როგორ უნდა შენახულ და მოპყრობილ იქნეს პაროლები უსაფრთხოდ?

Question

Accepted Answer

პაროლები უნდა შენახულ იქნეს უსაფრთხოდ — **არასოდეს ღია ტექსტში**, არამედ **ჰეშირებული** იყოს ძლიერი, ნელი, დამარილებული პაროლის-ჰეშირების ალგორითმით (bcrypt, Argon2, scrypt). სათანადო პაროლის მოპყრობა კრიტიკულია, რადგან პაროლის გაჟონვა უკიდურესად საზიანო და გავრცელებული მოვლენაა.

## არასოდეს შეინახოთ ღია ტექსტი; სათანადოდ ჰეშируйте

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## რატომ ეს ალგორითმები

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## პაროლის სხვა პრაქტიკა

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## რატომ არის მნიშვნელოვანი

უსაფრთხო პაროლის შენახვისა და მოპყრობის გაგება აუცილებელია, რადგან **პაროლის გაჟონვა უკიდურესად გავრცელებული და საზიანო ფენომენია**, ხოლო არასათანადო პაროლის შენახვა სერიოზული, ხშირი დაუცველობაა, ამიტომ ეს აუცილებელი უსაფრთხოების ცოდნაა.

ფუნდამენტური წესები კრიტიკულია: **არასოდეს შეინახოთ პაროლები ღია ტექსტში** (გაჟონვა თითოეული მომხმარებლის პაროლს პირდაპირ ამოაშკარავს — კატასტროფიკო), და **არ დაეყრდნოთ სწრაფ ზოგად ჰეშებს** (MD5, SHA-256) რომლებიც ძალიან სწრაფია და მარტივად დაძლეულია bru ძალის მეთოდით.

ამის ნაცვლად, **ჰეშируйте დეკლიცირებული პაროლის-ჰეშირების ალგორითმებით** (bcrypt, Argon2, scrypt) რომლებიც **ნელი ა დიზაინით** (წინააღმდეგი ძალის და GPU კრეკინგის მიმართ) და **დამარილებული** (უნიკალური შემთხვევითი მარილი თითოეული პაროლისთვის, წინააღმდეგი რეინბოუ-ტაბლეტის თავდასხმის მიმართ და უზრუნველყოფს, რომ იდენტური პაროლები სხვადსხვა ჰეშებს მიღებენ).

გაგება **რატომ ეს ალგორითმები** — მარილი (წინააღმდეგი წინასწორედ გამოთვლილი თავდასხმების, იდენტური პაროლები სხვადსხვა ჰეშებს მიღებენ) და ნელი/სამუშაო ფაქტორი (მასიური ძალის მეთოდის 브루ტფორს არაპრაქტიკული, კორექტირებადი ღირებულებით აპარატი უმჯობესდება) — ახსნის სათანადო მიდგომას წინააღმდეგი ჩვეულ შეცდომებთან (ღია ტექსტი, სწრაფი ჰეშები, არ მარილი).

გაგება **სხვა პრაქტიკა** — გონივრული სიძლიერე (ხანგრძლივობა კომპლექსურობაზე, გაჟონილი-პაროლი ყველაში შემოწმება), **MFA** (ძლიერი დაცვა მაშინაც კი თუ პაროლი გაჟონილია), HTTPS გადაცემისთვის, ჩასვლის ცდებზე სიხშირის შეზღუდვა, უსაფრთხო პაროლის დაბრუნება (დროში შეზღუდული მხსნელები), და არასოდეს ჟურნალი ან ელფოსტა პაროლებით — ასახავს სამყოფო პაროლის უსაფრთხოებას.

პაროლის მოპყრობა მაღალი დაკვირვების არეა სადაც შეცდომები (ღია ტექსტი შენახვა, სუსტი ჰეშირება) პირდაპირ დიდ გაჟონვებს გამოწვევენ, ხოლო სათანადო მოპყრობა (ძლიერი დამარილებული ნელი ჰეშირება bcrypt/Argon2-ით, MFA) მნიშვნელოვნად დაიცვებს მომხმარებლებს.

მას შემდეგ რაც პაროლის გაჟონვა გავრცელებული და საზიანოა და არასათანადო შენახვა სერიოზული, ხშირი დაუცველობაა, და მას შემდეგ რაც უსაფრთხო შენახვის გაგება (არასოდეს ღია ტექსტი, ძლიერი დამარილებული ნელი ჰეშირება bcrypt/Argon2-ით) და ადვილი პრაქტიკა (MFA, სიხშირის შეზღუდვა) აუცილებელია მომხმარებლების დაცვისთვის, უსაფრთხო პაროლის შენახვის და მოპყრობის გაგება აუცილებელი, აუცილებელი უსაფრთხოების ცოდნაა — კრიტიკული, მაღალი დაკვირვების არე სადაც სათანადო მიდგომა (დეკლიცირებული პაროლის ჰეშირება, მარილი, MFA) თავიდან აცილებს კატასტროფიკო პაროლის გაჟონვას რომელიც არასათანადო მოპყრობა გამოწვევს, ფუნდამენტური ცოდნა ნებისმიერი დეველოპერისთვის რომელიც ავთენტიკაციას აღჭურავს.