Apimentar não é apenas uma palavra relacionada a habilidades culinárias; é também um importante processo de criptografia na segurança de senhas. É essencial que as senhas sejam mantidas seguras e protegidas contra ataques de hackers. A pimenta ajuda a fazer isso. O que é apimentar e como isso ajuda a manter suas senhas seguras?
O que é pimenta?
Peppering é um processo criptográfico que envolve adicionar uma sequência de caracteres secreta e aleatória a uma senha antes que ela seja salgada e criptografada para torná-la mais segura. A sequência de caracteres adicionada à senha é chamada de pimenta. A pimenta muda completamente o hash de uma senha e a torna imune a ataques de força bruta e quebra de senha usando tabelas de dicionário e tabelas arco-íris.
Como funciona a pimenta?
Peppering é uma camada extra de segurança adicionada às senhas. Pense nisso como coberturas diferentes em um bolo. O bolo simples é uma senha de texto simples e o hash é a cobertura final - digamos, granulado. Se você colocar granulado diretamente no bolo, não ficará muito bom. É o mesmo com a segurança da senha.
Apenas fazer hash de uma senha não é seguro porque a senha pode ser facilmente quebrada. É por isso que as outras coberturas, sal e pimenta (ironicamente), tornam o bolo melhor – como fazem com senhas
Então, o que realmente significa para uma senha ser hash? Hashing é um processo de criptografia unidirecional em criptografia. As senhas com hash são basicamente embaralhadas e, em vez de armazenar as senhas de texto simples em um banco de dados, os hashes são armazenados. Quando você insere sua senha, ela é criptografada e comparada com a senha criptografada no banco de dados. É assim que o sistema valida sua identidade.
Assim como salgar, uma pimenta é anexada a uma senha para torná-la mais segura. Assim, uma senha é transformada de apenas uma senha de texto simples para o hash de uma senha+sal+pimenta. Portanto, no caso de um hacker obter acesso aos sais e/ou até mesmo às senhas dos usuários, o hacker não poderá descriptografar a senha com hash porque a pimenta altera completamente o hash.
Por exemplo, compare o hash de uma senha simples, uma senha salgada e uma senha apimentada. Deixe a senha ser '1yAm0r1a!', o sal 'eW3dU%' e a pimenta 'Am41a?'.
| Texto da senha | Senha com hash | |
| Senha de texto simples | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Senha Salgada | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Senha apimentada | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Uma pimenta pode ser usada sem sal?
Sim, uma senha pode ser usada sem sal. Mas isso não é ideal para segurança de senha. Se um invasor conhecer o pepper de um site, esse site se tornará vulnerável a ataques porque o pepper será usado para todas as senhas do banco de dados.
Qual é a diferença entre apimentar e salgar?
De certa forma, uma pimenta é um tipo de sal. Ambos tornam as senhas mais seguras, mas são diferentes. Ao contrário dos sais, as pimentas são secretas, estáticas e não geradas aleatoriamente.
Pimentas não são geradas aleatoriamente
Quando você entra em um site e insere sua senha, antes que ela seja criptografada, um salt é gerado aleatoriamente para você. Isso não é o mesmo com pimenta.
Na pimenta, o dono do site escolhe a pimenta. O proprietário do site tem a responsabilidade de garantir que a pimenta escolhida seja segura e forte o suficiente. Claro, o dono do site pode optar por usar um gerador de valor aleatório para escolher uma pimenta.
Pimentas são estáticas
Quando algo é estático, significa que não muda. No salting, cada salt é gerado para cada usuário no banco de dados. Mas uma pimenta é usada em todo o banco de dados. Não há pimentas para usuários individuais.
Pimentas são mantidas em segredo
Ao contrário dos sais que podem ser encontrados no banco de dados de um site, as pimentas são secretas. Eles não são armazenados no banco de dados junto com os sais e hashes; isso tornaria as pimentas inúteis.
Em vez disso, as pimentas são armazenadas em uma parte segura e separada do aplicativo do site. Isso é importante porque no caso de um hacker comprometer um site e obter acesso às senhas e sais de usuários nesse site, eles não seriam capazes de decifrar nenhuma senha porque não conhecem o pimenta.
Escolhendo uma boa pimenta
Escolher uma boa pimenta é tão importante quanto escolher uma boa senha. Assim como as senhas, as pimentas devem ser razoavelmente longas e únicas. Lembre-se que uma pimenta é usada em todo o site; se um hacker forçar ou adivinhar a pimenta, seu site ficará vulnerável. Não use o nome do seu site como pimenta. Isso é o equivalente a usar "Password123" como sua senha.
Outra alternativa é usar um gerador de senhas. Existem muitos geradores de senhas online que podem ser usados para escolher uma boa pimenta.
Outro método de apimentar é não armazenar a pimenta. Em vez disso, a pimenta é uma string curta e quando um usuário faz login no site, o sistema força bruta ou executa uma série de pimentas possíveis até que a correta seja usada. Isso leva mais tempo, então uma pimenta curta deve ser usada.
Um exemplo fácil e inseguro desse método é colocar a pimenta em ordem alfabética. Quando você faz login, o site percorre todas as letras do alfabeto – minúsculas e maiúsculas – até que a pimenta esteja correta.
Embora seja típico usar uma pimenta em um site, é possível ter mais de uma por vez. Uma pimenta é atribuída aleatoriamente a um usuário no registro de um grupo de pimentas. Quando esse usuário faz login, todas as pimentas são testadas até que a atribuída a esse usuário seja escolhida.
O Peppering é eficaz para aumentar a segurança?
Sim. Quando uma pimenta é usada com sal, é incrivelmente difícil para um hacker quebrar a senha de um usuário. Mesmo quando os usuários usam senhas fracas ou as mesmas senhas, um hacker nunca saberia porque a pimenta altera o hash. Com a pimenta, a segurança das senhas é muito aumentada.
7 erros comuns de senha que provavelmente farão com que você seja hackeado
Leia a seguir
Tópicos relacionados
- Segurança
- Segurança on-line
- Cíber segurança
Sobre o autor
Chioma é uma escritora técnica que adora se comunicar com seus leitores por meio de sua escrita. Quando ela não está escrevendo algo, ela pode ser encontrada saindo com amigos, fazendo voluntariado ou experimentando novas tendências tecnológicas.
Assine a nossa newsletter
Junte-se à nossa newsletter para dicas de tecnologia, análises, e-books gratuitos e ofertas exclusivas!
Clique aqui para assinar
