Bcrypt ، وهي خوارزمية شائعة لتجزئة كلمات المرور ، تبدأ في وداعها الطويل

عندما تنتهك البيانات تحول من كونه تهديدًا عرضيًا إلى حقيقة ثابتة للحياة خلال أوائل عام 2010 ، سيظهر سؤال واحد مرارًا وتكرارًا حيث قامت المنظمات الضحية ، وباحثو الأمن السيبراني ، وإنفاذ القانون ، والأشخاص العاديون بتقييم تداعيات كل حادث: ما هي خوارزمية تجزئة كلمة المرور الهدف المستخدم لحماية كلمات مرور المستخدم؟

إذا كانت الإجابة عبارة عن وظيفة تشفير خاطئة مثل SHA-1 أو PBKDF2 – ناهيك عن كابوس كلمات المرور المخزنة في نص عادي بدون تشفير على الإطلاق – كان لدى الضحية المزيد من القلق بشأنه لأنه يعني أنه سيكون من الأسهل على من سرق البيانات لاختراق كلمات المرور ، والوصول مباشرة إلى حسابات المستخدمين ، وتجربة كلمات المرور هذه في مكان آخر في حالة إعادة استخدامها. إذا كانت الإجابة هي الخوارزمية المعروفة باسم bcrypt ، فهناك شيء واحد على الأقل يدعو للذعر.

تبلغ Bcrypt 25 هذا العام ، ويقول نيلز بروفوس ، أحد مخترعيها المشاركين ، إنه بالنظر إلى الوراء ، كانت الخوارزمية تتمتع دائمًا بطاقة جيدة بفضل توفرها مفتوح المصدر والخصائص التقنية التي غذت طول عمرها. تحدث بروفوس إلى WIRED حول أ بأثر رجعي على الخوارزمية الذي نشره هذا الأسبوع في Usenix ؛ تسجيل الدخول:. مثل العديد من وحدات العمل الرقمية ، هناك الآن بدائل أكثر قوة وأمانًا لـ bcrypt ، بما في ذلك خوارزميات التجزئة المعروفة باسم scrypt و Argon2. ويقول بروفوس نفسه إن حدث ربع قرن يعد كثيرًا بالنسبة لـ bcrypt وأنه يأمل أن يفقد شعبيته قبل الاحتفال بعيد ميلاد كبير آخر.

تم شحن نسخة من bcrypt لأول مرة مع نظام التشغيل مفتوح المصدر OpenBSD 2.1 في يونيو 1997. في ذلك الوقت ، كانت الولايات المتحدة لا تزال تفرض قيود تصدير صارمة على التشفير. لكن بروفوس ، الذي نشأ في ألمانيا ، عمل على تطويرها بينما كان لا يزال يعيش ويدرس هناك.

يقول: “أحد الأشياء التي وجدتها مدهشة للغاية هو مدى شعبيتها”. “أعتقد ذلك جزئيًا [it’s] ربما لأنه كان في الواقع يحل مشكلة حقيقية ، ولكن أيضًا لأنه كان مفتوح المصدر وغير مثقل بأية قيود على التصدير. ثم انتهى الأمر بالجميع بتنفيذ تطبيقاتهم الخاصة بكل هذه اللغات الأخرى. لذا في هذه الأيام ، إذا كنت تواجه الرغبة في إجراء تجزئة لكلمة المرور ، فستكون bcrypt متاحة في كل لغة يمكن أن تعمل بها. لكن الشيء الآخر الذي أجده مثيرًا للاهتمام هو أنه لا يزال مناسبًا بعد 25 عامًا. هذا مجرد جنون “.

طور بروفوس bcrypt مع ديفيد مازيريس ، أستاذ أمن الأنظمة في جامعة ستانفورد الذي كان يدرس في معهد ماساتشوستس للتكنولوجيا عندما تعاون هو وبروفوس على bcrypt. التقى الاثنان من خلال مجتمع المصادر المفتوحة وكانا يعملان على OpenBSD.

يتم وضع كلمات المرور المجزأة في خوارزمية ليتم تحويلها بشكل مشفر من شيء يمكن قراءته إلى تشويش غير مفهوم. هذه الخوارزميات هي “وظائف أحادية الاتجاه” يسهل تشغيلها ، ولكن من الصعب جدًا فك تشفيرها أو “كسرها” ، حتى من قِبل الشخص الذي أنشأ التجزئة. في حالة أمان تسجيل الدخول ، تكمن الفكرة في اختيار كلمة مرور ، يقوم النظام الأساسي الذي تستخدمه بعمل تجزئة لها ، وبعد ذلك عند تسجيل الدخول إلى حسابك في المستقبل ، يأخذ النظام كلمة المرور التي أدخلتها ، ويقوم بتجزئتها ، ثم يقارن النتيجة بتجزئة كلمة المرور في ملف حسابك. إذا تطابق التجزئات ، فسيتم تسجيل الدخول بنجاح. بهذه الطريقة ، تقوم الخدمة بجمع علامات التجزئة فقط للمقارنة ، وليس كلمات المرور نفسها.