Slovník pojmů - Pepper (pepř)

Domů » Slovník pojmů » Pepper (pepř)

Pepper je bezpečnostní mechanismus používaný ve spojení s hashováním hesel, který přidává další vrstvu ochrany k heslům uloženým v databázi. Podobně jako „salt“ (sůl), který je náhodně generovaný a přidáván k jednotlivým heslům před jejich hashováním, „pepper“ je také tajný řetězec znaků, ale liší se v několika klíčových aspektech.

Klíčové Vlastnosti Pepper

• Globální pro Aplikaci: Na rozdíl od saltu, který je jedinečný pro každé heslo, pepper je typicky globální a tajný řetězec používaný pro všechna hesla v aplikaci.
• Není Uložen V Databázi: Zatímco salt je obvykle uložen spolu s hashovaným heslem v databázi, pepper se ukládá odděleně, například v konfiguračním souboru aplikace nebo v bezpečném hardwaru, a je přístupný pouze aplikaci během procesu hashování hesla.
• Přidává Dodatečnou Ochranu: Pepper zvyšuje odolnost uložených hashů hesel proti útokům, jako jsou útoky hrubou silou nebo pokusy o využití rainbow tabulek, tím, že ztěžuje útočníkům získat původní hesla i v případě, že se jim podaří získat hashovaná hesla a jejich salty.

Jak Pepper Funguje

Při vytváření hashu hesla se pepper kombinuje s heslem (a potenciálně i s salt) před samotným hashovacím procesem. Tato kombinace hesla, saltu (pokud je použit) a pepperu je poté zpracována pomocí bezpečné hashovací funkce, vytvářejíc přitom unikátní hash. Díky tomu, že pepper není uložen společně s hashem hesla v databázi, jeho přítomnost a hodnota zůstávají utajené před potenciálními útočníky.

Výhody a Nevýhody Použití Pepperu

Výhody:

• Poskytuje dodatečnou bezpečnostní vrstvu pro hashovaná hesla.
• Zvyšuje složitost a náklady na útoky hrubou silou nebo útoky s využitím rainbow tabulek.

Nevýhody:

• Správa a bezpečné ukládání pepperu může být náročné, zejména v distribuovaných nebo velkých systémech.
• V případě ztráty nebo kompromitace pepperu může být nutné resetovat všechna hesla uživatelů, což může být logisticky náročné.

Pepper, stejně jako salting, je důležitá součást strategií pro zabezpečení hesel. Přestože použití pepperu přidává komplexnost do procesu ukládání hesel, výhody v podobě zvýšené bezpečnosti mohou tyto náklady převažovat, zejména v prostředích, kde je ochrana citlivých dat kritická.