Anonymous : |
ראיתי פה מדי פעם שרשורים על הצפנת מערכת הפעלה, הצפנת קבצים בכונן הקשיח וכו.
לאור הפריצות של האקרים לאתרים מנסה להבין:
אם הנתונים באתרים היו מוצפנים, זה היה מונע את דליפת המידע?
האם הצפנה יותר קשה כשמדובר באתר שפתוח לציבור הרחב, מאשר הצפנה של מחשב אישי? |
אם הנתונים מוצפנים, צריכים לפענח אותם לפני שמשתמשים בהם. אם לתוקף יש גישה לשרת, תהיה לו לרוב גישה גם למידע המפוענח. לעומת זאת, לא יזיק להצפין את הדיסק, אבל זה נגד איום שונה: של מישהו שמחלץ פיזית את הדיסק ומנסה לקרוא אותו.
אבל אני מנחש שדובר על „הצפנת״ סיסמאות. יש באופן כללי שתי דרכים לשמור סיסמאות לצורכי אימות: אפשר לשמור עותק שלהן, לקבל סיסמה מהצד השני ולבדוק ששניהם שווים. החיסרון הוא שצריכים להעביר את הסיסמה בתקשורת, וצריכים לשמור אותה בצד השני.
במקום זה מה שמקובל הוא לשמור גיבוב שלה (לדוגמה: באמצעות sha256, או md5 אם md5 לא הייתה קצת שבורה): מהגיבוב אי אפשר לדעת מה הייתה הסיסמה המקורית. לכן שומרים רק גיבוב של הסיסמה במקום את הסיסמה עצמה ומבקשים מהצד השני לשלוח את הגיבוב לצורך ההזדהות. היתרון הוא שלא צריכים לשמור את המידע הסודי של הסיסמה. החיסרון הקטן הוא שיש כל מיני דברים קטנים שלא עובדים בלי הסיסמה עצמה (לדוגמה: נוח מאוד שיש אפשרות להגיד למשתמש מה הייתה הסיסמה שלו).
גיבוב אינו הצפנה: אי אפשר לפענח את הסיסמה מהגיבוב (בזמן סביר. אלא אם כן מנחשים אותה) אבל זו לא מילה מוכרת ולכן הרבה פעמים מכנים את זה בטעות „הצפנת סיסמאות״.