In qualità di sviluppatore web, devi esserti imbattuto nel termine hashing della password almeno una volta. Cerchiamo di capire rapidamente cos'è l'hashing delle password e perché ne abbiamo bisogno.
Cos'è l'hashing delle password?
Hashing delle password è il processo di crittografia della password di un utente prima di memorizzarla in un database. La crittografia è unidirezionale e le password dopo l'hashing non possono essere decrittografate nel loro valore di testo originale.
Perché è necessario eseguire l'hash delle password?
L'hashing delle password è diventato estremamente importante ai giorni nostri. Immagina uno scenario in cui il tuo database viene violato e ora tutti i dettagli dei tuoi utenti sono esposti all'hacker. L'hacker avrà accesso a tutti i tuoi dati e alla password dell'utente.
Ora ti starai chiedendo qual è lo scopo di crittografare le password se il database stesso può essere violato. Bene, la risposta è piuttosto semplice. Un utente medio utilizza una singola password per più o meno tutti i siti web. Pertanto, se l'hacker ottiene l'accesso alla password dell'utente sul tuo sito, può accedere anche ad altri account dell'utente su altri siti Web. Inoltre, queste password sono spesso vendute al mercato nero. Possono essere usati per formare vari dizionari di password ecc.
Come eseguire l'hashing delle password?
Hashing delle password di solito viene eseguita con l'aiuto di algoritmi di crittografia. Bcrypt è una delle funzioni di hashing più utilizzate che può utilizzare una varietà di algoritmi. La cosa buona di bcrypt o hashing, in generale, è che conosci già la lunghezza di un hash. Quindi tutti i campi della password nella tua tabella hanno la stessa lunghezza. Per verificare le password all'accesso, è necessario eseguire l'hashing della password inviata e il valore hash deve corrispondere al valore nei record. L'intero processo è lento e aiuta davvero contro gli attacchi di forza bruta.