จะจัดเก็บรหัสผ่านอย่างปลอดภัยในฐานข้อมูลได้อย่างไร และจะตรวจสอบรหัสผ่านได้อย่างไร?

"สิ่งที่ไม่ควรทำ

🔹 การจัดเก็บรหัสผ่านในรูปแบบข้อความล้วนไม่ใช่ความคิดที่ดี เพราะใครก็ตามที่มีสิทธิ์เข้าถึงภายในสามารถเห็นได้

🔹 การจัดเก็บแฮชรหัสผ่านโดยตรงนั้นไม่เพียงพอ เนื่องจากถูกตัดออกเป็นการโจมตีแบบคำนวณล่วงหน้า เช่น ตารางสายรุ้ง

🔹 เพื่อลดการโจมตีจากการคำนวณล่วงหน้า เราใส่รหัสผ่าน

เกลือคืออะไร?

ตามแนวทางของ OWASP เกลือคือสตริงที่สร้างขึ้นแบบสุ่มที่ไม่ซ้ำกันซึ่งจะถูกเพิ่มให้กับรหัสผ่านแต่ละอันโดยเป็นส่วนหนึ่งของกระบวนการแฮช

จะเก็บรหัสผ่านและเกลือได้อย่างไร?

1️⃣ เกลือไม่ได้มีไว้เป็นความลับและสามารถจัดเก็บในรูปแบบข้อความธรรมดาในฐานข้อมูลได้ ใช้เพื่อให้แน่ใจว่าผลลัพธ์แฮชจะไม่ซ้ำกันสำหรับรหัสผ่านแต่ละอัน

2️⃣ รหัสผ่านสามารถจัดเก็บไว้ในฐานข้อมูลได้โดยใช้รูปแบบต่อไปนี้: 𝘩𝘩𝘩( 𝘱𝘶𝘸𝘶𝘥 + ออรินอิน𝘥)

จะตรวจสอบรหัสผ่านได้อย่างไร?

ในการตรวจสอบรหัสผ่าน สามารถดำเนินการตามขั้นตอนต่อไปนี้:

1️⃣ ลูกค้ากรอกรหัสผ่าน

2️⃣ ระบบดึงข้อมูลเกลือที่เกี่ยวข้องจากฐานข้อมูล

3️⃣ ระบบจะเพิ่มเกลือต่อท้ายรหัสผ่านและแฮช ลองเรียกค่าแฮช H1 กัน

4️⃣ ระบบเปรียบเทียบ H1 และ H2 โดยที่ H2 คือแฮชที่จัดเก็บไว้ในฐานข้อมูล หากเหมือนกันแสดงว่ารหัสผ่านถูกต้อง"

ผู้เขียน

Ai Base Network (ABN), ABN ASIA ถูกก่อตั้งขึ้นโดยคนที่มีรากฐานลึกในวงการวิชาการ มีประสบการณ์การทำงานในสหรัฐอเมริกา ดัตช์ ฮังการี ญี่ปุ่น เกาหลีใต้ สิงคโปร์ และเวียดนาม ABN Asia เป็นที่เราพบกันของวิทยาลัยและเทคโนโลยี ด้วยโซลูชันขั้นสูงและบริการพัฒนาซอฟต์แวร์ที่มีความสามารถ เราช่วยธุรกิจเติบโตและเข้าสู่ฉากโลก ความมุ่งมั่นของเรา: ด่วนขึ้น ดีขึ้น น่าเชื่อถือมากขึ้น ในกรณีส่วนมาก: ราคาถูกด้วย

หากคุณต้องการบริการ IT การให้คำปรึกษาดิจิทัล โซลูชันซอฟต์แวร์ใช้ได้หรือหากคุณต้องการส่งคำขอข้อเสนอ (RFPs) อย่าลังเลที่จะติดต่อเรา คุณสามารถติดต่อเราได้ที่ [email protected] เราพร้อมช่วยเหลือคุณด้านทุกความต้องการทางเทคโนโลยีของคุณทุกเมื่อ

© ABN ASIA