الدليل الكامل لتشفير كلمات المرور وأمن التجزئة
بالنسبة لمطوري الويب ومسؤولي قواعد البيانات ومهندسي الأمان، يعد تخزين كلمات مرور المستخدم بشكل آمن من أهم متطلبات أمان الواجهة الخلفية. يعد حفظ كلمات المرور بنص عادي إخفاقًا أمنيًا كبيرًا. حتى استخدام خوارزميات التجزئة السريعة مثل MD5 أو SHA-256 أو SHA-512 يترك قاعدة بيانات المستخدم الخاصة بك عرضة للاختراق العنيف دون الاتصال بالإنترنت إذا تم اختراق الخادم الخاص بك. ص> يظل
Bcrypt هو خوارزمية تجزئة كلمة المرور المتوافقة مع معايير الصناعة، والمصممة خصيصًا لمقاومة هجمات تسريع الأجهزة. يتيح لك Bcrypt Hash Generator الخاص بنا إنشاء تجزئة Bcrypt وتحليلها والتحقق منها على الفور في متصفحك.
<ساعة>التشفير وراء Bcrypt: لماذا يعتبر البطء ميزة أمنية
تم تصميم معظم خوارزميات التجزئة (مثل MD5 وSHA-256) لتحقيق السرعة - مما يسمح للأنظمة بالتحقق من الملفات الكبيرة أو عمليات التحقق من التكامل في أجزاء من الثانية. ومع ذلك، عند تطبيقها على كلمات المرور، تصبح هذه السرعة مسؤولية كبيرة. يمكن لمجموعة GPU الحديثة اختبار مليارات من تجزئة SHA-256 في الثانية، مما يؤدي إلى كسر كلمات مرور المستخدم البسيطة في دقائق.
نجح Bcrypt في حل هذه الثغرة الأمنية من خلال تقديم عامل عمل متكيف (معلمة التكلفة) استنادًا إلى شفرة كتلة السمكة المنتفخة:
- البطء التكيفي: تؤدي كل زيادة في معلمة عامل التكلفة إلى مضاعفة الموارد الحسابية المطلوبة لإنشاء علامة التجزئة.
- إنشاء الملح: يضيف Bcrypt تلقائيًا ملحًا فريدًا وعشوائيًا مشفرًا لكل كلمة مرور قبل التجزئة. وهذا يجعل جداول قوس قزح (أدلة التجزئة المحسوبة مسبقًا) عديمة الفائدة تمامًا.
- ضبط عامل العمل: نظرًا لأن وحدات المعالجة المركزية (CPU) للخادم وبطاقات الرسومات أصبحت أسرع، يمكن للمطورين رفع عامل التكلفة للحفاظ على تكلفة هجمات القوة الغاشمة من الناحية الحسابية، مع الحفاظ على سرعة التحقق للمستخدمين الحقيقيين.
برنامج تعليمي خطوة بخطوة: كيفية إنشاء تجزئة Bcrypt والتحقق منها
- إدخال كلمة المرور الأولية: اكتب سلسلة كلمة المرور المستهدفة في نافذة المولد.
- حدد عامل التكلفة (الجولات): اختر عامل العمل المطلوب. معيار الصناعة هو 12 جولة، والتي تستغرق حوالي 300 مللي ثانية على المعالجات الحديثة - وهو التوازن بين تجربة المستخدم والحماية من القوة الغاشمة.
- تنفيذ التجزئة: انقر فوق إنشاء Bcrypt Hash لتجميع سلسلة التجزئة الخاصة بك على الفور.
- التحقق من التطابقات: لاختبار ما إذا كانت كلمة المرور تتطابق مع تجزئة موجودة، انتقل إلى علامة التبويب التحقق، والصق كلا السلسلتين، وقم بتشغيل أداة التحقق من الصحة.
مصفوفة أمان التجزئة: Bcrypt مقابل MD5 مقابل SHA-256 مقابل Argon2
<الجدول> <الرأس> <تر>كيفية تحليل سلسلة تجزئة Bcrypt
تتبع تجزئة Bcrypt التي تم إنشاؤها تنسيقًا صارمًا مكونًا من 60 حرفًا:
$2b$12$LQv3c1yqBWVHxkd0LHAkCOYz6TtxMQJqhN8/LewdBPj/nEwFvF2Wy
تقسيم المكونات:
$2b$: يحدد إصدار خوارزمية Bcrypt المحدد المستخدم.$12$: يحدد معلمة التكلفة (2^12 = 4,096 تكرارًا).$LQv3c1yqBWVHxkd0LHAkCO: الجزء الملح المكون من 22 حرفًا.Yz6TtxMQJqhN8/LewdBPj/nEwFvF2Wy: قيمة تجزئة السمكة المنتفخة المكونة من 31 حرفًا.