13 подписчиков

Безопасная работа с паролями

Давайте разберемся, а как на стороне бекенда правильно работать с паролями.

В первую очередь, нужно:

1. Использовать правильную длину пароля - минимально от 8 символов и больше. Короткие пароли очень легко подбираются.

2. Не хранить пароли в открытом виде в БД - никогда (!), никогда нельзя хранить пароли в открытом виде. Они обязательно должны быть захешированы и лежать в захешированом виде.

Если БД попадет в чужие руки, то пароли улетят, а вместе с ними и аккаунты.

3. Пароли хешируются, но не шифруются.

В чем разница? Если пароль зашифрован и кто-то "слил" ключ шифрования, то пароли можно будет легко расшифровать.

При аутентификации тот пароль, который мы ввели в форму логина, хешируется и мы сравниваем полученный хеш с хешей, который лежит в БД

4. Использовать "соль" - в интеренете существуют специальные таблицы. Их называют "радужные таблицы" - они уже содержат расшифрованный хеш дял самых популярных паролей.

Поэтому, если при сохранении хеша к паролю мы будем добавлять "соль", то злоумышленнику будет труднее расшифровать хеш, даже если пользователь использовал популярный пароль вида "12345678"

Около минуты

21 ноября 2023