هنگام نقض داده ها در اوایل دهه 2010 که از یک تهدید گاه به گاه برای یک واقعیت دائمی زندگی بود، زم، که سازمان های قرب،، محققان امنیت سایبری، مجریان قانون و افراد عادی پیامدهای هر حادثه را ارزیابی می ،د، بارها و بارها یک سوال مطرح می شد: کدام الگوریتم هش رمز عبور دارد. هدفی که برای محافظت از رمز عبور کاربرانش استفاده می شود؟
اگر پاسخ یک عملکرد رمزنگاری معیوب مانند SHA-1 بود – بدون در نظر گرفتن کابوس رمزهای عبور ذخیره شده در متن ساده و بدون درهم ریختگی رمزگذاری – قرب، بیشتر نگران بود زیرا به این م،ی بود که برای هر ،ی که داده ها را به سرقت می برد راحت تر می شد. برای ش،تن گذرواژهها، دسترسی مستقیم به حسابهای کاربران، و امتحان آن رمزهای عبور در جای دیگری برای دیدن اینکه آیا افراد از آنها دوباره استفاده کردهاند یا خیر. اگر پاسخ، الگوریتم معروف به bcrypt بود، حداقل یک چیز کمتر برای وحشت وجود داشت.
Bcrypt امسال 25 ساله می شود و Niels Provos، یکی از مخترعان آن، می گوید که با نگاهی به گذشته، این الگوریتم به لطف در دسترس بودن منبع باز و ویژگی های فنی که به طول عمر آن دامن زده است، همیشه انرژی خوبی داشته است. Provos با WIRED در مورد a گذشته نگر در الگوریتم که او این هفته در Usenix منتشر کرد ;login:. با این حال، مانند بسیاری از ،های کار دیجیتال، اکنون جایگزینهای قویتر و مطمئنتری برای bcrypt وجود دارد، از جمله الگوریتمهای هشسازی معروف به scrypt و Argon2. خود پرووس میگوید که نقطه عطف ربع قرن برای bcrypt زیاد است و امیدوار است قبل از جشن تولد بزرگ دیگر محبوبیت خود را از دست بدهد.
نسخه ای از bcrypt برای اولین بار با سیستم عامل منبع باز OpenBSD 2.1 در ژوئن 1997 عرضه شد. در آن زمان، ایالات متحده همچنان محدودیت های صادراتی سختگیرانه ای را بر رمزنگاری اعمال می کرد. اما پرووس که در آلمان بزرگ شده بود، در حالی که هنوز در آنجا زندگی و تحصیل می کرد، روی توسعه آن کار کرد.
او میگوید: «یک چیزی که بسیار شگفتانگیز بود این بود که چقدر محبوب شد. «من فکر میکنم تا حدودی به این دلیل است که در واقع مشکلی را حل میکرد که واقعی بود، اما همچنین به این دلیل که منبع باز بود و تحت هیچ محدودیتی برای صادرات نبود. و سپس همه به اجرای پیاده سازی های خود در تمام این زبان های دیگر پایان دادند. بنابراین، این روزها، اگر میخواهید هش رمز عبور را انجام دهید، bcrypt به هر زب، که احتمالاً میتو،د با آن کار کنید در دسترس خواهد بود. این فقط دیوانه است.»
پروووس با دیوید مازیرس، استاد امنیت سیستم ها در دانشگاه استنفورد که در مؤسسه فناوری ماساچوست تحصیل می کرد، bcrypt را توسعه داد. این دو از طریق جامعه منبع باز ملاقات ،د و روی OpenBSD کار می ،د.
رمزهای عبور هش شده از طریق یک الگوریتم قرار می گیرند تا به صورت رمزنگاری از چیزی که قابل خواندن است به یک تقلای نامفهوم تبدیل شود. این الگوریتمها “توابع یک طرفه” هستند که اجرای آنها آسان است، اما رمزگشایی یا ش،تن آنها بسیار دشوار است، حتی توسط شخصی که هش را ایجاد کرده است. در مورد امنیت ورود، ایده این است که شما یک رمز عبور را انتخاب کنید، پلتفرمی که استفاده میکنید آن را هش میکند، و سپس وقتی در آینده وارد حساب خود میشوید، سیستم رمز عبوری که وارد کردهاید را میگیرد، هش میکند. آن را، و سپس نتیجه را با هش رمز عبور موجود در فایل حساب شما مقایسه می کند. اگر هش ها مطابقت داشته باشند، ورود موفقیت آمیز خواهد بود. به این ترتیب، این سرویس فقط هش ها را برای مقایسه جمع آوری می کند، نه خود رمزهای عبور.
منبع: https://www.wired.com/story/bcrypt-p،word-ha،ng-25-years/