Hash

A hash egy hosszú, bonyolult karaktereket tartalmazó jelszó, amelyet egy erre szolgáló algoritmus hoz létre az igazi jelszavunkból.

A szolgáltatók sohasem a tényleges jelszavunkat, hanem az abból generált hash-t tartják nyilván a rendszerükben. A biztonsági szakma sokáig arra épített, hogy a hash-ek túl hosszúak ahhoz, hogy a hekkerek lefuttassák őket számsorokkal, szótárakkal, nevek és évszámok kombinációjával, vagy olyan adatbázisokkal, amelyek a tipikus jelszavakat (pl. kutyanevek) tartalmazzák. 

A gépek kapacitásának növekedésével azonban ez a remény szertefoszlott. Ha a hekkerek eljutottak a rendszerben tárolt hash-ekig, akkor az ismert hash-generátorokon végigfuttatják a fenti adatbázisok valamelyikét. Mivel a hash-generátorok ugyanahhoz a begépelt karaktersorhoz mindig ugyanazt a hash-t társítják, a generált és lopott hash-ek egyezésekor máris ismertté válik egy jelszó. A 2010-es évek elején számos nagy adatlopás történt ezzel a módszerrel. 

Ezért terjedt el az internetes biztonsági szakmában a hash-ek egyedivé tétele, szaknyelven: „sózása”. Ilyenkor a rendszer a felhasználó által beírt jelszóhoz egy random módon választott, hosszú és bonyolult kulcsot ragaszt, és az ilyen módon keletkezett hosszú és egyedi jelszóhoz generálnak hash-t. 

A módszernek két előnye van. Egyfelől minden hash egyedi lesz, hiába használják sokan ugyanazt a jelszót több szolgáltatónál, mindegyik más kulcsot ragaszt hozzá, így megváltozik az ügyfél hash-e is. Ráadásul az ilyen módon bővített jelszó hash-e hosszú, és kellően véletlenszerű ahhoz, hogy valószínűségek hozzárendelésével ne legyen csökkenthető a gépidő.  

Adatkezelőként nekünk is figyelnünk kell arra, hogy a rendszereinkben tárolt adatok biztonságban legyenek. Ha webáruházat, vagy ügyfélkaput üzemeltetünk, figyelnünk kell arra, hogy az ott használt jelszavakat megfelelően hash-elve tároljuk. A GDPR azt mondja erről, hogy minden ésszerű módon védenünk kell az általunk használt adatokat, és a hash-ek sózása ma már egyértelműen az ésszerű védelem kategóriájába sorolható.

Utoljára szerkesztve: 2021. január 16.

Kapcsolódó dossziék

Kapcsolódó fogalmak

A Start Up Guide Galaxis támogatója a Magyar Fejlesztési Bank.
Ez a SUG Galaxis 1.0 nyilvános tesztüzeme. Az oldallal kapcsolatos észrevételeidet, javaslataidat örömmel fogadjuk a hibabejelentes@startupguide.hu címen!

Oldalunk célja a tájékoztatás. Minden tartalmat a legnagyobb gondossággal állítottunk össze és rendszeresen ellenőrzünk, az itt szereplő információk azonban nem tekintendők konkrét helyzetekre vonatkozó üzleti, jogi tanácsadásnak, az információk alkalmazásából fakadó bármilyen jogi következményért a kiadó felelősséget nem vállal.
Hivatalos állásfoglalásért mindig forduljon az illetékes hivatalhoz, ha tanácsadásra van szüksége a megfelelő szakértőhöz! Ha az oldalunk aktualitását vesztett hibás információval találkozna, kérjük jelezze nekünk: hibabejelentes@startupguide.hu!