Bcrypt، یک الگوریتم هش رمز عبور محبوب، خداحافظی طولانی خود را آغاز می کند

هنگام نقض داده ها در اوایل دهه 2010 که از یک تهدید گاه به گاه برای یک واقعیت دائمی زندگی بود، زم، که سازمان های قرب،، محققان امنیت سایبری، مجریان قانون و افراد عادی پیامدهای هر حادثه را ارزیابی می ،د، بارها و بارها یک سوال مطرح می شد: کدام الگوریتم هش رمز عبور دارد. هدفی که برای محافظت از رمز عبور کاربرانش استفاده می شود؟

اگر پاسخ یک عملکرد رمزنگاری معیوب مانند SHA-1 بود – بدون در نظر گرفتن کابوس رمزهای عبور ذخیره شده در متن ساده و بدون درهم ریختگی رمزگذاری – قرب، بیشتر نگران بود زیرا به این م،ی بود که برای هر ،ی که داده ها را به سرقت می برد راحت تر می شد. برای ش،تن گذرواژه‌ها، دسترسی مستقیم به حساب‌های کاربران، و امتحان آن رمزهای عبور در جای دیگری برای دیدن اینکه آیا افراد از آنها دوباره استفاده کرده‌اند یا خیر. اگر پاسخ، الگوریتم معروف به bcrypt بود، حداقل یک چیز کمتر برای وحشت وجود داشت.

Bcrypt امسال 25 ساله می شود و Niels Provos، یکی از مخترعان آن، می گوید که با نگاهی به گذشته، این الگوریتم به لطف در دسترس بودن منبع باز و ویژگی های فنی که به طول عمر آن دامن زده است، همیشه انرژی خوبی داشته است. Provos با WIRED در مورد a گذشته نگر در الگوریتم که او این هفته در Usenix منتشر کرد ;login:. با این حال، مانند بسیاری از ،‌های کار دیجیتال، اکنون جایگزین‌های قوی‌تر و مطمئن‌تری برای bcrypt وجود دارد، از جمله الگوریتم‌های هش‌سازی معروف به scrypt و Argon2. خود پرووس می‌گوید که نقطه عطف ربع قرن برای bcrypt زیاد است و امیدوار است قبل از جشن تولد بزرگ دیگر محبوبیت خود را از دست بدهد.

نسخه ای از bcrypt برای اولین بار با سیستم عامل منبع باز OpenBSD 2.1 در ژوئن 1997 عرضه شد. در آن زمان، ایالات متحده همچنان محدودیت های صادراتی سختگیرانه ای را بر رمزنگاری اعمال می کرد. اما پرووس که در آلمان بزرگ شده بود، در حالی که هنوز در آنجا زندگی و تحصیل می کرد، روی توسعه آن کار کرد.

او می‌گوید: «یک چیزی که بسیار شگفت‌انگیز بود این بود که چقدر محبوب شد. «من فکر می‌کنم تا حدودی به این دلیل است که در واقع مشکلی را حل می‌کرد که واقعی بود، اما همچنین به این دلیل که منبع باز بود و تحت هیچ محدودیتی برای صادرات نبود. و سپس همه به اجرای پیاده سازی های خود در تمام این زبان های دیگر پایان دادند. بنابراین، این روزها، اگر می‌خواهید هش رمز عبور را انجام دهید، bcrypt به هر زب، که احتمالاً می‌تو،د با آن کار کنید در دسترس خواهد بود. این فقط دیوانه است.»

پروووس با دیوید مازیرس، استاد امنیت سیستم ها در دانشگاه استنفورد که در مؤسسه فناوری ماساچوست تحصیل می کرد، bcrypt را توسعه داد. این دو از طریق جامعه منبع باز ملاقات ،د و روی OpenBSD کار می ،د.

رمزهای عبور هش شده از طریق یک الگوریتم قرار می گیرند تا به صورت رمزنگاری از چیزی که قابل خواندن است به یک تقلای نامفهوم تبدیل شود. این الگوریتم‌ها “توابع یک طرفه” هستند که اجرای آنها آسان است، اما رمزگشایی یا ش،تن آنها بسیار دشوار است، حتی توسط شخصی که هش را ایجاد کرده است. در مورد امنیت ورود، ایده این است که شما یک رمز عبور را انتخاب کنید، پلتفرمی که استفاده می‌کنید آن را هش می‌کند، و سپس وقتی در آینده وارد حساب خود می‌شوید، سیستم رمز عبوری که وارد کرده‌اید را می‌گیرد، هش می‌کند. آن را، و سپس نتیجه را با هش رمز عبور موجود در فایل حساب شما مقایسه می کند. اگر هش ها مطابقت داشته باشند، ورود موفقیت آمیز خواهد بود. به این ترتیب، این سرویس فقط هش ها را برای مقایسه جمع آوری می کند، نه خود رمزهای عبور.