عندما تنتهك البيانات تحول من كونه تهديدًا عرضيًا إلى حقيقة ثابتة للحياة خلال أوائل عام 2010 ، سيظهر سؤال واحد مرارًا وتكرارًا حيث قامت المنظمات الضحية ، وباحثو الأمن السيبراني ، وإنفاذ القانون ، والأشخاص العاديون بتقييم تداعيات كل حادث: ما هي خوارزمية تجزئة كلمة المرور الهدف المستخدم لحماية كلمات مرور مستخدميها؟
إذا كانت الإجابة عبارة عن وظيفة تشفير خاطئة مثل SHA-1 – ناهيك عن كابوس كلمات المرور المخزنة في نص عادي بدون تشفير على الإطلاق – كان لدى الضحية المزيد من القلق بشأنه لأنه يعني أنه سيكون من الأسهل لمن سرق البيانات لاختراق كلمات المرور ، والوصول مباشرة إلى حسابات المستخدمين ، وتجربة كلمات المرور هذه في مكان آخر لمعرفة ما إذا كان الأشخاص قد أعادوا استخدامها. إذا كانت الإجابة هي الخوارزمية المعروفة باسم bcrypt ، فهناك شيء واحد على الأقل يدعو للذعر.
تبلغ Bcrypt 25 هذا العام ، ويقول نيلز بروفوس ، أحد مخترعيها ، إنه بالنظر إلى الوراء ، كانت الخوارزمية تتمتع دائمًا بطاقة جيدة ، بفضل توفرها مفتوح المصدر والخصائص التقنية التي غذت طول عمرها. تحدث بروفوس إلى WIRED حول استعادية حول الخوارزمية التي نشرها هذا الأسبوع في Usenix ؛ تسجيل الدخول :. مثل العديد من وحدات العمل الرقمية ، هناك الآن بدائل أكثر قوة وأمانًا لـ bcrypt ، بما في ذلك خوارزميات التجزئة المعروفة باسم scrypt و Argon2. يقول بروفوس نفسه إن حدث ربع قرن يعد كثيرًا بالنسبة لـ bcrypt ويأمل أن يفقد شعبيته قبل الاحتفال بعيد ميلاد كبير آخر.
تم شحن نسخة من bcrypt لأول مرة مع نظام التشغيل مفتوح المصدر OpenBSD 2.1 في يونيو 1997. في ذلك الوقت ، كانت الولايات المتحدة لا تزال تفرض قيود تصدير صارمة على التشفير. لكن بروفوس ، الذي نشأ في ألمانيا ، عمل على تطويرها بينما كان لا يزال يعيش ويدرس هناك.
يقول: “أحد الأشياء التي وجدتها مدهشة للغاية هو مدى شعبيتها”. أعتقد أن السبب يعود جزئيًا إلى أنه كان في الواقع يحل مشكلة حقيقية ، ولكن أيضًا لأنه كان مفتوح المصدر وغير مثقل بأي قيود على التصدير. ثم انتهى الأمر بالجميع بتنفيذ تطبيقاتهم الخاصة بكل هذه اللغات الأخرى. لذا في هذه الأيام ، إذا كنت تواجه الرغبة في إجراء تجزئة لكلمة المرور ، فستكون bcrypt متاحة في كل لغة يمكن أن تعمل بها. لكن الشيء الآخر الذي أجده مثيرًا للاهتمام هو أنه لا يزال مناسبًا بعد 25 عامًا. هذا مجرد جنون “.
طور بروفوس bcrypt مع ديفيد مازيريس ، أستاذ أمن الأنظمة في جامعة ستانفورد الذي كان يدرس في معهد ماساتشوستس للتكنولوجيا عندما تعاون هو وبروفوس على bcrypt. التقى الاثنان من خلال مجتمع المصادر المفتوحة وكانا يعملان على OpenBSD.
يتم وضع كلمات المرور المجزأة في خوارزمية ليتم تحويلها بشكل مشفر من شيء يمكن قراءته إلى تشويش غير مفهوم. هذه الخوارزميات هي “وظائف أحادية الاتجاه” يسهل تشغيلها ولكن من الصعب جدًا فك تشفيرها أو “كسرها” ، حتى من قِبل الشخص الذي أنشأ التجزئة. في حالة أمان تسجيل الدخول ، تكمن الفكرة في اختيار كلمة مرور ، يقوم النظام الأساسي الذي تستخدمه بعمل تجزئة لها ، وبعد ذلك عند تسجيل الدخول إلى حسابك في المستقبل ، يأخذ النظام كلمة المرور التي تدخلها ، ويقوم بتجزئتها ، ثم يقارن النتيجة بتجزئة كلمة المرور في الملف لحسابك. إذا تطابق التجزئات ، فسيتم تسجيل الدخول بنجاح. بهذه الطريقة ، تقوم الخدمة بجمع علامات التجزئة فقط للمقارنة ، وليس كلمات المرور نفسها.