTTPS inavyolinda njia kati ya programu yako na seva yetu, na jinsi SSH inavyoilinda seva yenyewe. Sasa ni wakati wa kuangalia ndani ya seva — jinsi Splync inavyolinda nywila yako inapowasili huko. Ikiwa mtu angepata nywila yako, angeweza kuingia kwenye akaunti yako na kufikia taarifa nyeti, ikiwemo kumbukumbu za matumizi yako. Ndio maana Splync haisahifadhi nywila katika maandishi ya kawaida. Badala yake, kila nywila inabadilishwa kuwa toleo lililohashwa kabla ya kuhifadhiwa kwenye hifadhidata. Hii inamaanisha nini hasa? Uhashaji ni mchakato wa mwelekeo mmoja — mara tu unavyobadilishwa, hauwezi kurudishwa kuwa nywila ya awali. Njia hii ni ya kawaida kote mtandaoni, kutoka benki hadi huduma kubwa za wingu, ingawa watu wengi hawajui jinsi inavyofanya kazi. Hebu tuchunguze kwa mfano rahisi wa kila siku.

Kuelewa jinsi ulinzi wa nywila unavyofanya kazi, tuanze na njia rahisi ya uhashaji iitwayo SHA-256. Ifikirie kama blender inayochanganya viungo kwa njia ile ile kila mara. Ukiweka nywila ile ile kwenye blender na kubonyeza kitufe, kila mara utapata 'smoothie' ya kipekee — mchanganyiko wa herufi na nambari. Jambo kuu ni kwamba mchakato huu hauwezi kurudishwa nyuma. Kama vile huwezi kuchukua smoothie na kuitenganisha kurudi kwenye ndizi na maziwa ya awali, huwezi kuchukua hash iliyochanganywa na kurudisha nywila ya awali.

SHA-256 ni mojawapo ya algorithimu za uhashaji zinazotumika sana. Kwa mfano, inahash nywila "splync1234" kuwa “9cdafa20d069ecfb202e5f0bc937c73071cc6cd85634cc2d95d30ddcf2a71d41”. Kwa milisekunde, kila wakati mtumiaji anayeingiza nywila ya kuingia, SHA-256 kila mara huzalisha nywila iliyohashwa sawa. Programu huhash upya nywila iliyoingizwa na kuangalia ikiwa inalingana na hash iliyohifadhiwa. Hakuna wakati ambapo mfumo hujua nywila ya awali ya mtumiaji. Lakini je, ikiwa mvamizi angetayarisha orodha ya nywila za kawaida na hash zake (inayojulikana kama shambulio la jedwali la upinde wa mvua) ili kubashiri haraka nywila za watumiaji? Hilo ni tatizo halisi. Ndiyo maana mifumo ya kisasa, ikiwemo Splync, haitegemei SHA-256 ya kawaida.

Bcrypt inatumia chumvi ya kipekee kwa kila mtumiaji na inakodisha chumvi hiyo (na gharama ya mchakato) moja kwa moja kwenye kamba ya hash iliyohifadhiwa. Fikiria bcrypt kama blender yenye viungo vya siri (chumvi) na injini polepole (gharama ya kazi) — inafanya kila mchanganyiko kuwa wa kipekee na mgumu kuiga. Kwa kuwa chumvi ni biti 128 (≈3×10³⁸ uwezekano), nywila ile ile inaweza kuhitimishwa kwa idadi kubwa ya hash tofauti zilizohifadhiwa. Hii inafanya majedwali ya upinde wa mvua yaliyotayarishwa kuwa yasiyo na maana kwa kiwango. Wakati wa kuingia, Splync husoma chumvi na gharama kutoka kwenye kamba ya bcrypt iliyohifadhiwa, inaendesha tena bcrypt kwenye nywila iliyoingizwa na vigezo hivyo, na kulinganisha matokeo na hash iliyohifadhiwa. Ikiwa zinafanana, nywila ni sahihi — lakini kwa sababu bcrypt ni polepole makusudi na chumvi ni za kipekee, mashambulio ya nguvu mbaya yanakuwa gharama kubwa zaidi kwa mvamizi.

Hebu tuone jinsi hii inavyoonekana kivitendo. Ikiwa unahash nywila "splync1234" na bcrypt (ukitumia gharama 12), unaweza kupata kamba kama hii: `$2b$12$gBeouKYdue9uvvuV0HtGgeVPymnrojMqP/wcRw28HFlGEGIQbyw7O`. Katika kamba hii ya bcrypt, `$2b` inaashiria toleo la algorithimu, `$12` inaonyesha gharama ya mchakato (ni mara ngapi nywila inachakatwa), `gBeouKYdue9uvvuV0HtGgeV` ni chumvi ya kipekee ya bahati nasibu, na `PymnrojMqP/wcRw28HFlGEGIQbyw7O` ni nywila iliyohashwa ya mwisho. Kwa sababu hash yenyewe ina chumvi na gharama, Splync inaweza kurudia mchakato huo wa uhashaji kwa uhakiki kwa kuchimba maadili hayo kutoka kwenye kamba iliyohifadhiwa na kulinganisha matokeo. Kwa upande mwingine, ikiwa mvamizi hajui chumvi na gharama, hawawezi kujenga jedwali la upinde wa mvua linalofanya kazi kwa kila mtumiaji.

Mbinu hii ina faida nyingine muhimu. Kwa sababu Splync haisahifadhi nywila katika maandishi ya kawaida, hata kama hifadhidata ikavuja au kuibiwa, watumiaji hawako kwenye hatari moja kwa moja. Wavamizi hawawezi kuingia moja kwa moja na data iliyoibiwa, kwa sababu walicho nacho ni kamba zilizochanganywa tu. Muundo huu unawapa watumiaji safu zaidi ya ulinzi, juu ya ulinzi ambao tayari upo kuzunguka seva yenyewe. Uhashaji wa nywila si wa kipekee kwa Splync; ni kiwango cha kawaida katika tasnia ya teknolojia, kinachotumiwa na makampuni makubwa kama Google, Apple, na Amazon. Splync imejengwa kwa usalama sana, na itakuwa salama zaidi tunapoendelea kuboresha ulinzi na vipengele kama uhakikisho wa barua pepe, ulinzi wa nguvu mbaya, na ufuatiliaji unaoendelea.