Peppering no es solo una palabra relacionada con las habilidades culinarias; también es un proceso de criptografía importante en la seguridad de contraseñas. Es esencial que las contraseñas se mantengan seguras y protegidas de los ataques de los piratas informáticos. Peppering ayuda a hacer eso. ¿Qué es salpicar y cómo ayuda a mantener seguras sus contraseñas?
¿Qué es la pimienta?
Peppering es un proceso criptográfico que implica agregar una cadena secreta y aleatoria de caracteres a una contraseña antes de que se salte y se convierta en hash para que sea más segura. La cadena de caracteres añadida a la contraseña se llama pimienta. El pimiento cambia el hash de una contraseña por completo y la hace inmune a ataques de fuerza bruta y descifrado de contraseñas usando tablas de diccionario y tablas de arco iris.
¿Cómo funciona la pimienta?
Peppering es una capa adicional de seguridad agregada a las contraseñas. Piense en ello como diferentes ingredientes en un pastel. El pastel simple es una contraseña de texto simple y el hashing es el aderezo final, digamos, chispas. Si pones chispas directamente sobre el pastel, no se vería muy bien. Es lo mismo con la seguridad de la contraseña.
El simple hecho de codificar una contraseña no es seguro porque la contraseña se puede descifrar fácilmente. Es por eso que los otros ingredientes, sal y pimienta (irónicamente), mejoran el pastel, como lo hacen con las contraseñas.
Entonces, ¿qué significa realmente que una contraseña sea cifrada? Hashing es un proceso de encriptación unidireccional en criptografía. Las contraseñas que tienen hash básicamente están codificadas y, en lugar de almacenar las contraseñas de texto sin formato en una base de datos, se almacenan los hash. Cuando ingresa su contraseña, se codifica y luego se compara con la contraseña codificada en la base de datos. Así es como el sistema valida tu identidad.
Al igual que la salazón, se agrega un pimiento a una contraseña para hacerla más segura. Entonces, una contraseña se transforma de solo una contraseña de texto sin formato al hash de una contraseña + sal + pimienta. Entonces, en el caso de que un pirata informático obtenga acceso a las sales y / o incluso a las contraseñas de los usuarios, el pirata informático no podrá descifrar la contraseña codificada porque la pimienta cambia el hash por completo.
Por ejemplo, compare el hash de una contraseña simple, una contraseña con sal y una contraseña con pimienta. Que la contraseña sea '1yAm0r1a!', la sal 'eW3dU%' y la pimienta 'Am41a?'.
| Texto de contraseña | Contraseña cifrada | |
| Contraseña de texto sin formato | 1yAm0r1a! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Contraseña salada | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| contraseña salpicada | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
¿Se puede usar un pimiento sin sal?
Sí, se puede usar una contraseña sin sal. Pero esto no es ideal para la seguridad de contraseñas. Si un atacante llega a conocer el pimiento de un sitio, ese sitio se vuelve vulnerable al ataque porque el pimiento se utiliza para todas las contraseñas de la base de datos.
¿Cuál es la diferencia entre pimienta y salazón?
En cierto modo, un pimiento es un tipo de sal. Ambos hacen que las contraseñas sean más seguras, pero son diferentes. A diferencia de las sales, los pimientos son secretos, estáticos y no se generan aleatoriamente.
Los pimientos no se generan aleatoriamente
Cuando inicia sesión en un sitio web e ingresa su contraseña, antes de que se genere un hash, se genera aleatoriamente una sal para usted. Esto no es lo mismo con pimienta.
En la pimienta, el dueño del sitio elige la pimienta. El propietario del sitio tiene la responsabilidad de garantizar que el pimiento elegido sea lo suficientemente seguro y fuerte. Por supuesto, el propietario del sitio puede optar por utilizar un generador de valores aleatorios para elegir un pimiento.
Los pimientos tienen todo el ancho de la estática
Cuando algo es estático, significa que no cambia. En la salazón, cada sal se genera para cada usuario en la base de datos. Pero se usa un pimiento en toda la base de datos. No hay pimientos para usuarios individuales.
Los pimientos se mantienen en secreto
A diferencia de las sales que se pueden encontrar en la base de datos de un sitio, los pimientos son secretos. No se almacenan en la base de datos junto con las sales y hashes; eso haría que los pimientos no tuvieran sentido.
En cambio, los pimientos se almacenan en una parte segura y separada de la aplicación del sitio. Esto es importante porque en el caso de que un hacker comprometa un sitio y obtenga acceso a las contraseñas y sales de los usuarios en ese sitio, no podrían descifrar ninguna contraseña porque no conocen el pimienta.
Elegir un buen pimiento
Elegir un buen pimiento es tan importante como elegir una buena contraseña. Al igual que las contraseñas, los pimientos deben ser razonablemente largos y únicos. Recuerda que se utiliza un pimiento en todo el sitio; si un hacker fuerza brutamente o adivina la pimienta, su sitio sería vulnerable. No utilice el nombre de su sitio como un pimiento. Eso es el equivalente a usar "Password123" como contraseña.
Otra alternativa es utilizar un generador de contraseñas. Hay muchos generadores de contraseñas en línea que podrían usarse para elegir un buen pimiento.
Otro método de pimienta es no almacenar la pimienta en absoluto. En cambio, el pimiento es una cadena corta y cuando un usuario inicia sesión en el sitio, el sistema fuerza bruta o ejecuta una serie de posibles pimientos hasta que se utiliza el correcto. Esto lleva más tiempo, por lo que se debe usar un pimiento corto.
Un ejemplo fácil pero inseguro de este método es poner el pimiento en orden alfabético. Cuando inicia sesión, el sitio recorre todas las letras del alfabeto, minúsculas y mayúsculas, hasta que el pimiento es correcto.
Aunque es típico usar un pimiento en un sitio, es posible tener más de uno a la vez. Un pimiento se asigna aleatoriamente a un usuario en el registro de un grupo de pimientos. Cuando ese usuario inicia sesión, se prueban todos los pimientos hasta que se elige el asignado a ese usuario.
¿Es eficaz Peppering para aumentar la seguridad?
Sí. Cuando se usa un pimiento con una sal, es increíblemente difícil para un pirata informático descifrar la contraseña de un usuario. Incluso cuando los usuarios usan contraseñas débiles o las mismas contraseñas, un pirata informático nunca lo sabría porque la pimienta cambia el hash. Con pimienta, la seguridad de las contraseñas aumenta mucho.
7 errores comunes de contraseña que probablemente lo piratearán
Leer siguiente
Temas relacionados
- Seguridad
- Seguridad en línea
- La seguridad cibernética
Sobre el Autor
Chioma es una escritora técnica a la que le encanta comunicarse con sus lectores a través de su escritura. Cuando no está escribiendo algo, se la puede encontrar saliendo con amigos, como voluntaria o probando nuevas tendencias tecnológicas.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Haga clic aquí para suscribirse
