Peppering is niet alleen een woord dat verband houdt met culinaire vaardigheden; het is ook een belangrijk cryptografieproces bij wachtwoordbeveiliging. Het is essentieel dat wachtwoorden veilig worden bewaard en beschermd tegen aanvallen van hackers. Peppering helpt daarbij. Wat is peppering en hoe helpt het je wachtwoorden veilig te houden?
Wat is peperen?
Peppering is een cryptografisch proces waarbij een geheime en willekeurige reeks tekens aan een wachtwoord wordt toegevoegd voordat het wordt gezouten en gehasht om het veiliger te maken. De reeks tekens die aan het wachtwoord wordt toegevoegd, wordt een peper genoemd. De peper verandert de hash van een wachtwoord helemaal en maakt het immuun voor brute force-aanvallen en het kraken van wachtwoorden met behulp van woordenboektabellen en regenboogtabellen.
Hoe werkt peperen?
Peppering is een extra beveiligingslaag die aan wachtwoorden wordt toegevoegd. Zie het als verschillende toppings op een taart. De gewone cake is een wachtwoord in platte tekst en hashing is de laatste topping, bijvoorbeeld hagelslag. Als je hagelslag direct op de cake doet, ziet het er niet goed uit. Hetzelfde geldt voor wachtwoordbeveiliging.
Alleen een wachtwoord hashen is niet veilig omdat het wachtwoord gemakkelijk kan worden gekraakt. Dat is de reden waarom de andere toppings, zout en peper (ironisch genoeg), de cake beter maken - zoals ze doen met wachtwoorden
Dus wat betekent het eigenlijk dat een wachtwoord wordt gehasht? Hashing is een eenrichtingsversleutelingsproces bij cryptografie. Wachtwoorden die gehasht zijn, zijn in feite vervormd en in plaats van de wachtwoorden in leesbare tekst op te slaan in een database, worden de hashes opgeslagen. Wanneer u uw wachtwoord invoert, wordt het gehasht en vervolgens vergeleken met het gehashte wachtwoord in de database. Zo valideert het systeem uw identiteit.
Net als zouten, wordt een pepertje toegevoegd aan een wachtwoord om het veiliger te maken. Dus een wachtwoord wordt getransformeerd van alleen een wachtwoord in platte tekst naar de hash van een wachtwoord + zout + peper. Dus in het geval dat een hacker toegang krijgt tot de salts en/of zelfs de wachtwoorden van gebruikers, kan de hacker het gehashte wachtwoord niet ontsleutelen omdat de peper de hash helemaal verandert.
Vergelijk bijvoorbeeld de hash van een gewoon wachtwoord, een gezouten wachtwoord en een gepeperd wachtwoord. Laat het wachtwoord '1yAm0r1a!' zijn, het zout 'eW3dU%' en de peper 'Am41a?'.
| Wachtwoord Tekst | Gehasht wachtwoord | |
| Wachtwoord zonder opmaak | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Gezouten wachtwoord | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Gepeperd wachtwoord | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Kan een peper worden gebruikt zonder zout?
Ja, een wachtwoord kan zonder zout worden gebruikt. Maar dit is niet ideaal voor wachtwoordbeveiliging. Als een aanvaller de pepper van een site te weten komt, wordt die site kwetsbaar voor aanvallen omdat de pepper wordt gebruikt voor alle wachtwoorden in de database.
Wat is het verschil tussen peperen en zouten?
In zekere zin is een peper een soort zout. Ze maken beide wachtwoorden veiliger, maar ze zijn verschillend. In tegenstelling tot zouten zijn pepers geheim, statisch breed en niet willekeurig gegenereerd.
Paprika's worden niet willekeurig gegenereerd
Wanneer u zich aanmeldt bij een website en uw wachtwoord invoert, voordat het wordt gehasht, wordt willekeurig een salt voor u gegenereerd. Dit is niet hetzelfde met peperen.
Bij peperen kiest de eigenaar van de site de peper. De site-eigenaar heeft de verantwoordelijkheid om ervoor te zorgen dat de gekozen peper veilig en sterk genoeg is. Natuurlijk kan de site-eigenaar ervoor kiezen om een willekeurige waardegenerator te gebruiken om een peper te kiezen.
Paprika's zijn statisch breed
Als iets statisch is, betekent dit dat het niet verandert. Bij salting wordt elke salt gegenereerd voor elke gebruiker in de database. Maar overal in de database wordt een peper gebruikt. Er zijn geen paprika's voor individuele gebruikers.
Paprika's worden geheim gehouden
In tegenstelling tot zouten die in de database van een site te vinden zijn, zijn paprika's geheim. Ze worden niet naast de zouten en hashes in de database opgeslagen; dat zou paprika's zinloos maken.
In plaats daarvan worden paprika's opgeslagen in een beveiligd en apart deel van de site-applicatie. Dit is belangrijk omdat in het geval dat een hacker een site compromitteert en toegang krijgt tot de wachtwoorden en salts van gebruikers op die site, zouden ze geen wachtwoorden kunnen kraken omdat ze de peper.
Een goede peper kiezen
Een goede peper kiezen is net zo belangrijk als het kiezen van een goed wachtwoord. Net als wachtwoorden moeten paprika's redelijk lang en uniek zijn. Vergeet niet dat overal op de site een peper wordt gebruikt; als een hacker bruut forceert of de peper raadt, is uw site kwetsbaar. Gebruik de naam van uw site niet als peper. Dat is het equivalent van het gebruik van "Password123" als uw wachtwoord.
Een ander alternatief is het gebruik van een wachtwoordgenerator. Er zijn veel wachtwoordgenerators online die kunnen worden gebruikt om een goede peper te kiezen.
Een andere manier van peperen is om de peper helemaal niet te bewaren. In plaats daarvan is de peper een korte reeks en wanneer een gebruiker inlogt op de site, forceert of doorloopt het systeem een reeks mogelijke pepers totdat de juiste wordt gebruikt. Dit duurt langer, dus er moet een korte peper worden gebruikt.
Een eenvoudig maar onveilig voorbeeld van deze methode is het alfabetisch maken van de peper. Wanneer je inlogt, doorloopt de site elke letter van het alfabet - kleine en hoofdletters - totdat de peper correct is.
Hoewel het gebruikelijk is om één peper op een site te gebruiken, is het mogelijk om er meer dan één tegelijk te hebben. Een paprika wordt bij registratie willekeurig toegewezen aan een gebruiker uit een groep paprika's. Wanneer die gebruiker inlogt, wordt elke paprika geprobeerd totdat degene die aan die gebruiker is toegewezen, is gekozen.
Is Peppering effectief in het vergroten van de beveiliging?
Ja. Wanneer een peper wordt gebruikt met een zout, is het ongelooflijk moeilijk voor een hacker om het wachtwoord van een gebruiker te kraken. Zelfs wanneer gebruikers zwakke wachtwoorden of dezelfde wachtwoorden gebruiken, zou een hacker het nooit weten omdat de peper de hash verandert. Met peppering wordt de veiligheid van wachtwoorden enorm vergroot.
7 veelvoorkomende wachtwoordfouten waardoor u waarschijnlijk wordt gehackt
Lees volgende
Gerelateerde onderwerpen
- Beveiliging
- Online beveiliging
- Cyberbeveiliging
Over de auteur
Chioma is een technisch schrijver die graag met haar lezers communiceert door middel van haar schrijven. Als ze niet aan het schrijven is, is ze vaak te vinden bij vrienden, vrijwilligerswerk of het uitproberen van nieuwe technische trends.
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Klik hier om je te abonneren
