-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Запутался с шифровкой пароля
- Автор темы proWoke
- Дата начала
Попробуем подытожить.
Сначла решаем, нужен ли этот Неуловимый Джо кому-нибудь вообще. Т.е. оценить риск раскрытия паролей.
Скажем, если мой пароль здесь раскроют, это будет неприятно, но не более того. А вот в контактике будет уже обиднее.
Затем смотрим на общую стойкость системы в целом, а не одного сферического пароля в вакууме.
Ведь если в систему оный пароль передается плейнтекстом, а не по SSL или хотя бы хэшем, то вся наша система усиленного криптостойкого хранения паролей начинает как-то бледнеть).
После этих процедур переходим к хэшированию.
1. Логином и какой-нибудь секретной строкой солим-перчим всегда, поскольку это нам ничего не стоит.
2. Если хотим защитить юзера от покражиобаяния третьего уровня, то мучаем его, заставляя делать стойкий пароль с буквами, цифрами, препинаниями и пробиваем его по своему словарю. (у явления есть и обратная сторона, поскольку пароль пишется на бумажку рядом с монитором, что не сказывается положительно на крпитостойкости)
3. против куды боремся симметрично, увеличивая время генерации хэша, используя какой-нибудь PBKDF2, который, как я понял, сводится к классическому ламерскому вопросу "а если сделать md5 тыщу раз?"
Что я забыл?
Сначла решаем, нужен ли этот Неуловимый Джо кому-нибудь вообще. Т.е. оценить риск раскрытия паролей.
Скажем, если мой пароль здесь раскроют, это будет неприятно, но не более того. А вот в контактике будет уже обиднее.
Затем смотрим на общую стойкость системы в целом, а не одного сферического пароля в вакууме.
Ведь если в систему оный пароль передается плейнтекстом, а не по SSL или хотя бы хэшем, то вся наша система усиленного криптостойкого хранения паролей начинает как-то бледнеть).
После этих процедур переходим к хэшированию.
1. Логином и какой-нибудь секретной строкой солим-перчим всегда, поскольку это нам ничего не стоит.
2. Если хотим защитить юзера от покражи
3. против куды боремся симметрично, увеличивая время генерации хэша, используя какой-нибудь PBKDF2, который, как я понял, сводится к классическому ламерскому вопросу "а если сделать md5 тыщу раз?"
Что я забыл?
>Что я забыл?
1. Генерим для юзера именной ключ, который подшивается в браузер и авторизует по ssl. На самом-то деле - несложно и эффективно.
Или принимаем бесплатный именной ключ, который каждый может себе создать на специальных сайтах.
2. выдаем клиенту банка брелок. просто, дорого, и очень эффективно
3. просим юзать биометрический считыватель, на всех крутых ноутах они давно есть
...
мама, а зачем нам эти навороты? (С)
народ соскучился по курсу криптографии?
базы с паролями воруются раз в 10 лет, а кейлоггерами - тысячи в день
1. Генерим для юзера именной ключ, который подшивается в браузер и авторизует по ssl. На самом-то деле - несложно и эффективно.
Или принимаем бесплатный именной ключ, который каждый может себе создать на специальных сайтах.
2. выдаем клиенту банка брелок. просто, дорого, и очень эффективно
3. просим юзать биометрический считыватель, на всех крутых ноутах они давно есть
...
мама, а зачем нам эти навороты? (С)
народ соскучился по курсу криптографии?
базы с паролями воруются раз в 10 лет, а кейлоггерами - тысячи в день