Hogyan tárolja a Landager biztonságosan a jelszavakat (Bcrypt Hashing)

Landager-fiókja bizalmas adatokat tartalmaz – bérlői információkat, bérleti dokumentumokat, pénzügyi nyilvántartásokat és még sok mást. Komolyan vesszük a jelszavas biztonságot, és az ipari szabványnak megfelelő védelmet alkalmazunk hitelesítő adatai biztonságának megőrzése érdekében.

Soha nem tárolunk egyszerű szöveges jelszavakat

Amikor létrehoz egy Landager-fiókot vagy megváltoztatja jelszavát, a ténylegesen beírt szöveg soha nem kerül mentésre a rendszerünkben. Sem az adatbázisban, sem a naplókban, sem a mentésekben.

Ehelyett a kivonatolás nevű folyamatot használjuk, hogy a jelszavát visszafordíthatatlan kódolt karakterláncsá alakítsuk, mielőtt eltárolnánk.

Mi az a Bcrypt?

A Bcrypt egy iparági szabványos jelszókivonat-algoritmus, amelyet kifejezetten a hitelesítő adatok védelmére terveztek. Így működik:

1. Adja meg jelszavát (pl. MySecurePass123!)
2. A Bcrypt véletlenszerű sót ad hozzá (extra véletlenszerű adat, amely egyedi a jelszavadhoz)
3. Az algoritmus a titkosított jelszót több kriptográfiai feldolgozási körön keresztül futtatja
4. Az eredmény egy hash – egy fix hosszúságú karakterlánc, amely semmiben sem hasonlít az eredeti jelszavadhoz
5. Csak a hash-t tároljuk az adatbázisunkban

Miért biztonságos a Bcrypt?

• Egyirányú funkció: Az eredeti jelszót nem lehet visszafejteni a hashből. Nincs "visszafejtési" folyamat.
• Salt: Minden jelszó egyedi véletlenszerű sót kap, így még ha két felhasználónak ugyanaz a jelszava is, a tárolt hash-eik teljesen eltérőek.
• Számításilag drága: A Bcrypt számítása szándékosan lassú, így a brute force támadások (jelszavak millióinak kipróbálása) kivitelezhetetlenek.
• Harcosan tesztelt: A Bcrypt-et a nagy cégek és biztonsági szakemberek évtizedek óta használják.

Mit jelent ez az Ön számára

• Még csapatunk sem láthatja jelszavát: Az adatbázis-adminisztrátorok nem tekinthetik meg és nem állíthatják vissza az Ön tényleges jelszavát a tárolt hashből.
• Adatsértés elleni védelem: Abban a valószínűtlen esetben, ha egy adatbázis feltörése történik, a támadók kivonatokat kapnak – nem használható jelszavakat.
• Nincs jelszó-helyreállítás: Mivel nem tudjuk megfordítani a hash-t, az OTP-ellenőrzést használjuk a jelszó-visszaállításhoz, ahelyett, hogy a „régi” jelszavát küldnénk el.

Google OAuth-felhasználók

Ha a Google OAuth használatával jelentkezett be, a Landager egyáltalán nem tárol jelszót a fiókjához. A hitelesítést teljes mértékben a Google infrastruktúrája kezeli, és csak az Ön személyazonosságát igazoló biztonságos tokent kapjuk meg.

Az Ön szerepe a biztonságban

Míg mi magunk védjük jelszavát, a fiókbiztonság partnerség:

• Válassz erős jelszót: Lásd: [Tippek erős jelszó létrehozásához] (/docs/authentication-security/strong-password-tips)
• Ne használjon újra jelszavakat: Ha egy másik webhelyet feltörnek, Landager-fiókja biztonságban marad
• Rendszeres frissítés: Rendszeresen módosítsa jelszavát a [Beállítások] (/docs/authentication-security/change-password-logged-in) menüpontban.
• Tartsa biztonságban e-mailjeit: Az Ön e-mailje a jelszó-visszaállítás kulcsa