رمزگذاری یا Encryption و هش کردن یا Hashing مفاهیم اساسی در محاسبات هر نوع رمز عبور هستند. رمزهای عبور ،روشی با کمترین ایمنی برای احراز هویت می باشند، اما هنوز هم به طور گسترده مورد استفاده قرار می‌گیرند. عوامل تهدید می توانند از اعتبارنامه های به خطر افتاده برای نقض داده ها، کلاهبرداری در تصاحب حساب کاربری، باج افزار و سایر فعالیت های مجرمانه سوء استفاده کنند.

هشینگ و رمزگذاری هر دو راه هایی برای ایمن نگه داشتن داده ها هستند، اما عملکردهای متفاوتی دارند. رمزگذاری رمز عبور(Password Encryption) زمانی استفاده می شود که متن رمزنگاری نشده (plaintext) به هر دلیلی باید بازیابی شود. در حالی که هش رمز عبور (Password hashing) ، معمولا در سمت سرور زمانی که اپراتورهای سرور نیازی به دانستن Plaintext ندارند، رایج است، آنها فقط باید نشان دهند که کاربر متن رمزنگاری نشده را می‌داند. این عملکردها در پس‌زمینه انجام می‌شوند، مانند Salting، بدون اینکه خللی در تجربه کاربرایجاد شود .

رمزگذاری یا Encryption ، روشی برای ایمن کردن رمز عبور می باشد . بدین ترتیب که با استفاده از یک فرمول ریاضی ، رمز عبور را  به یک نسخه درهم یا متن رمزنگاری شده (Ciphertext) تبدیل می کند. Encryption یک تابع دو طرفه است، به این معنی که رمز عبور plaintext اصلی که به Ciphertext تبدیل شده را می توان با رمزگشایی به plaintext بازگرداند.

برخی از سیستم های احراز هویت هنوز به رمزهای عبور قابل رمزگشایی نیاز دارند. هر کسی که کلید کریپتوگرافی درست را داشته باشد، می‌تواند سایفرتکست را بگیرد و آن را معکوس کند تا رمزهای عبور plaintext را آشکار کند و امنیت آنها را کاهش دهد. بنابراین حفاظت از کلیدهای کریپتوگرافی ضروری است. یک ماژول امنیتی سخت افزاری (HSM) می تواند عملیات رمزنگاری اصلی را انجام دهد و کلیدها را به گونه ای ذخیره کند که از استخراج آنها از HSM جلوگیری کند.

Encryption می تواند نقش مهمی در ذخیره سازی رمز عبور داشته باشد . بهتر است بدانیم الگوریتم ها و تکنیک های رمزنگاری یا کریپتوگرافی متعددی در دسترس هستند.

Hashing همچنین از یک الگوریتم برای تبدیل رمز عبور Plaintext به Ciphertext استفاده می کند که رمز عبور واقعی را مبهم می کند. برخلاف رمزگذاری، هش کردن یک عملکرد یک طرفه است. اگر یک رمز عبور دلخواه متن رمزگذاری نشده با هر طولی را انتخاب کنید، آن را از طریق یک الگوریتم هش اجرا کنید، یک رشته یا عدد هگزادسیمال را که منحصر به متن رمزگذاری نشده ارائه شده است، بیرون می‌آورد. طول هش بستگی به الگوریتم مورد استفاده ، متفاوت است. هش رمزهای عبور را نمی توان به رمز عبور متن پلین تکست اصلی تبدیل کرد.

سرور یک نسخه هش شده رمز عبور را ذخیره می کند. هنگامی که کاربر رمز عبور Plaintext را تایپ می کند، سیستم هش را محاسبه کرده و هش ها را با هم مقایسه می کند. اگر هش ها برابر باشند، سرور می تواند رمز عبور را تأیید کند و سپس به کاربر دسترسی داده می شود.

الگوریتم های هش کمتر ایمن:

الگوریتم md5 ، پیام با هر طولی را به عنوان ورودی می گیرد و آن را به خروجی با طول مقدار هش 128 بیتی ثابت تبدیل می کند تا برای احراز هویت پیام اصلی استفاده شود.

الگوریتم هش امن (SHA) :

 یک تابع هش رمزنگاری است. مقادیر 160 بیتی SHA-1 ایمن تر از طول مقدار هش 128 بیتی MD5 است، اما دارای نقاط ضعفی نیز هست که منجر به خانواده کد هش SHA-2 شد.

الگوریتم های هش ایمن تر:

خانواده کد هش SHA-2 امروزه به طور گسترده استفاده می شود، با الگوریتم هایی که طولانی تر و شکستن آنها سخت تر است. نام الگوریتم های SHA-2 به طول متصل است، بنابراین SHA-224 طول 224 بیت را نشان می دهد. همین فرمت برای SHA-256، SHA-384 و SHA-512 کار می کند.

درست همانطور که برای بهبود طعم غذا به آن نمک اضافه می کنید ، یک رشته تصادفی از کاراکترها (نمک) به رمزهای عبور اضافه می شود تا آنها را بهبود بخشد. به هر کاربر نمک متفاوتی اختصاص می‌یابد که فقط سرور آن را می‌شناسد و باعث منحصربفرد و ایمن‌تر شدن آن‌ها می‌شود. نمک را می توان در دو طرف رمز عبور قرار داد. به عنوان مثال، افزودن salt به رمز عبور “Password” می تواند منجر به یک رمز عبور نمکی مانند “4(j3Li95Password” یا “Password4(j3Li95 شود.

در رمزنگاری، Salting داده‌ای تصادفی است که به عنوان ورودی اضافی به یک تابع یک طرفه که داده‌ها، رمز عبور یا عبارت عبور را هش می‌کند، تغذیه می‌شود. Salting به دفاع در برابر حملاتی که از جداول از پیش محاسبه‌شده استفاده می‌کنند، کمک می‌کند، و اندازه جدول مورد نیاز برای یک حمله موفقیت‌آمیز را افزایش می‌دهد.

• کریپتوجکینگ (Cryptojacking) چیست ؟

یک هکر با جداول از پیش محاسبه شده بر اساس گذرواژه‌های معمولی نمی‌تواند به راحتی گذرواژه‌های Salting را کشف کند زیرا کاراکترهای اضافی تصادفی اضافه شده‌اند. هکر مجبور خواهد شد برای کشف رمزهای عبور، میلیون‌ها ترکیب رمز و نمک هش شده را امتحان کند. درست همانطور که یک دزد خودرو از سرقت های دشوار برای پیدا کردن یک ماشین باز شده با کلیدهای احتراق خودداری می کند، هکر نیز به سمت اهداف کمتر امن حرکت می کند.

ترکیب Salting و Hashing برای امنیت :

هش کردن گذرواژه، ذخیره‌سازی و مدیریت را ایمن‌تر می‌کند. رمزهای عبور نمکی که هش نیز هستند، شکستن رمزهای عبور را برای بازیگران بد تا حد زیادی دشوارتر می کند. از آنجایی که کاراکترهای تصادفی قبل از هش به رمزهای عبور اضافه می شوند، هکر توانایی تشخیص سریع رمز عبور متن ساده را از دست می دهد. بدون حدس زدن، گرفتن خروجی یک تابع هش و معکوس کردن آن برای یافتن مقدار اصلی تقریباً غیرممکن است. هش منحصربه‌فرد ایجاد شده با گذرواژه‌های سالت در برابر بردارهای حمله، از جمله حملات فرهنگ لغت، brute force و جدول هش دفاع می‌کند.

رمزگذاری رمز عبور یا  Password Encryption زمانی استفاده می شود که Plaintext به هر دلیلی باید بازیابی شود. رمزگذاری یک روش برگشت پذیر برای تبدیل رمزهای عبور Plaintext به Ciphertext است و می توانید با یک کلید رمزگشایی به متن اصلی بازگردید.Encryption اغلب برای ذخیره رمزهای عبور در مدیریت رمز عبور استفاده می شود.

Password Hashing زمانی که اپراتورهای سرور نیازی به دانستن Plaintext ندارند، هش رمز عبور در سمت سرور مفید است، فقط کاربر Plaintext را می‌داند. هش کردن یک فرآیند یک طرفه است که رمز عبور را با استفاده از الگوریتم های هش به متن رمزی تبدیل می کند. رمز عبور هش شده را نمی توان رمزگشایی کرد، اما یک هکر می تواند سعی کند آن را مهندسی معکوس کند.

Password Salting  نویسه‌های تصادفی را قبل یا بعد از رمز عبور اضافه می‌کند تا رمز عبور واقعی را مبهم کند. به دلیل تصادفی بودن نمک، هکرها در یافتن رمزهای عبور واقعی از گذرواژه‌های هش شده با مشکل مواجه هستند، زیرا جداول از پیش محاسبه‌شده گذرواژه‌های آن‌ها کار نمی‌کند.

گذرواژه ها به تنهایی برای مدیریت هویت و دسترسی (IAM) کافی نیستند و باید با روش های دیگر احراز هویت تقویت شوند.