شکستهای رمزنگاری(N/A)
آسیبپذیریهایی که به دلیل استفاده نادرست یا عدم استفاده از رمزنگاری مناسب برای محافظت از دادههای حساس رخ میدهند.
شکستهای رمزنگاری چیه؟
خلاصه در یه جمله: وقتی دادههای حساس رمزنگاری نشن یا بد رمزنگاری شن، مهاجمان میتونن بخوننشون!
فرض کن یه نامه محرمانه داری. دو راه داری بفرستیش: یا تو پاکت معمولی (هر کسی میتونه بخونه)، یا تو پاکت ضدسرقت (فقط گیره میتونه باز کنه). رمزنگاری همینه! اگه درست انجام نشه، هر کسی تو مسیر میتونه دادهها رو بخونه .
انواع شکستهای رمزنگاری:
۱. انتقال بدون رمزنگاری: سایت HTTP داره نه HTTPS. هر کسی تو شبکه (مثلاً وایفای کافه) میتونه ببینه چی میفرستی (پسورد، کارت بانکی و...).
۲. رمزنگاری ضعیف: از الگوریتمهای قدیمی مثل MD5 یا DES استفاده میکنی که راحت شکسته میشن.
۳. ذخیره پسورد بدون Hash: پسوردها رو Plain Text ذخیره میکنی. اگه دیتابیس لو بره، همه پسوردها لو میره!
۴. کلیدهای رمزنگاری ضعیف: کلیدهای کوتاه یا قابل حدس استفاده میکنی. مهاجم راحت brute force میکنه.
۵. گواهی SSL نامعتبر: از SSL منقضی شده یا خودامضا استفاده میکنی. مرورگر هشدار میده ولی کاربرای ناآگاه ادامه میدن.
مثال واقعی:
فرض کن یه سایت داری که پسوردها رو تو دیتابیس همینطوری ذخیره میکنه:
1user: ali, password: 123456
هکر دیتابیس رو میدزده و همه پسوردها رو داره! ولی اگه 10 میکردی:
1user: ali, password: $2b$12$KIXxYz... (غیرقابل برگشت)
هکر پسورد اصلی رو نمیتونه بفهمه.
چرا برای امنیت مهمه؟
چون شماره ۲ OWASP Top 10 2021 هست! دادههای حساس مثل پسورد، اطلاعات بانکی، اطلاعات شخصی اگه لو برن، فاجعهست. هم از نظر مالی، هم از نظر اعتباری.