-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
Шифрование паролей
- Автор темы tardis
- Дата начала
MiksIr
miksir@home:~$
1> неверный вывод о том, что дескать если база унас является несливаемой, то паролям будет неплохо и в открытом виде
2>суть хранения хеша, как раз в том, что мы сами не знаем пароль, который установил пользователь, но можем проверить
Несливаемость подразумевает несливаемость. Я понимаю, все тут программисты, и думают о SQL injection больше... но в большинстве случаев сливаемость будет результатом инсайда. Так что если есть человек, который может базу слить - база сливаемая. Несливаемая база - когда доступ к ней имеет только трастед пользователи (которые и так могут собрать пароли перехватывая до крипта и т.д.).
Если база несливаемая - то почему бы не хранить их в открытом виде. Но таких баз не бывает. Так что считаем, что любая база - сливаемая. Если вы считаете иначе - ради бога, это ваши грабли.
> если использовать крипт, мы намеренно грузим сервак тяжелыми запросами
Несомненно если вы делаете сервис типа вышеуказанного passcrack... - это будет для вас проблемой. Что делать...
В остальных случаях - ищите оптимизации в других местах.
А что до crypt vs md5(pass+salt)... решайте сами. Для кого-то это ...obscurity, а для кого-то защита данных важее иллюзии их защиты.
2>суть хранения хеша, как раз в том, что мы сами не знаем пароль, который установил пользователь, но можем проверить
Несливаемость подразумевает несливаемость. Я понимаю, все тут программисты, и думают о SQL injection больше... но в большинстве случаев сливаемость будет результатом инсайда. Так что если есть человек, который может базу слить - база сливаемая. Несливаемая база - когда доступ к ней имеет только трастед пользователи (которые и так могут собрать пароли перехватывая до крипта и т.д.).
Если база несливаемая - то почему бы не хранить их в открытом виде. Но таких баз не бывает. Так что считаем, что любая база - сливаемая. Если вы считаете иначе - ради бога, это ваши грабли.
> если использовать крипт, мы намеренно грузим сервак тяжелыми запросами
Несомненно если вы делаете сервис типа вышеуказанного passcrack... - это будет для вас проблемой. Что делать...
В остальных случаях - ищите оптимизации в других местах.
А что до crypt vs md5(pass+salt)... решайте сами. Для кого-то это ...obscurity, а для кого-то защита данных важее иллюзии их защиты.