個資洩漏的原因!雜湊、編碼與加密到底差別在哪裡?

更新於 2024/05/02閱讀時間約 3 分鐘
此文章同步刊登於我的部落格


雜湊不等於編碼,編碼不等於加密,加密也不是雜湊!!!

為甚麼要提這件事呢?

請先看這篇新聞:


國民黨台中市議員李中昨在議會質詢,秀出「近12個月交通違規檢舉量前20名」的名單。不過檢舉人的身分證字號竟只用Base64編碼轉換,長期協助企業資安保護的資安人員透露,取得身分證字號再搭配先前外洩的戶政資料,檢舉人的人身安全堪憂。…

資料來源:聯合新聞網

這件事簡單來說,就是工程師想把資料保護起來,但錯把Base64當作加密方法使用,把一個只能「轉換顯示格式」的方法,用在身分證上。

結果看到這些文字的人,完全不需要key(密鑰)來解密,只要經過人人都可以的還原(解碼)動作,原本的身分證就顯露出來了。其實這也不是第一次發生的事情了,很多對資訊領域不甚了解的人,甚至有「部分」的資訊領域工程師仍然不具備相關的知識素養。所以本篇文章就好好說明雜湊、編碼與加密的區別。


一、雜湊(Hash)

透過雜湊演算法將資料打亂並混合取得一個固定長度的雜湊值(Hash Values)

具有不可逆的特性且來源資料只要有任何變動生成的雜湊值也會不同通常用來驗證資料的來源是否相同

例如比對檔案是否有被修改過

或是利用不可逆的特性來存放資料庫中的密碼藉此保護使用者的資料

常見的雜湊方式有:MD5(不安全且有衝突問題)、SHA-1(不建議使用)、SHA-256等


二、編碼(Encoding)

定義相當廣泛

只要是將資料從一種型態轉變成另外一種形式且過程可逆就可以算編碼在資訊的領域中比較常用到的是將各種字元轉譯成一個固定的格式用來方便儲存、傳輸

例如資料庫編碼無法儲存特殊字元時

透過Base64轉換成只有英數字的格式就能夠儲存了或是網址無法接受空白或是一些特殊字元也可以透過URL Encode變成網址支援的編碼來讓網頁可以順利透過get方式傳遞資料

常見的編碼方式有:Base64


三、加密(Encryption)

加密是編碼的一種類型

它需要使用密鑰(Key)將原始資料轉換為密文並且這個過程也是可逆的只要擁有正確的密鑰(Key)就能夠將密文轉換為原始資料加密常被用於保護敏感資料例如信用卡資訊、個人資料等

常見的加密方式有:AES


四、比較


五、結語

總結來說

雜湊、編碼和加密雖然在資訊安全中扮演不同的角色但很多人往往容易搞混它們的用途例如用編碼或加密的方式儲存使用者密碼這種在資料庫外洩的時候就有可能造成使用者的密碼被駭客取得這種事情已經發生過很多遍了我們都應該要引以為戒才是


資料來源:

  • https://udn.com/news/story/7314/7490929
  • https://tw.news.yahoo.com/%E8%B3%AA%E8%A9%A2%E6%84%8F%E5%A4%96%E6%9B%9D%E5%80%8B%E8%B3%87-%E4%BA%82%E7%A2%BC%E7%AB%9F%E6%98%AF-%E6%AA%A2%E8%88%89%E9%81%94%E4%BA%BA-%E8%BA%AB%E5%88%86%E8%AD%89-111418039.html
avatar-img
7會員
21內容數
你可以在這裡看到後端工程師的技術文章 也可以看到一些投資相關的心得分享 歡迎交流~
留言0
查看全部
avatar-img
發表第一個留言支持創作者!
Hankz是名工程師 的其他內容
在使用laravel中的Queue job的時候 如果希望job中斷還可以重新啟動這個時候就會需要用到Supervisor了 本篇文章為您帶來如何使用Supervisor執行Laravel的queue:work的教學
在PHP的團隊開發中,PHP CS Fixer可以確保每個開發人員的Coding Style相同,是相當重要的工具。本篇文章將會詳細說明PHP CS Fixer在Linux環境下的安裝方式。
Composer是PHP的軟體套件管理系統,它提供用於管理PHP軟體和依賴庫關係的標準格式。通常以專案為單位進行管理,會在專案根目錄底下(預設是vendor)安裝套件,除此外可以安裝全局套件。
本文將介紹在Windows環境中安裝SQL Server及相關PHP擴展,以進行與SQL Server的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與SQL Server串接設定。
本文將介紹在Windows環境中安裝Oracle Instant Client及相關PHP擴展,以進行與Oracle Database的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與Oracle Database的串接設定。
這篇文章將會提供在伺服器上安裝憑證的步驟,包括下載憑證,設定php.ini以及重新啟動Web Server等。
在使用laravel中的Queue job的時候 如果希望job中斷還可以重新啟動這個時候就會需要用到Supervisor了 本篇文章為您帶來如何使用Supervisor執行Laravel的queue:work的教學
在PHP的團隊開發中,PHP CS Fixer可以確保每個開發人員的Coding Style相同,是相當重要的工具。本篇文章將會詳細說明PHP CS Fixer在Linux環境下的安裝方式。
Composer是PHP的軟體套件管理系統,它提供用於管理PHP軟體和依賴庫關係的標準格式。通常以專案為單位進行管理,會在專案根目錄底下(預設是vendor)安裝套件,除此外可以安裝全局套件。
本文將介紹在Windows環境中安裝SQL Server及相關PHP擴展,以進行與SQL Server的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與SQL Server串接設定。
本文將介紹在Windows環境中安裝Oracle Instant Client及相關PHP擴展,以進行與Oracle Database的串接。透過本文所述步驟,您將能在Windows環境中順利進行PHP與Oracle Database的串接設定。
這篇文章將會提供在伺服器上安裝憑證的步驟,包括下載憑證,設定php.ini以及重新啟動Web Server等。
你可能也想看
Google News 追蹤
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
一月在《法官的日常》簽書會時,有讀者現場問我怎麼預防詐騙?第一,我說現在詐騙集團真的很會蒐集個資,我前陣子接到詐騙電話,詐騙集團連我用什麼電信與刷哪張信用卡都知道。在這樣情況下,平常就是保護好自己的個資,甚至有必要對沒有保護好個資的企業要求賠償....
Thumbnail
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
Thumbnail
據報導,近日台中市議員李中在議會質詢時,拿出警察局統計的「近12個月交通違規檢舉量前20名」表格。有細心的網友發現,「民眾檢舉人」一列雖然是用代號表示,但是很像Base64格式的符號。 根據百科Base64條目所述,Base64是一種編碼方法而非加密方法,任何人無需密鑰即可解碼還原成原始內容。以表
Thumbnail
為什麼「解除分期付款詐欺」的數字始終不減,且長年是165詐騙專線關注的詐騙手法之一,為何無法杜絕?而這些電商發生個資外洩時,難道都不用付出一點代價?
Thumbnail
這兩天有許多民眾收到朋友分享來自Line Pay的「開工大吉」紅包訊息,看似點擊就可以收到隨機金額的千元紅包,但其實這是來自詐騙集團的誘惑,照著指示做你可能紅包沒領到還讓自己個資外洩,甚至陷入更大的詐騙陷阱中。
Thumbnail
上個月月中接到冒稱是雄獅旅遊的詐騙電話後,上網搜尋了一下,看到刑事警察局公布,2022第二季受理解除分期付款案件,高風險賣場前五名:博客來網路書店2725件、迪卡儂477件、誠品網路書店252件、遠傳friDay購物162件,及蝦皮購物119件。
這是騙個資的kater.me釣魚網站連結,請勿點擊填寫任何資料以免個資外洩。資料佐證 麥當勞「麥當勞萬元現金券」詐騙訊息公告 https://www.facebook.com/mcdonalds.tw/videos/290508441942964/ https://rumtoast.com/9674
Thumbnail
建立資安意識絕對只會是 top-down 的策略,頭家不對內宣示對資安的重視程度與相關教育作為,就不可能期待員工會有相對的資安意識。
Thumbnail
*合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
Thumbnail
一月在《法官的日常》簽書會時,有讀者現場問我怎麼預防詐騙?第一,我說現在詐騙集團真的很會蒐集個資,我前陣子接到詐騙電話,詐騙集團連我用什麼電信與刷哪張信用卡都知道。在這樣情況下,平常就是保護好自己的個資,甚至有必要對沒有保護好個資的企業要求賠償....
Thumbnail
手機及網路已深入日常生活與消費習慣,春節期間不管是出遊派還是在宅派都會使用手機或各種網路服務,例如查詢出遊走春資訊、景點打卡、簡訊拜年、網路購物、線上追劇等等。對此,數位發展部資通安全署指出,使用便利服務的同時,也要注意資安防護,像是不法集團常常利用釣魚網站假連結,騙取民眾輸入個資或信用卡資料。
Thumbnail
據報導,近日台中市議員李中在議會質詢時,拿出警察局統計的「近12個月交通違規檢舉量前20名」表格。有細心的網友發現,「民眾檢舉人」一列雖然是用代號表示,但是很像Base64格式的符號。 根據百科Base64條目所述,Base64是一種編碼方法而非加密方法,任何人無需密鑰即可解碼還原成原始內容。以表
Thumbnail
為什麼「解除分期付款詐欺」的數字始終不減,且長年是165詐騙專線關注的詐騙手法之一,為何無法杜絕?而這些電商發生個資外洩時,難道都不用付出一點代價?
Thumbnail
這兩天有許多民眾收到朋友分享來自Line Pay的「開工大吉」紅包訊息,看似點擊就可以收到隨機金額的千元紅包,但其實這是來自詐騙集團的誘惑,照著指示做你可能紅包沒領到還讓自己個資外洩,甚至陷入更大的詐騙陷阱中。
Thumbnail
上個月月中接到冒稱是雄獅旅遊的詐騙電話後,上網搜尋了一下,看到刑事警察局公布,2022第二季受理解除分期付款案件,高風險賣場前五名:博客來網路書店2725件、迪卡儂477件、誠品網路書店252件、遠傳friDay購物162件,及蝦皮購物119件。
這是騙個資的kater.me釣魚網站連結,請勿點擊填寫任何資料以免個資外洩。資料佐證 麥當勞「麥當勞萬元現金券」詐騙訊息公告 https://www.facebook.com/mcdonalds.tw/videos/290508441942964/ https://rumtoast.com/9674
Thumbnail
建立資安意識絕對只會是 top-down 的策略,頭家不對內宣示對資安的重視程度與相關教育作為,就不可能期待員工會有相對的資安意識。