20 میلیون یوزر لو رفته که میشه گفت کل یوزر های اسنپ فوده!!
که اطلاعات بخشی از یوزر ها لو رفته!!!
اونم نه کامل!
فقد در از اسمو شماره و ادرس خونه تا رنگ زیر شلواریت!
وگرنه اطلاعات کارتتون کامل لو نرفته!
من متخصص امنیت نیستم و ادعایی هم ندارم در این مورد
ولی در حوزه بک اند راه زیاد داریم
درواقع انتظار میره شرکتی مثل اسنپ فود برای پسورد یوزر ها و اطلاعات کاربرا حساسیت بیشتری به خرج بده!
درواقع نفوذ به دیتابیس در هر اپ یا وبسایتی ممکنه ولی لو رفتن اطلاعات یوزر ها نباید قابل دسترسی باشه حداقل به راحتی!
هرچند پسورد ها هم بصورت اشکار نیستن و hash شدن
اما نه به اون حساسیتی که باید!
درواقع در ذخیره سازی اطلاعات حساس مانند پسورد باید الگوریتم های زیادی به کار بره نه فقد یک hash ساده
هرچند یکطرفه هستش و قابلیت معکوس کردن نداره ولی خب میدونیم که همیشه فلان پسورد هشش میشه فلان چیز
پس میدونیم که من هرموقع پسوردم 12345678 باشه در نتیجه خروجیمم همیشه مثلا abcd1234 هستش
درنتیجه اگر 12345678 پسورد محبوبی بین مردم باشه و از 20 میلیون یوزر 1 میلیون پسوردشون این باشه
یعنی من اطلاعات 1 میلیون نفر رو دارم!
راه حل جالب تر ( اینی که میگم نمونه سادش هستش و میشه بهترش کرد ) اینه که بیایم یه چیز به ادامه اون هشمون اضاف کنیم
پسورد ما 12345678 تبدیل به هش میشه که هشش abcd1234 هست
میایم چیکار میکنیم
میگیم هش خروجی همیشه 8 کاراکتره
چه پسورد ما 1 کاراکتر داشته باشه چه 100 کاراکتر
پس میایم میگیم اوکی ما abcd1234 رو داریم که در واقع خروجی هش ما هستش
میایم میگیم که همیشه زمانی که پسورد رو هش کردی و خروجی رو گرفتی
یه عدد جلوی این هش خروجی بزار مثل 7
abcd12347
jcoso81937
uieiji62457
چیزی که تابلوعه اینه که اخر همشون هفته!
پس بازم گند زدیم
اهاااااا فهمیدم!!!!
میایم که کار جالب تر میکنیم
میگیم یک عدد رندوم انتخاب کن بزار جلوی این که از یک الگوریتم ریاضی پیروی کنه مثلا اعداد مضرب 2
درنتیجه
abcd1234 + 2
jkdo1235 + 4
این ها مثاله و میتونیم الگوریتم خیلی پیچیده تری براش در نظر بگیریم!
مثلا مضرب عدد 9928 - 120
بازم مثاله این ها
حالا خروجی های سخت تری داریم
jfndjnvi2939232904
njdkfonvjo93203923
بازم اگه اون هکر گرامی خیلی ادم کنه ای باشه این رابطه ریاضی رو هم کشف میکنه پس ...
میایم میگیم که بعدشم یه متن و یه عدد بزار که پیدا نباشه
فرقی هم نداره که اون متن یا عدد چی باشه و اصلا نیاز به الگوریتم نداره!
پس شد :
hash + عدد رندوم بر پایه الگوریتم + chert and pert
abcd1234 + 82392 + m1820dus
ما میدونیم همیشه عدد مورد نظرمون مضرب فلان عدده و همیشه هم از بعد کاراکتر هشتم متن شروع میشه
پس خودمون میتونیم یه حرکاتی باهاش بزنیم ولی چیزایی که بعد عدد میاد کاملا چرت و پرت و جهت گمراهیه
پس عملا ما یک پسوردی داریم که تا حدودی قابل هک نیست!
ولی هیچوقت از یاد نبرید که همچیز قابل هکه پس اگر اطلاعاتتون براتون با ارزشه
پسورد خوب بزارید!
تا پسوردتون خیلی خیلی دیرتر هک بشه و یا اصلا هک نشه
منظورم اسنپ فود نیست!
هر برنامه ای!
پس حتما سعی کنید اگر یوزر هستید پسوردتون هم عدد هم کاراکتر و هم متن داشته باشه
و اگر دولوپر هستید لطفا برای اطلاعات یوزر هاتون ارزش قاعل باشید که فقد همین مورده که باعث میشه شما در چشم یوزر هاتون با ارزش بشید و جوری اپتون و بازیتون رو توسعه بدید که یوزر واقعا امنیت رو توی اپ شما احساس کنه که هیچ چیزی از این مهم تر نیست و همین چیز هستش که باعث میشه یه اپ و یک برنامه معروف بشه بین مردم!
در نهایت امیدوارم که براتون مفید بوده باشه .
مواظب خودتون و اطلاعاتتون باشید!
و بخاطر یک نیاز ساده که قابل حله از هر پلتفرمی استفاده نکنید...
شبتون بخیر😄
