Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: CXLV Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 18 июля 2022 г.)

Наука: Технические науки

Секция: Телекоммуникации

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Грунтовский Д.Р. ХРАНЕНИЕ ПАРОЛЕЙ. ХЕШ-ФУНКЦИИ // Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ: сб. ст. по мат. CXLV междунар. студ. науч.-практ. конф. № 14(145). URL: https://sibac.info/archive/meghdis/14(145).pdf (дата обращения: 21.02.2024)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

ХРАНЕНИЕ ПАРОЛЕЙ. ХЕШ-ФУНКЦИИ

Грунтовский Денис Романович

студент, кафедра вычислительные системы и информационная безопасность, Донской государственный технический университет,

РФ, г. Ростов-на-Дону

PASSWORD STORAGE. HASH FUNCTIONS

 

Denis Gruntovsky

student, Department of Computing Systems and Information Security, Don State Technical University,

Russia, Rostov-on-Don

 

АННОТАЦИЯ

Статья говорит о том, каким образом можно хранить пароли и обезопасить пользователя от взлома.

ABSTRACT

The article talks about how you can store passwords and protect the user from hacking.

 

Ключевые слова: База данных; пользователь; злоумышленник; хеш; функции; пароль; словарь.

Keywords: Database; user; intruder; hash; functions; password; dictionary.

 

Допустим у нас есть сервер (социальная сеть, интернет магазин и т.д.) и есть пользователь с логином denis@ yandex.ru и паролем Denis123_. Нам эти данные нужно сохранить в нашей базе данных. Как это сделать?

Можно добавить эти данные в открытом или полуоткрытом в виде в нашу базу данных, но у этого способа есть много минусов:

  1. Если какой-то злоумышленник получит доступ к нашей базе данных, то он получить доступ ко все паролям и логина хранящейся в ней.
  2. Зачастую пользователи используют один и тот же пароль на большинстве своих сервисов, соответственно если хакер украл доступ от какого-то одного сервиса, то существует большая вероятность того, что он с теми же данным сможет зайти в другой сервис.
  3. Все разработчики, которые работают с базами данных могут видеть все пароли всех пользователей

Так хранить пароли данные нельзя. Данные нужно хранить, используя хеш-функции. Хеш-функции – это алгоритм, который принимает на вход данные произвольной длинны и переводит их в набор данных фиксированной длины, причем при небольшом изменении входных данных, выходные данные очень сильно меняются. Функция хеширования не предполагает обратный перевод данных (из хеша получить пароль нельзя). Используя этот метод в нашей БД не будут храниться пароли в чистом виде, а только их хеши.

У этого способа тоже есть минусы, но они косвенные. Пользователи любят простые (распространённые) пароли. Хакеры придумали такую штуку как радужные таблицы. Они взяли словари часто используемых паролей и от всех этих паролей посчитали хеш-функции. И если хакер взломает БД, он сможет сравнить хеши в БД с его таблицей и расшифровать пароли. Но с этим можно бороться, для этого во входные данные добавляется “Соль”- к изначальному паролю добавляется длинная сложная строка. И в нашей БД будут храниться хеши с подсоленными данными, соответственно хеши не совпадут с таблицей хакера.

 

Список литературы:

  1. Введение в криптографию / Под общ. ред. В. В. Ященко. — 4-е изд., доп. М.: МЦНМО, 2012. — 348 с.
  2. GitGub – Про хранение паролей в БД [электронный ресурс] – Режим доступа. – URL: https:// gist.github.com/zmts/b72d3bcfd07634ff519da407bb86f361 (дата обращения 12.07.2022).
  3. Википедия - Хеш-функция [электронный ресурс] — Режим доступа. — URL: https://ru.wikipedia.org/wiki/Хеш-функция (дата обращения 13.07.2022)
Проголосовать за статью
Конференция завершена
Эта статья набрала 0 голосов
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.