Zmena hesla – prečo nikdy nepošlú moje staré heslo?

Zmena hesla – prečo nikdy nepošlú moje staré heslo?
22. januára 2019 lava

Prichádzam na stránku. Idem sa prihlásiť a dúfam, že prehliadač si pamätá moje posledne zadané meno a heslo. Na tejto stránke som bol naposledy pred štyroma rokmi. Prehliadač si nič nepamätá. Klikám “Zabudol som heslo”

Po kliknutí na “zabudol som heslo” sa dostanete väčšinou na podstránku, kde vyplníte e-mailovú adresu. Na tú vám následne príde resetovací e-mail, s odkazom, kde nastavíte nové heslo. Možno sa pýtate, prečo je to zbytočne zložité. Nemôžu mi proste poslať e-mail, kde by bolo napísané “Vaše heslo je: Jozef1234567890“. Ak berú bezpečnosť v IT aspoň trochu vážne, tak nie, nemôžu poslať takýto e-mail.

Hashovanie

Základom IT bezpečnosti je používanie tzv. hashov, čiže šifier, pod ktorými sa vaše heslo uloží do databázy. Nabúrať databázu dnes dokáže bárskto a ak by tam vaše heslo bolo uložené ako “Jozef123″, automaticky ho útočník má, môže sa prihlásiť vo vašom mene na facebook a napísať manželke škaredú správu. Môže sa prihlásiť do internet bankingu a celý objem vášho účtu si poslať k sebe.

Z toho dôvodu sa na ukladanie hesiel a iných citlivých údajov používajú hashované – šifrované reťazce.

Ako to funguje?

Vy zadáte heslo do inputu, kde je vyhviezdičkované. Keby náhodou niekto, kto ide okolo, čumel do monitora. Kliknete na “odoslať”. Zadaný input ide neviditeľne cez $_POST protokol na server (ak je server https:// tak je to o to bezpečnejšie), kde vojde do hashovacej funkcie. Tam končí cesta priamo zadaného hesla. Z hashovacej funkcie vyjde skrumáž nič nehovoriacich znakov, ktorá sa navyše nedá spätne previezť na vaše heslo. Táto skrumáž sa následne ukladá do databázy a celý zbytok aplikácie už nepracuje s heslom ako takým, ale s jeho hashom. A keďže je v databáze uložený hash a nie heslo v textovej forme, nie je možné ho zistiť a musí sa nechať vygenerovať nové, ktoré sa uloží do databázy, opäť v hashovanej podobe. Bezpečnosť nadovšetko.

Ako to vyzerá v praxi?

V praxi existuje niekoľko hashovacích algoritmov. Heslo Jozef123 by pri hashovaní niektorými funkciami vyzeralo takto:

 

0 Comments

Leave a reply

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

*