Kif għandha tiġi maħżuna u kkontrollata b'mod sigur il-passwords?

Question

Accepted Answer

Il-passwords għandhom jiġu maħżuna b'mod sigur — **qatt mhux f'test ordinarju**, iżda **hashate** b'algoritmu qawwi, bil-bless, u milsaltat għall-hashing tal-passwords (bcrypt, Argon2, scrypt). L-immaniġġjar korrett tal-passwords huwa kritiċi għaliex il-brekks tal-passwords huma estremament ħażina u komuni.

## Qatt ma taħżen test ordinarju; hashate sew

```text
❌ NEVER store passwords in plaintext (a breach exposes all passwords directly)
❌ Don't use fast/general hashes (MD5, SHA-256) alone — too fast → easily brute-forced
✅ HASH with a dedicated PASSWORD HASHING algorithm: BCRYPT, ARGON2, or scrypt:
  → SLOW by design (resistant to brute-force/GPU cracking)
  → SALTED (a unique random salt per password) → prevents rainbow-table attacks and
    identical passwords hashing the same
```

```js
// hashing with bcrypt (handles salting automatically)
const hash = await bcrypt.hash(password, 12);   // store the hash (with salt + cost)
// verifying at login
const valid = await bcrypt.compare(inputPassword, storedHash);   // compare securely
```

## Għaliex dawn l-algoritmi

```text
SALT → unique random value per password → identical passwords get DIFFERENT hashes;
  defeats precomputed (rainbow table) attacks
SLOW (work factor) → deliberately expensive to compute → brute-forcing millions of
  guesses becomes impractical (tunable cost factor as hardware improves)
→ bcrypt/Argon2/scrypt are designed for passwords; general hashes (SHA) are NOT.
```

## Prattiki oħra tal-passwords

```text
✓ Enforce reasonable strength (length over complexity); check against breached-password lists
✓ MULTI-FACTOR authentication (MFA) → strong protection even if a password leaks
✓ HTTPS for transmission; rate-limit / lock out brute-force login attempts
✓ Secure password RESET (time-limited tokens); never email passwords; never log them
```

## Għaliex huwa importanti

L-għarfien tal-immaniġġjar sigur tal-passwords u l-ħażna hija essenzjali għaliex **il-brekks tal-passwords huma estremament komuni u ħażina**, u l-ħażna improprja tal-passwords hija vulnerabilità seria u frekwenti, għalhekk huwa għarfien li għandu jkun magħruf.

Ir-regoli fundamentali huma kritiċi: **qatt ma taħżen passwords f'test ordinarju** (brekk ikun jeħfef il-password ta' kull user direttament — katastrofali), u **ma tiddipendix fuq hashes mhux bil-bless ġenerali** (MD5, SHA-256) li huma harxa wisq u faċilment forzi bil-brute-force.

Bdal-li, **hashate b'algoritmi dedikati għall-hashing tal-passwords** (bcrypt, Argon2, scrypt) li huma **bil-bless b'disinn** (reżistenti għal brute-force u cracking tal-GPU) u **milsaltat** (salt random uniku għal kull password, li jipprevjeni rainbow-table attacks u li jiżgura li passwords identiċi jġibu hashes differenti).

L-għarfien **għaliex dawn l-algoritmi** — salting (li jiddifegħi kundra precomputed attacks, u li jagħmel li passwords identiċi jġibu hashes differenti) u bil-bless/work factor (li jagħmel il-mass brute-forcing impattikali, b'spiża tunable hekk kif l-hardware titgħallem) — jispjega l-approċċ korrett versus l-iżbaljiet komuni (test ordinarju, hashes mhux bil-bless, mingħajr salt).

L-għarfien **tal-prattiki oħra** — li jiġu sfurzati l-ħwejjeġ reżonabbli tal-qawwa (tul fuq il-komplessi, li jittiċkja listi tal-passwords bhala breach), **MFA** (protezzjoni qawwija anki jekk password tinsiħeb), HTTPS għat-trasmissjoni, rate-limiting tal-login attempts, password reset sigur (tokens b'ħin limitat), u qatt ma reġistra jew ibgħat passwords e-mail — jirrifletti l-sigurezza komprehensiva tal-passwords.

L-immaniġġjar tal-passwords huwa erja ta' stakehold għoli fejn l-iżbaljiet (ħażna ta' test ordinarju, hashing bil-bless) direttament jikkawżaw brekks maġġuri, filwaqt li l-immaniġġjar korrett (hashing saltat qawwi bil-bless, MFA) jipproteġi b'mod sinifikanti lill-users.

Billi l-brekks tal-passwords huma komuni u ħażina u l-ħażna improprja hija vulnerabilità seria u frekwenti, u billi l-għarfien tal-ħażna sigur (qatt mhux test ordinarju, hashing saltat qawwi b'bcrypt/Argon2) u prattiki tajba (MFA, rate-limiting) huwa essenzjali biex tipproteġi lill-users, l-għarfien tal-immaniġġjar sigur tal-passwords u l-ħażna huwa essenzjali, għarfien li għandu jkun magħruf — erja kritiċi ta' stake għoli fejn l-approċċ korrett (hashing dedikatu tal-passwords, salting, MFA) jipprevjeni l-brekks katastrofali tal-passwords li l-immaniġġjar improprju jikkawża, għarfien fundamentali għal kwalunkwe developer li jimmemorizza l-awtentifikazzjoni.