Romantik
TeaM PHPClub
Хеш пароля в базе. Надежно ли?
Приветствую всех и с наступающим.
Вот тут возник спор, вернее не спор, а вывод, что хранить пароли в базе что в открытом виде что его ХЕШ, уверенной защиты не дает.
Суть хешей в базе, что при получении доступа к базе воспользоваться паролями невозможно
Приведу пример:
Злоумышленник получает доступ к базе данных-
ему ничего не стоит создать создать через сайт нового пользователя, увидеть СВОЙ ХЕШ, заменить его в базе другим пользователям и входить на сайт с чужим логином и своим паролем.
Понятно, что имеет смысл хешировать, когда будет получен не доступ к базе, а дамп таблиц.
Но по сути своей хеширование не увеличивает секурность в моем примере.
Да, можно рассуждать, что получив доступ к базе, можно вообще все "поломать", но данный топик не об этом.
Просто он возник в результате того, что заказчик хочет "напоминание пароля", а не "генерировании нового" и собственно доказать что первый метод- лажа мне так и не удалось...
Приветствую всех и с наступающим.
Вот тут возник спор, вернее не спор, а вывод, что хранить пароли в базе что в открытом виде что его ХЕШ, уверенной защиты не дает.
Суть хешей в базе, что при получении доступа к базе воспользоваться паролями невозможно
Приведу пример:
Злоумышленник получает доступ к базе данных-
ему ничего не стоит создать создать через сайт нового пользователя, увидеть СВОЙ ХЕШ, заменить его в базе другим пользователям и входить на сайт с чужим логином и своим паролем.
Понятно, что имеет смысл хешировать, когда будет получен не доступ к базе, а дамп таблиц.
Но по сути своей хеширование не увеличивает секурность в моем примере.
Да, можно рассуждать, что получив доступ к базе, можно вообще все "поломать", но данный топик не об этом.
Просто он возник в результате того, что заказчик хочет "напоминание пароля", а не "генерировании нового" и собственно доказать что первый метод- лажа мне так и не удалось...