Шифрование паролей пользователей на сайте

Protect: шифрование паролей

Злоумышленники пытаются украсть пароли, чтобы получить доступ к личным данным пользователей или их электронным кошелькам. Лучше хранить пароли в зашифрованном виде — тогда хакер не сможет воспользоваться паролями, даже украв их.

Создать мастер-пароль

  1. Нажмите 
     → Пароли и карты

    .
  2. В левом нижнем углу нажмите Настройки
    .
  3. Нажмите Создать мастер-пароль
    .
  4. Если вы используете пароль для вашей учетной записи на компьютере, введите его в окне запроса системного пароля.
  5. Введите мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  6. Для подтверждения введите мастер-пароль повторно.
  7. Чтобы восстановить доступ к хранилищу, если вы забудете мастер-пароль, создайте запасной ключ шифрования.

Теперь сохранить пароль для сайта в браузере и открыть менеджер паролей можно будет только после ввода мастер-пароля. Созданный мастер-пароль не сохраняется ни на компьютере
, ни на сервере. Сохраняется лишь зашифрованный с его помощью ключ.

Изменить мастер-пароль

  1. Нажмите 
     → Пароли и карты

    .
  2. Введите текущий мастер-пароль.
  3. В левом нижнем углу нажмите Настройки
    .
  4. Нажмите Сменить мастер-пароль
    .
  5. В открывшемся диалоговом окне введите текущий мастер-пароль.
  6. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  7. Введите мастер-пароль еще раз для подтверждения.

После этого зашифрованный с помощью мастер-пароля ключ шифруется заново и при ближайшей синхронизации передается на другие устройства. Мастер-пароль не сохраняется ни на компьютере
, ни на сервере.

Удалить мастер-пароль

  1. Нажмите 
     → Пароли и карты

    .
  2. Введите текущий мастер-пароль.
  3. В левом нижнем углу нажмите Настройки
    .
  4. Нажмите Удалить мастер-пароль
    .
  5. В открывшемся диалоговом окне введите мастер-пароль для подтверждения.

После этого браузер перестанет запрашивать мастер-пароль для доступа к паролям. В ближайшую синхронизацию мастер-пароль будет удален на других устройствах.

Частота запроса мастер-пароля

Браузер запрашивает мастер-пароль при сохранении новых паролей, автоматической подстановке паролей в формы авторизации, а также при попытках открыть хранилище паролей. Вы можете отрегулировать частоту запроса мастер-пароля браузером:

  1. Нажмите 
     → Пароли и карты

    .
  2. Введите текущий мастер-пароль.
  3. В левом нижнем углу нажмите Настройки
    .
  4. В поле Запрашивать мастер-пароль для доступа к паролям
    выберите нужную частоту: после перезапуска браузера, после перезагрузки компьютера, раз в час или раз в 5 минут. Чем чаще запрашивается мастер-пароль, тем надежнее защита хранилища.
  5. В открывшемся диалоговом окне введите мастер-пароль для подтверждения.

Вы также можете отключить запрос мастер-пароля. Для этого отключите опцию Запрашивать мастер-пароль для доступа к паролям
. В результате браузер перестанет запрашивать мастер-пароль для доступа к хранилищу паролей. При этом:

  • Мастер-пароль не удаляется, а записывается в базу данных в зашифрованном виде. Ключ шифрования сохраняется на компьютере и защищается средствами операционной системы.
  • Сохраненные ранее пароли остаются зашифрованными мастер-паролем. При сохранении нового пароля или расшифровке старого браузер использует старый мастер-пароль, не запрашивая его у пользователя.
  • В процессе синхронизации все пароли отправляются на другие устройства в зашифрованном виде. На других устройствах эти пароли будут подставляться в формы авторизации, и для их расшифровки вам потребуется ввести мастер-пароль.
  • Отключать запрос мастер-пароля на каждом из ваших устройств придется вручную. Так сделано из соображений безопасности — чтобы, например, пароли на устройстве, к которому имеет доступ кто-то посторонний, не стали ему доступны без вашего ведома.

Если вы забыли мастер-пароль

Если вы забыли мастер-пароль и у вас есть запасной ключ шифрования:

  1. В форме ввода мастер-пароля нажмите Не помню пароль
    .
  2. В открывшемся диалоговом окне установите переключатель в положение Сбросить мастер-пароль
    . Нажмите Продолжить
    .
  3. Введите новый мастер-пароль длиной не менее 6 символов. Рекомендуем использовать сложные, но легко запоминаемые пароли.
  4. Введите новый мастер-пароль еще раз для подтверждения. Нажмите Продолжить
    .
  5. На странице Яндекс.Паспорта введите пароль вашей учетной записи на Яндексе.
  6. После этого мастер-пароль обновится, а все пароли в хранилище будут перешифрованы.

Если вы забыли мастер-пароль и запасного ключа шифрования у вас нет, браузер не сможет восстановить ваши пароли. Он перестанет их подставлять в формы авторизации, и вы не сможете просмотреть их в менеджере. Вам останется только удалить все пароли вместе с ключом шифрования. При этом, если вы используете пароль для вашей учетной записи на компьютере, его надо будет ввести, чтобы подтвердить права на удаление паролей.

Запасной ключ шифрования

Если вы забыли мастер-пароль, то сможете восстановить пароли, только если у вас есть запасной ключ шифрования. Для его создания нужна синхронизация.

Чтобы сбросить мастер-пароль, помимо запасного ключа, вам потребуется специальный файл. Он автоматически создается при первом вводе мастер-пароля и хранится локально. Поэтому даже Яндекс не может расшифровать ваши пароли.

В процессе восстановления доступа вы должны будете ввести пароль от вашего аккаунта на Яндексе. Вероятность того, что злоумышленник сумеет одновременно украсть ключ с сервера, файл с устройства и пароль от аккаунта на Яндексе, низка.

Чтобы создать запасной ключ шифрования:

  1. Нажмите 
     → Пароли и карты

    .
  2. Введите текущий мастер-пароль.
  3. В левом нижнем углу нажмите Настройки
    .
  4. Нажмите Включить возможность сброса мастер-пароля
    .
  5. Введите текущий мастер-пароль и нажмите Продолжить
    .
  6. В открывшемся диалоговом окне нажмите Включить
    .

    Примечание.
    Если синхронизация в браузере была отключена, на экране появится диалоговое окно для ее включения. Введите логин и пароль вашего аккаунта на Яндексе и нажмите Включить синхронизацию
    .

Браузер сообщит о том, что создан запасной ключ шифрования.

Чтобы удалить запасной ключ шифрования, в настройках менеджера паролей нажмите Выключить возможность сброса мастер-пароля
.

Шифрование паролей пользователей на сайте

Многие из Вас прекрасно понимают, что хранить пароли в открытом виде в базе данных — крайне глупо
. Если злоумышленник каким-то образом получит доступ к таблице с пользователями, то у него будет полная база паролей. А учитывая, что большинство пользователей имеют 1
пароль для всех сайтов, последствия могут быть печальными, а всё по Вашей вине. Есть, конечно, MD5-хэширование
, но оно не даёт 100% гарантии
, что пароли не будут расшифрованы. Почему это так и как правильно шифровать пароли пользователей на сайте
, Вы узнаете из этой статьи.

MD5
— это общедоступный алгоритм шифрования. И многие сайты хэшируют пароли только с помощью этого алгоритма. Безусловно, алгоритм MD5
необратим. Однако, далеко не все знают, что в Интернете существует масса баз, в которых уже посчитаны, порой, десятки миллионов паролей и их MD5-хэшей
. Фактически, злоумышленник просто вставляет хэш в форму и почти мгновенно получает изначальный пароль.

Но Вы должны понимать, что десятки миллионов паролей — это капля в море
, подобно размерам небольшого города и Вселенной. Но проблема в том, что в этом «городе» хранятся самые популярные пароли. Таким образом, несмотря на MD5-хэширование
паролей у пользователей, всё-таки многие пароли всплывут. Однако, из этого есть выход.

Простеший способ, который защитит Вас от кражи паролей на 99.99% — это хэширование не просто пароля, но и некого секретного слова
:


  $secret = "Xdgd99DFd9Z"; // Секретное слово
  $password = "123"; // Пароль
  echo md5($password.$secret); // Результат хэширования

Теперь, несмотря на тривиальность пароля, по хэшу его будет невозможно угадать. Ваша же задача, как Администратора, подобрать такое секретное слово, чтобы его гарантированно не было в этих базах. Для этого достаточно произвольным образом нажимать клавиши на клавиатуре. И данное слово надо сохранить в конфигурационном файле сайта, чтобы всегда к нему был доступ. Также можно не бояться, что злоумышленник узнает это слово, оно ему всё равно не поможет. Само слово запоминать Вам не нужно.

Вот таким нехитрым образом шифруется пароль пользователя на сайте
. И теперь даже если кто-то и украдёт хэши пользователей, то они ему абсолютно ничем не помогут.

  • Создано 26.10.2012 08:58:50

  • Михаил Русаков
Ссылка на основную публикацию