Hesla k účtům do webových aplikací | Friendly studio

Hesla k účtům do webových aplikací


6. 8. 2018 | 2 minuty #technologie #zajímavosti

Hesla k účtům do webových aplikací

V dnešní době je téměř každá webová aplikace obsahující uživatelskou sekci napadána roboty a hackery, kteří se snaží nabourat do uživatelských účtů. Mezi dvě základní pravidla, díky kterým můžete zamezit probourání autentizace uživatele, patří volba dostatečně silného hesla ze strany uživatele a následná správná manipulace s heslem ze strany webové aplikace.

Volba bezpečného hesla

Bezpečné heslo by se mělo skládat z co největšího počtu náhodných znaků. V žádném případě by se nemělo skládat z číselné postupky nebo z nějakého běžného slova. Tyto kombinace zkouší roboti jako první. Dále není vhodné používat vlastní jméno, datum narození, či jiné údaje, které mají spojitost s vaší osobou. Této skutečnosti může využít hacker, který se cíleně snaží dostat právě do vašeho účtu a zná vaše osobní údaje.

 

Další podstatnou vlastností bezpečného hesla je jeho délka. Kvalitní heslo by se mělo skládat alespoň z 8 náhodných znaků obsahující minimálně jednu číslici, jedno malé a jedno velké písmeno. Navíc je vhodné použít nějaký znak diakritiky (. , : ; – ? !) či nějaký speciální symbol (@ # & $ ^ _ *).

 

Zabezpečení na straně aplikace

Ze všeho nejdříve se musí vámi zadané heslo odeslat do aplikace. Aby tento přenos byl bezpečný, měla by webová aplikace mít zřízený SSL certifikát (lze poznat podle url adresy začínající protokolem https, nikoliv http). Tento certifikát zařídí, že přenos hesla bude šifrovaný. Pokud by tedy útočník odposlouchával přenos dat například na veřejné WiFi síti, tak nedokáže heslo rozpoznat.

 

Další podstatnou částí je ukládání hesel. Hesla by měla být ukládána až po zpracování hashovací funkcí. Tato funkce nám vytvoří z hesla výstup (otisk) fixní délky, který je již výpočetně nemožný převést zpět na heslo. Kontrola zadaného hesla pak probíhá tak, že se nejdříve tato funkce aplikuje na zadané heslo a její výstup se následně porovná s údajem v databázi. Mezi aktuálně používané a nejbezpečnější hashovací funkce patří například SHA-512. Dříve využívaná funkce MD5 se zásadně nedoporučuje používat kvůli nalezeným závažným chybám, kvůli kterým je možné z vytvořeného otisku získat zpět vstupní data, tedy heslo.

 

Je jasné, že si nikdo nemůže zapamatovat 8 místné heslo (F1da{-1G), které je pro každý účet unikátní. Tipy, jak pracovat s hesly budou tématem dalšího článku ze série hesel.

Vašek Dvořák
Back-end Developer

ZAJÍMAVOSTI AŽ POD NOS


PÍŠEME ČLÁNKY, KTERÉ VÁS ZAJÍMAJÍ.

Nepíšeme otravný newsletter s nabídkou slevy. Když už vám napíšeme, rádi si to přečtete.