Запутался с шифровкой пароля

tz-lom

Продвинутый новичок
fixxxer
да ничем,разве что расширить возможности атаки по словарю,хотя мало чем поможет
 

Фанат

oncle terrible
Команда форума
Попробуем подытожить.

Сначла решаем, нужен ли этот Неуловимый Джо кому-нибудь вообще. Т.е. оценить риск раскрытия паролей.
Скажем, если мой пароль здесь раскроют, это будет неприятно, но не более того. А вот в контактике будет уже обиднее.

Затем смотрим на общую стойкость системы в целом, а не одного сферического пароля в вакууме.
Ведь если в систему оный пароль передается плейнтекстом, а не по SSL или хотя бы хэшем, то вся наша система усиленного криптостойкого хранения паролей начинает как-то бледнеть).

После этих процедур переходим к хэшированию.
1. Логином и какой-нибудь секретной строкой солим-перчим всегда, поскольку это нам ничего не стоит.
2. Если хотим защитить юзера от покражи обаяния третьего уровня, то мучаем его, заставляя делать стойкий пароль с буквами, цифрами, препинаниями и пробиваем его по своему словарю. (у явления есть и обратная сторона, поскольку пароль пишется на бумажку рядом с монитором, что не сказывается положительно на крпитостойкости)
3. против куды боремся симметрично, увеличивая время генерации хэша, используя какой-нибудь PBKDF2, который, как я понял, сводится к классическому ламерскому вопросу "а если сделать md5 тыщу раз?"

Что я забыл?
 

grigori

( ͡° ͜ʖ ͡°)
Команда форума
>Что я забыл?
1. Генерим для юзера именной ключ, который подшивается в браузер и авторизует по ssl. На самом-то деле - несложно и эффективно.
Или принимаем бесплатный именной ключ, который каждый может себе создать на специальных сайтах.
2. выдаем клиенту банка брелок. просто, дорого, и очень эффективно
3. просим юзать биометрический считыватель, на всех крутых ноутах они давно есть :)
...
мама, а зачем нам эти навороты? (С)

народ соскучился по курсу криптографии?
базы с паролями воруются раз в 10 лет, а кейлоггерами - тысячи в день
 
Сверху