Peppering er ikke kun et ord relateret til kulinariske færdigheder; det er også en vigtig kryptografiproces i adgangskodesikkerhed. Det er vigtigt, at adgangskoder opbevares sikkert mod hackere. Pebering hjælper til at gøre det. Hvad er peppering, og hvordan hjælper det med at holde dine adgangskoder sikre?
Hvad er Peppering?
Peppering er en kryptografisk proces, der indebærer tilføjelse af en hemmelig og tilfældig streng af tegn til en adgangskode, før den bliver saltet og hashed for at gøre den mere sikker. Den streng af tegn, der tilføjes til adgangskoden, kaldes en peber. Peberfrugten ændrer hash af en adgangskode helt og gør den immun over for brute force angreb og adgangskodeknækning ved hjælp af ordbogstabeller og regnbuetabeller.
Hvordan virker pebering?
Peppering er et ekstra sikkerhedslag tilføjet til adgangskoder. Tænk på det som forskellige toppings på en kage. Den almindelige kage er et almindeligt tekstkodeord, og hashing er den sidste topping - f.eks. drys. Lægger du drys direkte på kagen, ville det ikke se særlig godt ud. Det er det samme med adgangskodesikkerhed.
Bare hashning af en adgangskode er ikke sikker, fordi adgangskoden nemt kan knækkes. Det er derfor, de andre toppings, salt og peber (ironisk nok), gør kagen bedre – som de gør med adgangskoder
Så hvad betyder det egentlig, at en adgangskode bliver hashed? Hashing er en envejskrypteringsproces i kryptografi. Adgangskoder, der hashes, er dybest set forvrænget, og i stedet for at gemme plaintext-adgangskoderne i en database, gemmes hasherne. Når du indtaster din adgangskode, hashes den og sammenlignes derefter med den hashkodede adgangskode i databasen. Det er sådan, systemet validerer din identitet.
Ligesom at salte, tilføjes en peber til en adgangskode for at gøre den mere sikker. Så en adgangskode omdannes fra blot en almindelig tekstadgangskode til hash af en adgangskode+salt+peber. Så i tilfælde af, at en hacker får adgang til brugernes salte og/eller endda adgangskoder, vil hackeren ikke være i stand til at dekryptere den hash-kodede adgangskode, fordi peberen ændrer hashen fuldstændigt.
Sammenlign f.eks. hashen af et almindeligt kodeord, et saltet kodeord og et krydret kodeord. Lad adgangskoden være '1yAm0r1a!', saltet 'eW3dU%' og peberen 'Am41a?'.
Adgangskode tekst | Hashed adgangskode | |
Kodeord i almindelig tekst | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
Saltet adgangskode | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
Peberet adgangskode | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Kan en peber bruges uden salt?
Ja, en adgangskode kan bruges uden salt. Men dette er ikke ideelt til adgangskodesikkerhed. Hvis en angriber lærer et websteds peber at kende, bliver dette websted sårbart over for angreb, fordi peberen bruges til alle adgangskoder i databasen.
Hvad er forskellen mellem pebering og saltning?
På en måde er en peber en slags salt. De gør begge adgangskoder mere sikre, men de er forskellige. I modsætning til salte er peber hemmelige, statisk brede og ikke tilfældigt genereret.
Peber er ikke tilfældigt genereret
Når du logger ind på en hjemmeside og indtaster din adgangskode, før den hashes, genereres et salt tilfældigt til dig. Dette er ikke det samme med peber.
I pebering vælger ejeren af stedet peberen. Grundejeren har til opgave at sikre, at den valgte peber er sikker og stærk nok. Naturligvis kan webstedsejeren vælge at bruge en tilfældig værdigenerator til at vælge en peber.
Peberfrugter er statisk brede
Når noget er statisk, betyder det, at det ikke ændrer sig. Ved saltning genereres hvert salt for hver bruger i databasen. Men der bruges en peber i hele databasen. Der er ingen peberfrugter til individuelle brugere.
Peberfrugter holdes hemmelige
I modsætning til salte, som kan findes i databasen på et websted, er peberfrugter hemmelige. De gemmes ikke i databasen sammen med salte og hash; det ville gøre peberfrugter meningsløse.
I stedet opbevares peberfrugter i en sikker og separat del af webstedsapplikationen. Dette er vigtigt, fordi i tilfælde af at en hacker kompromitterer et websted og får adgang til adgangskoder og salte af brugere på det websted, ville de ikke være i stand til at knække nogen adgangskoder, fordi de ikke kender peber.
At vælge en god peber
At vælge en god peber er lige så vigtigt som at vælge en god adgangskode. Ligesom adgangskoder skal peberfrugter være rimelig lange og unikke. Husk, at der bruges en peber på hele webstedet; hvis en hacker brute tvinger eller gætter peberen, ville dit websted være sårbart. Brug ikke navnet på dit websted som en peber. Det svarer til at bruge "Password123" som din adgangskode.
Et andet alternativ er at bruge en adgangskodegenerator. Der er mange adgangskodegeneratorer online, der kan bruges til at vælge en god peberfrugt.
En anden metode til pebering er slet ikke at opbevare peberen. I stedet er peberfrugten en kort streng, og når en bruger logger ind på webstedet, tvinger systemet brute forces eller løber gennem en række mulige peberfrugter, indtil den rigtige er brugt. Dette tager længere tid, så der skal bruges en kort peber.
Et let, men usikkert eksempel på denne metode er at gøre peberen alfabetisk. Når du logger ind, gennemgår siden hvert bogstav i alfabetet – små og store bogstaver – indtil peberen er korrekt.
Selvom det er typisk at bruge én peberfrugt på tværs af et websted, er det muligt at have mere end én ad gangen. En peberfrugt tildeles tilfældigt til en bruger ved registrering fra en gruppe peberfrugter. Når denne bruger logger ind, prøves hver peber, indtil den, der er tildelt den bruger, er valgt.
Er Peppering effektiv til at øge sikkerheden?
Ja. Når en peber bruges sammen med et salt, er det utroligt svært for en hacker at knække en brugers adgangskode. Selv når brugere bruger svage adgangskoder eller de samme adgangskoder, ville en hacker aldrig vide det, fordi peberen ændrer hashen. Med peppering øges sikkerheden ved adgangskoder meget.
7 almindelige adgangskodefejl, der sandsynligvis vil få dig hacket
Læs Næste
Relaterede emner
- Sikkerhed
- Online sikkerhed
- Cybersikkerhed
Om forfatteren
Chioma er en teknisk forfatter, der elsker at kommunikere til sine læsere gennem sit forfatterskab. Når hun ikke skriver noget, kan hun blive fundet ved at hænge ud med venner, arbejde frivilligt eller prøve nye teknologiske trends.
Abonner på vores nyhedsbrev
Tilmeld dig vores nyhedsbrev for tekniske tips, anmeldelser, gratis e-bøger og eksklusive tilbud!
Klik her for at abonnere