Quale password viene crittografata automaticamente quando ha creato?

Le password memorizzate in un sistema ben progettato e sicuro dovrebbero sempre essere crittografato (più accuratamente, * hashed * usando una forte funzione a senso unico). Tuttavia, il meccanismo e i tempi di tale crittografia variano a seconda del contesto.

Ecco una rottura e alcuni esempi comuni:

* password del sistema operativo (Windows, MacOS, Linux): Quando si crea o si modifica la password di accesso per il sistema operativo del tuo computer, il sistema operativo ha automaticamente (crittografa) la password * prima di * memorizzarla. La password del testo semplice non tocca mai il mezzo di archiviazione.

* Account di siti Web (ad es. Google, Facebook, Amazon): Quando si crea un account su un sito Web o si modifica la password, il sito Web * dovrebbe * ha immediatamente avere la password sul lato server prima di salvarlo nel loro database. I siti Web rispettabili seguono questa pratica. Il processo avviene in modo trasparente; Non lo vedi. Un sito Web * buono * non memorizza mai la password in testo normale.

* Database: Molti sistemi di database forniscono meccanismi per crittografare automaticamente i dati, comprese le password, al momento della creazione o della modifica. Gli amministratori del database possono configurare queste impostazioni.

* password specifiche dell'applicazione: Se un'applicazione (come un gestore di password, un programma software, ecc.) Memorizza le password, * dovrebbe * crittarle automaticamente al momento della creazione/modifica.

Considerazioni importanti:

* crittografia vs. hashing: Il termine "crittografia" viene spesso usato vagamente, ma nel contesto della sicurezza della password, hashing è il termine più preciso. L'hashing è una funzione * a senso unico *. Non è possibile invertire facilmente un hash per ottenere la password originale. La crittografia, d'altra parte, è generalmente * reversibile * (con la chiave giusta). La memorizzazione di password come hash è molto più sicuro perché anche se un database è compromesso, gli aggressori non possono facilmente recuperare le password originali. Sono ridotti a attacchi a forza bruta (provendo molte password e li hanno per vedere se corrispondono all'hash immagazzinato).

* Salting: Oltre all'hashing, un valore "sale" casuale viene in genere aggiunto a ciascuna password prima dell'hashing. Ciò rende significativamente più difficile per gli aggressori utilizzare "tabelle arcobaleno" pre-computate o altre tecniche di crack di password.

* L'importanza di hash forti: Non tutti gli algoritmi di hashing sono creati uguali. I sistemi moderni dovrebbero utilizzare algoritmi di hashing forti e computazionalmente costosi come:

* Argon2

* bcrypt

* Scrypt

* PBKDF2 (spesso utilizzato in combinazione con HMAC-SHA256 o altre funzioni di hash sicure)

* Il presupposto di "dovrebbe": È fondamentale capire che mentre tutti i sistemi di cui sopra *dovrebbero *crittografare le password (hash) automaticamente, non è *garantito *. Le violazioni della sicurezza si verificano a causa di cattive pratiche.

In sintesi: Sebbene non tutte le password siano * garantite * da crittografare automaticamente, i sistemi correttamente progettati dovrebbero sempre (e di solito fare) le password (hash) alle password al momento della creazione per proteggere la sicurezza dell'utente. Gli accessi del sistema operativo, gli account del sito Web e i sistemi di database sono i primi esempi di luoghi in cui si prevede che si verifichi hashing di password automatica.

• I CMOS configurano l'opzione per impostare una password del supervisore? 
• Qual è il Plus all'inizio di una riga nel file della password?