Как Landager безопасно хранит пароли (хеширование Bcrypt)

В вашей учетной записи Landager хранятся конфиденциальные данные — информация об арендаторе, документы об аренде, финансовые отчеты и многое другое. Мы серьезно относимся к безопасности паролей и используем защиту, соответствующую отраслевым стандартам, чтобы обеспечить безопасность ваших учетных данных. ⟦М1⟧ ⟦М2⟧ ⟦М3⟧

Мы никогда не храним пароли в виде открытого текста

⟦М4⟧ Когда вы создаете учетную запись Landager или меняете пароль, вводимый вами текст никогда нигде не сохраняется** в нашей системе. Ни в базе данных, ни в журналах, ни в резервных копиях. ⟦М5⟧ Вместо этого мы используем процесс под названием хеширование, чтобы преобразовать ваш пароль в необратимую зашифрованную строку перед его сохранением.

Что такое Bcrypt?

Bcrypt — это стандартный алгоритм хеширования паролей, специально разработанный для защиты учетных данных. Вот как это работает:

1. Вы вводите свой пароль (например, «MySecurePass123!»).
2. Bcrypt добавляет случайную соль (дополнительные случайные данные, уникальные для вашего пароля).
3. Алгоритм пропускает соленый пароль через несколько раундов криптографической обработки.
4. Результатом является хэш — строка фиксированной длины, которая совсем не похожа на ваш исходный пароль.
5. В нашей базе данных хранится только хэш

Почему Bcrypt безопасен

⟦М10⟧

• Односторонняя функция: исходный пароль невозможно восстановить из хеша. Процесса «расшифровки» не существует.
• Salted: каждому паролю присваивается уникальная случайная соль, поэтому даже если у двух пользователей одинаковый пароль, их сохраненные хеши совершенно разные.
• Вычислительные затраты: Bcrypt намеренно медленно выполняет вычисления, что делает атаки методом перебора (перебор миллионов паролей) непрактичными.
• Проверено в боях: Bcrypt уже несколько десятилетий используется крупными компаниями и специалистами по безопасности. ⟦М11⟧

Что это значит для вас

⟦М12⟧

• Даже наша команда не может видеть ваш пароль: администраторы базы данных не могут просмотреть или восстановить ваш действительный пароль из сохраненного хеша.
• Защита от утечки данных: в маловероятном случае взлома базы данных злоумышленники получат хэши, а не пароли, которые можно использовать.
• Без восстановления пароля: поскольку мы не можем отменить хеш, мы используем проверку OTP для сброса пароля вместо того, чтобы отправлять вам «старый» пароль. ⟦М13⟧

пользователей Google OAuth

⟦М14⟧ Если вы вошли в систему с помощью Google OAuth, Landager вообще не сохраняет пароль для вашей учетной записи. Аутентификация полностью осуществляется инфраструктурой Google, и мы получаем только безопасный токен, подтверждающий вашу личность. ⟦М15⟧

Ваша роль в безопасности

⟦М16⟧ Хотя мы защищаем ваш пароль со своей стороны, безопасность учетной записи — это партнерство: ⟦М17⟧

• Выберите надежный пароль: см. Советы по созданию надежного пароля.
• Не используйте пароли повторно: если другой сайт будет взломан, ваша учетная запись Landager останется в безопасности.
• Обновляйте регулярно: периодически меняйте пароль через Настройки.
• Защитите свою электронную почту: ваша электронная почта — ключ к сбросу пароля. ⟦М18⟧