та бля, возьми курсор побольше
Ох уж эти приучатели хуевы.
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.
Вот да, для всякой одноразовой херни или покупки, всегда был пароль 6 цифр, а теперь очень важно, чтоб купить что-то в мелком магазине или посмотреть фото на каком-то одноразовом форуме, так пароль должен быть круче чем в банке.
Это ещё более смешно, когда я вспоминаю, как на заре появления интернет-банкингов у одного банка было ограничение на _максимальную_ длину пароля и недопустимость ничего, кроме английских букв.
Самое интересное - что люди, которые отвечают за безопасность во всех этих сервисах, вообще не понимают, что они делают.
Они вводят кучу идиотских ограничений на пароль, хотя никто не мешает просто прикрутить формулу энтропии пароля (от NIST) и ограничивать только минимальную энтропию. Интересно, что недавно NIST под давлением общественности (см комикс) изменили рекомендации к паролям: теперь они заточены на то, что ты введёшь длинную фразу на естественном языке. Так что если раньше все эти ограничения просто ограничивали тебя в удобстве - то теперь это прямое вредительство, т. к. они не позволяют тебе выбрать наиболее безопасный пароль. В результате и понижают безопасность, и бесят людей. И блять даже банки спокойно могут такой же хуйнёй страдать, хотя казалось бы, там-то специалисты сидеть должны. Сука, как же печёт у меня от этих дегенератов
Они вводят кучу идиотских ограничений на пароль, хотя никто не мешает просто прикрутить формулу энтропии пароля (от NIST) и ограничивать только минимальную энтропию. Интересно, что недавно NIST под давлением общественности (см комикс) изменили рекомендации к паролям: теперь они заточены на то, что ты введёшь длинную фразу на естественном языке. Так что если раньше все эти ограничения просто ограничивали тебя в удобстве - то теперь это прямое вредительство, т. к. они не позволяют тебе выбрать наиболее безопасный пароль. В результате и понижают безопасность, и бесят людей. И блять даже банки спокойно могут такой же хуйнёй страдать, хотя казалось бы, там-то специалисты сидеть должны. Сука, как же печёт у меня от этих дегенератов
это там где попытки в секунду не ограничены и капчи нет. пароль на архивный файл например.
Нет, это везде. В документе никаких таких ограничений я не нашёл
сайт или какое от устройство может ограничить число попыток в секунду. а вот например запароленый архив нет
Архив может быть зашифрован алгоритмом, который для брута требует много вычислительных мощностей. Но сколько реально у вас запаролленых архивов?
у меня лично разве что роутер запаролен чтоб соседи вайфай не крали. остальное не имеет никакой ценности. но вообще архив может быть запаролен серьёзно - ему надо более сложную фигню чем сайту - у него не введёшь задержку или капчу
Брут форс аналогично дидосу могут производить с "зомби" компьютеров так что капча не панацея.
что за "зомби" компы?
Собственно устройства заражённые вируснёй с целью координированной атаки
это сколько их потребуется и кто будет на них капчу упорно вбивать?
Здрасьти! Ботнетам уже лет 10 точно, как и фермам азиатов, что капчи разгадывают
когда нужны миллионы попыток всё осложниться должно - что то как то всё просто ботнет и милион китацев. а за 10 лет не прикрыли эту возможность
Как ты побрутфорсишь, если считается число попыток входа на аккаунт, и после некоторого количества(до 10) - только звонок менеджеру или личное явление, чтобы разблокировать?
Банки так делают. Плюс, двухфакторная авторизация. И брутфорс разве что может поднасрать - заблокировать кучу аккаунтов.
Банки так делают. Плюс, двухфакторная авторизация. И брутфорс разве что может поднасрать - заблокировать кучу аккаунтов.
Если БД утекает, то даже солёные хеши ваших паролей поддаются перебору с рекомбинациями по словарю.
Если же у вас уникальный пароль, не содержащий распространённых сегментов, то никто особо не будет маяться полным перебором именно вашего пароля.(если, конечно, вы не сверхценная цель)
Если же у вас уникальный пароль, не содержащий распространённых сегментов, то никто особо не будет маяться полным перебором именно вашего пароля.(если, конечно, вы не сверхценная цель)
я о том что любая база рано или поздно утечёт. после крупных действий в банке мошенники звонят через минуту уже
Тоже интересно. Что бы зайти на какие-нибудь залупки.ру надо придумать пароль состоящий из верхнего и нижнего регистра символов семи разных языков, символов для которых нужно установить отдельный пакет, и.т.д. А что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр, с Госуслугами тоже самое, четыре цифры и продавай хату.
Уже продана;)
Ну тов. Майор...
>Что бы зайти на какие-нибудь залупки.ру надо придумать пароль состоящий из верхнего и нижнего регистра символов семи разных языков...
Причин таких политик в сервисах много:
1. Часто разрабы пишут бойлерплейт и от того заимствуют код со всеми его требованиями к учётным данным из проекта в проект.
2. Политики безопасности готовых библиотек. Например в ASP.NET Identity по-умолчанию установлена политика безопасности требующая спец символа, цифры и букв верхнего и нижнего регистров.
3. Перенесение ответственности. "Мы сделали всё что в наших силах. Вы сами просрали пароль"
4. https://joyreactor.cc/post/5350813#comment26503902
>что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр
Это какой-такой банк, который не имеет политики безопасности пароля и не требует личного присутствия или наличия второго фактора(например карты, или вас с паспортом)
Причин таких политик в сервисах много:
1. Часто разрабы пишут бойлерплейт и от того заимствуют код со всеми его требованиями к учётным данным из проекта в проект.
2. Политики безопасности готовых библиотек. Например в ASP.NET Identity по-умолчанию установлена политика безопасности требующая спец символа, цифры и букв верхнего и нижнего регистров.
3. Перенесение ответственности. "Мы сделали всё что в наших силах. Вы сами просрали пароль"
4. https://joyreactor.cc/post/5350813#comment26503902
>что бы попасть в ебанный банк где у меня блять всё достаточно блять пинкода из четырех цифр
Это какой-такой банк, который не имеет политики безопасности пароля и не требует личного присутствия или наличия второго фактора(например карты, или вас с паспортом)
У меня вход в приложение юникредит по 4х значному пину либо по отпечатку. В принципе, если меня убьют, заберут телефон и палец, то смогут получить доступ к приложению. Сложный пароль требуется только для входа на сайт и для настройки этого самого пина.
минус биометрии, если её украли, то её украли и сменить нельзя.
И что делать с этой информацией?
Был вопрос "где используется 4х значный пин?" Я ответил, минусов накидали. Обожаю местных.
Уязвимость бд, которая позволяет заменить биометрию пользователя на биометрию злоумышленника хня полная, да. Скомпроментированные карты хня полная. Утекшие пароли тоже хня, тут же каждый меняет пароль 3 раза в день. И это если он обычный пользователь, продвинутые тут используют 3х факторную аутентификацию с динамическим паролем, биометрией и сторонним аутентификатором. Ага.
Был вопрос "где используется 4х значный пин?" Я ответил, минусов накидали. Обожаю местных.
Уязвимость бд, которая позволяет заменить биометрию пользователя на биометрию злоумышленника хня полная, да. Скомпроментированные карты хня полная. Утекшие пароли тоже хня, тут же каждый меняет пароль 3 раза в день. И это если он обычный пользователь, продвинутые тут используют 3х факторную аутентификацию с динамическим паролем, биометрией и сторонним аутентификатором. Ага.
Всё человечество идиоты. "Меняйте пароли каждые полгода" говорят нам некоторые сайты, а то ЧТО? Сидит такой хацкер, у него запущен перебор всех возможных паролей от 6 до 15 символов на нескольких языках в разных регистрах и спец символах. И он вот-вот уже перебрал и твой пароль, но тут проходит полгода, тебе приходит напоминалка и ты его меняешь. И хацкер обломался?
А КАКОГО ХУЯ ваш сайт позволяет некому мудаку неограниченно посылать запросы на логин и перебирать пароли? Может лучше с этим разберетесь?
А КАКОГО ХУЯ ваш сайт позволяет некому мудаку неограниченно посылать запросы на логин и перебирать пароли? Может лучше с этим разберетесь?
Это ещё что, у меня на 3х последних работах обязательно менять пароль каждые 3 месяца, и только попробуй ввести вариацию на тему прошлого пароля с небольшими изменениями! Приходится быть хорошим мальчиком и заводить менеджер паролей.
Про подбор паролей, естественно, идёт речь только в контексте слитой базы.
Смена паролей как раз нужна: никто не знает, может, сайта база уже утекла, но воспользоваться этим злоумышленники ещё не успели.
Смена паролей как раз нужна: никто не знает, может, сайта база уже утекла, но воспользоваться этим злоумышленники ещё не успели.
Тогда нужно менять пароль ежечасно, вдруг база утекла вот полчаса назад. Бред же.
Да понятно, что чем чаще, тем лучше. Но хотя бы раз в полгода
ну, ограничения максимальной длины, особенно на зарях появления инторнет банкингов, связаны с хуевыми серверами, на которых приходилось экономить место в базе
экономить на безопасности - гениально
ну дык - самое любимое дело у многих
как всегда, о логах, метриках, перфомансе и секурности в последнюю очередь все думают
Офигеть экономия в несколько байт, конечно - зато всякие подписи или ники можно было хоть километровой длины делать.
Вот да.
используй автогенерацию паролей браузера с запоминанием в том же браузере.
Ффокс так умеет, например. Генерит по всем правилам и тут же автоматом запоминает, а потом при логине ещё и логин подхватывает.
Ффокс так умеет, например. Генерит по всем правилам и тут же автоматом запоминает, а потом при логине ещё и логин подхватывает.
Один пароль для говносайтов всё таки удобнее, если с разных устройств ходить без синхронизации
э. синхронизация на то и придумана, чтобы ходить с разных устройств
Люблю ЯБраузер на компе, рот топтал его мобильную версию
десктопный FF, мобильный FF.
Одно облако, одни настройки, одни и те же плагины (потому что мобильный FF поддерживает всё те же плагины, что и десктопный).
А хромиумы ваши себе заберите, особенно яндексовый.
Одно облако, одни настройки, одни и те же плагины (потому что мобильный FF поддерживает всё те же плагины, что и десктопный).
А хромиумы ваши себе заберите, особенно яндексовый.
Вподе пытался пользоваться, но не было поддержки 120гц экранов. Скроллить джой больно глазам делает. А на пк версии что-то было с поддержкой хдр
120hz на андроиде
Либо поискать сторонний менеджер паролей, поддерживающий все вами используемые браузеры на всех платформах и операционных системах.
То есть твои пароли лежат у дяди в облаке. Отличный ход, супер надежно, не прогадаешь.
так не все же, только для говносайтов, где нет лишних особо важных данных
а для говносайтов хватит одного пароля на все.
ну да, например твой телефон, номер карточки, адрес доставки вплоть до квартиры, код домофона и список заказов, что бы можно было оценить сколько у тебя бабла - ваще похуй на эти данные...
Я заполняю только номер телефона(он у нас не привязан к паспорту), имя, и номер отделения почты. Этого достаточно для получения посылки.
Номер карточки - если его просит сайт МАГАЗИНА - я расцениваю это как наебалово, и иду в другой. Потому что даже по правилам платежных систем, данные карт можно оставлять только на авторизированных платёжных шлюзах. Магазину эти данные не передаются, только статус транзакции и максимум последние 4 цифры номера карты.
Список заказов - да смотрите блять сколько хотите. Я не считаю эти данные важными.
Номер карточки - если его просит сайт МАГАЗИНА - я расцениваю это как наебалово, и иду в другой. Потому что даже по правилам платежных систем, данные карт можно оставлять только на авторизированных платёжных шлюзах. Магазину эти данные не передаются, только статус транзакции и максимум последние 4 цифры номера карты.
Список заказов - да смотрите блять сколько хотите. Я не считаю эти данные важными.
>номер телефона(он у нас не привязан к паспорту)
То, что он к паспорту не привязан, ничего не меняет. Номер телефона - это часто уникальный идентификатор.(Если вы не меняете периодически симки мусорного номера)
То, что он к паспорту не привязан, ничего не меняет. Номер телефона - это часто уникальный идентификатор.(Если вы не меняете периодически симки мусорного номера)
эти данные говносайт и так сольёт за милую душу. от говнозона до банка все сольют любую инфу так или иначе
С одной стороны ты прав, а с другой один хрен их ломают и уводят все твои данные, какой бы крутой пароль у тебя не был. Никто не брутфорсит учетки через пароли.
Проблема в том, что эти бляди пылесосят каждый твой чих и скупают любые данные о тебе, котоыре можно смержить (а можно смержить очень много чего) с тем что ты зарегистрирвоал у них на сайте. В итоге, помимо того что сами льются налево и направо, так ты еще и своим 12345 и qwerty раздаешь всякому встречному и поперечному.
Просто не оставляешь никаких критичных данных на говносайтах, и голова не болит.
а какие данные "критичные"? mac устройства у тебя и спрашивать не станут - 99,9% юзеров про это ничего не знают... а через это можно склеить любые данные
спуфинг мака, не?
тащемта трекают даже с отключенными куками\жаваскриптом\интернетом\батареей\в землянке у деда, проснись нео, мак для фингерпринтинга ненужон, особенно когда китаезы прошивают один за всех и все за одного
тащемта трекают даже с отключенными куками\жаваскриптом\интернетом\батареей\в землянке у деда, проснись нео, мак для фингерпринтинга ненужон, особенно когда китаезы прошивают один за всех и все за одного
Информация о том, какие данные для меня критичны, находится среди критичных данных, потому я тебе её не расскажу.
А ты хорош
критически хорош
Это еще ладно. Когда банковская учетка ругается на то что "не-не-не, не длинее 12 символов", а ты хочешь создать пароль по принципу "четыре рандомных слова" -- вот тут пригорает. Сцуко, вы все равно пережуете и положите в виде хеша, какого хуя!!!?
"вы не понимаете, это нам должно быть похуй на сохранность ваших данных, а не вам!"
Ну ты охуевший)
Да в том-то и соль, что данные аккаунтов пиздят и выкладывают постоянно. Пароли, е-мейлы, логины.
Смысл такого аккаунта - чтобы ты указал почту / телефон, на которые после магазин будет рассылать всякую фигню.
А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Вот на примере. У матери вся почта забита рекламными письмами от магазинов.
- А почему ты их не отключишь? - спрашиваю
- Так я нажимаю перейти в личный кабинет, у меня просит пароль, а пароль я конечно не помню. Что-то там восстанавливать нужно, сложно все...
А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Вот на примере. У матери вся почта забита рекламными письмами от магазинов.
- А почему ты их не отключишь? - спрашиваю
- Так я нажимаю перейти в личный кабинет, у меня просит пароль, а пароль я конечно не помню. Что-то там восстанавливать нужно, сложно все...
А толку. Спам прекрасно отключается через, собственно, механизм блокировки спама. Один раз письмо от злоебучего рассыльщика отправить в спам, и теперь все его письма там будут.
Один ебучий американец указывает мою почту везде, где может. Даже провайдера своего зарегал на мой адрес. Как он меня заебал. Поток спама просто пиздец.
Типа у меня почта Свет77, а у него Свет77.американец@почта.сом и у всех как-то проебывается эта "точкаамериканец" и все письма идут ко мне.
И даже приходят письма от простых людей. Меня зовут на родительские собрания. Спрашивают когда я заберу свою тачку из сервиса.
Ну и ещё 100500 писем спама о выигрыше в лотерее, о знакомствах.
Никак не могу побороть спам. каждый день сотня писем. 99% в спаме, но остальные то проходят. Рекламки от Воллмарта блять. Сука!!!
Типа у меня почта Свет77, а у него Свет77.американец@почта.сом и у всех как-то проебывается эта "точкаамериканец" и все письма идут ко мне.
И даже приходят письма от простых людей. Меня зовут на родительские собрания. Спрашивают когда я заберу свою тачку из сервиса.
Ну и ещё 100500 писем спама о выигрыше в лотерее, о знакомствах.
Никак не могу побороть спам. каждый день сотня писем. 99% в спаме, но остальные то проходят. Рекламки от Воллмарта блять. Сука!!!
>А хитровыебаный пароль нужен, чтоб пользователю этот спам было отключить сложнее.
Если нет "Отписаться от рассылки" без пароля, то смело составляйте обращения в:
спам-листы(например Spamhaus), что бы их почтовый сервер был ко всем херам отовсюду забанен
почтовому провайдеру(например google), что бы их почтовые сервера и шаблоны писем были забанены
если вы проживаете на территории евросоюза, то локальному регулятору, так как это противоречит GDPR (https://gdpr.eu/email-encryption/), что бы правительство влетело на них с двух ног, впаяв им приличные штрафы
Если нет "Отписаться от рассылки" без пароля, то смело составляйте обращения в:
спам-листы(например Spamhaus), что бы их почтовый сервер был ко всем херам отовсюду забанен
почтовому провайдеру(например google), что бы их почтовые сервера и шаблоны писем были забанены
если вы проживаете на территории евросоюза, то локальному регулятору, так как это противоречит GDPR (https://gdpr.eu/email-encryption/), что бы правительство влетело на них с двух ног, впаяв им приличные штрафы
Боже блять, как ты прав.
Слава, блядь, 10ти минутной почте и автогенерируемым паролям!
То что требуют завести аккаунт чтобы просто посмотреть ссылку в посте бесит неимоверно. Но от всего остального помогает KeePass.
Для этого есть входы с тем же Епл аккаунтом или соцсетью
Эт конечно хорошо что ты можешь судить со своей позиции. Но не надо забывать про тех кому этот аккаунт может быть важен и нужен. И бля, чел, 2022 год, вместо того чтобы рвать свой пердак на забавный айти юмор в комментах, уже бы установил любой браузер с генератором и менеджером паролей, и забыл бы про проблему паролей. либо установил бы аддон. Либо на крайняк придумай сложный пароль и используй его везде, или сложнеее единицы тяжело запомнить?
ценность? подумай что ты хочешь от рандомного говносайта\магазина... разве ты, ленивая жопа, каждый раз когда хочешь набить брюхо идешь в магазин или заказываешь доставку? когда тебе срочно нужно куда то добраться - ты туда бежишь или вызываешь такси? меня удивляют такие как ты говорящие о бесполезности регистрации а потом орут в три горла когда их что то не устраивает.... а еще кто эти 140 ДЕБИЛОВ которые тебя поддержали????? придумывайте пароли к картам "1234" и прочий шлак - мы воспользуемся вашими "возможностями"
Я нихуя не понял. Поток говна вижу, что ты хотел высрать ртом - не понимаю.
Поддержали меня те же, кому нахуй не нужна обязательная регистрация для оформления заказа, и дебильные требования к паролю для нахуй не нужной регистрации.
Поддержали меня те же, кому нахуй не нужна обязательная регистрация для оформления заказа, и дебильные требования к паролю для нахуй не нужной регистрации.
А если Tab'ом переключиться, лол?
современные дизайнеры UI и вебсайтов тупо хуй поклали на табстопы и вообще часто клава тупо не работает даже для прокручивания картинок на суко сайте просмотра картинок (типа фантии)
ещё можно сделать кинетический скролл жаваскриптом чтоб все вообще охуели от двойной прокрутки с разной скоростью
НЕ ПОДСКАЗЫВАТЬ!
тачскрин. ховера нет в принципе
от меня не убежишь, сука! муа-ха-ха!
от меня не убежишь, сука! муа-ха-ха!
Посмотрим как ты справишься с этим, ублюдок !
Ох, сука, хочууууу
ой, бля. А как это пинкоды на банковских картах такие коротенькие, всего четыре цифры - и нормально? Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
такие коротенькие они потому, что чтобы ими воспользоваться нужна физическая карта, которая блокируется если пару раз ввести неправильный пинкод, а твой инет пароль можно брутфорсить
Сейчас только откровенный поц будет хранить пароли в базе данных в открытом виде.
С пин кодами прикол в том что -
1. Физическая карта
2. Ограниченное количество попыток
3. Камера из каждой щели
*режим зануды деактивирован*
С пин кодами прикол в том что -
1. Физическая карта
2. Ограниченное количество попыток
3. Камера из каждой щели
*режим зануды деактивирован*
Можно сделать ограниченное количество ввода, чтобы не допустить брутфорса? Ведь есть же давным давно такая херня, ещё на древних форумах, когда три раза неправильно ввёл пароль - подожди часик. Ещё три раза неправильно ввёл - подожди суточки.
Можно, делай (с)
По факту навесить пиздаватую регулярку проще. Плюс есть всякие эти ваши аудиторные конторы, которые выдают сертификат безопасности системы. Берут систему и начинают её шатать на предмет уязвимостей. Сначала по базовым сценариям, потом по хитроебанным. К паролям они тоже могут выкатить требования.
По факту навесить пиздаватую регулярку проще. Плюс есть всякие эти ваши аудиторные конторы, которые выдают сертификат безопасности системы. Берут систему и начинают её шатать на предмет уязвимостей. Сначала по базовым сценариям, потом по хитроебанным. К паролям они тоже могут выкатить требования.
Погоди. Сделать так, чтобы на один аккаунт не ломились, перебирая пароли, даже с разных айпишников - это суперсложно?
(Про требования к паролям от аудиторов я не знал, аргумент)
(Про требования к паролям от аудиторов я не знал, аргумент)
Аудиторы еще ладно, их можно нахуй послать или оспорить требования.
Вот СБ фирмы да, проблема. Они как правило менее компетентны чем аудиторы, и параноики. Скажем прямо - тупые вахтеры. В итоге у нас в интернет-магазине:
ЦифроБуквоСимвольный пароль ровно 12 символов с верхним и нижним кейсом;
Обязательная смена пароля каждый месяц ;
Новый пароль должен отличаться от всех предыдущих хотя-бы на 4 символа;
Сессия живёт ровно 15 минут;
Вот СБ фирмы да, проблема. Они как правило менее компетентны чем аудиторы, и параноики. Скажем прямо - тупые вахтеры. В итоге у нас в интернет-магазине:
ЦифроБуквоСимвольный пароль ровно 12 символов с верхним и нижним кейсом;
Обязательная смена пароля каждый месяц ;
Новый пароль должен отличаться от всех предыдущих хотя-бы на 4 символа;
Сессия живёт ровно 15 минут;
ёбаный стыд!
Так щас на большинстве сайтов и так если неверно ввел пароль пару раз тут же капча выскакивает, от брут форса по моему везде давно предохранитель поставили, не ?
>Можно сделать ограниченное количество ввода, чтобы не допустить брутфорса
Конечно можно, но тогда любой аккаунт можно залочить от входа, просто спамя его неправильными паролями. При закрытии сессии юзер уже не войдет в аккаунт. Огромный простор для троллинга. Можно конечно чекать IP или цифровой отпечаток для каждой попытки, но это всё можно обойти, халявных проксей в интернете - завались. Максимум что нужно сделать для ограничения брутфорса - это банальная капча.
Самая надёжная защита сейчас - это двухфакторная аутентификация, но СМС-ки слать - стоит денег. Поэтому наиболее простой, безопасный и дешёвый способ защиты - логин + хешированный пароль.
При регистрации ты вводишь свои данные:
login:CatOfPeace
password:хуйПиздаДжигурда123
Когда это прилетает на сервер, сервер добавляет к твоему паролю своё окончание, которое знает только сервер (т.н соль):
login:CatOfPeace
password:хуйПиздаДжигурда123660968c9cbe4fc78b966e64d18c246d529096a4cc8d8da1cab871b7b769e8a59
После этого он всю строку с паролем хеширует, т.е превращает в мешанину. Результат сохраняет в базу в виде:
login:CatOfPeace
password:3b21b02b4c4ebd1e2737fd75d3e7fe093f54dfe6029761957e65616fcd4ec978
Когда ты авторизуешься, процесс с паролем повторяется, и результат сравнивается с тем, что уже хранится в базе. Если мешанина не совпадает, то сервер тебя шлёт нахуй.
>Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
Если базу вскрыть, то из хеша изначальный пароль практически невозможно извлечь, так-как хеш это не закодированные данные, а просто месиво, которое при одинаковых исходных данных дает одинаковый конечный результат. Фактически, всё что остается взломщику - это брутфорсить хеш-функцию, пытаясь угадать твой пароль с солью, что еще сложнее чем ломиться в форму авторизации. А на форме у нас ебучая капча, которую можно порешать только нейросеткой или индусами.
Конечно можно, но тогда любой аккаунт можно залочить от входа, просто спамя его неправильными паролями. При закрытии сессии юзер уже не войдет в аккаунт. Огромный простор для троллинга. Можно конечно чекать IP или цифровой отпечаток для каждой попытки, но это всё можно обойти, халявных проксей в интернете - завались. Максимум что нужно сделать для ограничения брутфорса - это банальная капча.
Самая надёжная защита сейчас - это двухфакторная аутентификация, но СМС-ки слать - стоит денег. Поэтому наиболее простой, безопасный и дешёвый способ защиты - логин + хешированный пароль.
При регистрации ты вводишь свои данные:
login:CatOfPeace
password:хуйПиздаДжигурда123
Когда это прилетает на сервер, сервер добавляет к твоему паролю своё окончание, которое знает только сервер (т.н соль):
login:CatOfPeace
password:хуйПиздаДжигурда123660968c9cbe4fc78b966e64d18c246d529096a4cc8d8da1cab871b7b769e8a59
После этого он всю строку с паролем хеширует, т.е превращает в мешанину. Результат сохраняет в базу в виде:
login:CatOfPeace
password:3b21b02b4c4ebd1e2737fd75d3e7fe093f54dfe6029761957e65616fcd4ec978
Когда ты авторизуешься, процесс с паролем повторяется, и результат сравнивается с тем, что уже хранится в базе. Если мешанина не совпадает, то сервер тебя шлёт нахуй.
>Может потому, что похуй, какой там сложности и длины пароль и сколько там спецсимволов и цифр, если базу данных слили?
Если базу вскрыть, то из хеша изначальный пароль практически невозможно извлечь, так-как хеш это не закодированные данные, а просто месиво, которое при одинаковых исходных данных дает одинаковый конечный результат. Фактически, всё что остается взломщику - это брутфорсить хеш-функцию, пытаясь угадать твой пароль с солью, что еще сложнее чем ломиться в форму авторизации. А на форме у нас ебучая капча, которую можно порешать только нейросеткой или индусами.
да почему, если знать хэш и соль узнать, то брутфорсить проще, так как это можно делать прямо на машине, без всяких лишних попыток авторизоваться и проч, вопрос в том, сколько ресурсов нужно
Ну да, в криптографии всегда вопрос был именно шо в "сколько ресурсов нужно".
без соли можно юзать радужные таблицы для поиска пароля по хешу.
с солью такое не прокатит.
а если солить каждую строку отдельно (отдельным salt) то даже подобраный пароль к одному аккаунту не позволит найти аккаунты с таким же паролем в той же бд, потому что хеши будут разными.
Ну, конечно, если погромисты не проебутся и не напишут кривую обратимую функцию хеширования .
без соли можно юзать радужные таблицы для поиска пароля по хешу.
с солью такое не прокатит.
а если солить каждую строку отдельно (отдельным salt) то даже подобраный пароль к одному аккаунту не позволит найти аккаунты с таким же паролем в той же бд, потому что хеши будут разными.
Ну, конечно, если погромисты не проебутся и не напишут кривую обратимую функцию хеширования .
Кто в наши дни сам пишет функции хэширования? Все берут готовые валидированне библиотеки.
Конечно, а так же внимательно читают документацию как правильно инициализировать и использовать.
*Сакразм mod off*
*Сакразм mod off*
да, но не обязательно. Всегда найдётся человек, скопипастивший перывй попавшийся кусок кода из результатов поиска "как хранить пароль в пхп"
Да и популярный опенсорс не застрахован. Лет пять-восемь назад что-то даже в популярном опенсорсе находили, но деталей уже не помню. вроде бы рандом становился предсказуемым.
Да и популярный опенсорс не застрахован. Лет пять-восемь назад что-то даже в популярном опенсорсе находили, но деталей уже не помню. вроде бы рандом становился предсказуемым.
Реактор познавательный.
Что за дичь ты несешь? Нормальные сайты делают двухфакторку без ебучих СМС. Через гугл аутентификатор(кто умнее ставит альтернативы).
При взломе БД нахрен твои пароли? Расшифровка твоих паролей - последнее, что будут извлекать из утечки. Всем нужны твои адреса, телефоны и ФИО, которые хранятся в открытую. Да их тоже можно шифровать, но тогда по ним нельзя будет делать поиск, так что никто так не делает.
При взломе БД нахрен твои пароли? Расшифровка твоих паролей - последнее, что будут извлекать из утечки. Всем нужны твои адреса, телефоны и ФИО, которые хранятся в открытую. Да их тоже можно шифровать, но тогда по ним нельзя будет делать поиск, так что никто так не делает.
из всего, чем я пользуюсь, тока на рабочей впн-ке двухфакторка через аутентификатор, и то позавчера прикрутили. везде смски
Как раз именно пароли обычно и пытаются извлечь.
Во-первых, по ним можно авторизоваться и выполнять какие-то действия от твоего имени или получить данные, которые так появились после слива базы.
Во-вторых, некоторые долбоёбы используют тот же пароль на других сервисах и так можно получить доступы к ним
Во-первых, по ним можно авторизоваться и выполнять какие-то действия от твоего имени или получить данные, которые так появились после слива базы.
Во-вторых, некоторые долбоёбы используют тот же пароль на других сервисах и так можно получить доступы к ним
Физическая карта прекрасно заменяется привязкой к мобильнику. По крайней мере я уже давно не засовывал физическую карту в банкомат с видеокамерой, чтобы оплатить что-либо.
Не сталкивался с тем что бы через привязку карты к мобильному запрашивали пароль. У меня на мобильнике отпечаток пальца спрашивает, у жены - оплата по распознаванию лица
У меня постоянно при банковских операциях высылается пароль на телефон, его вводишь при оплате и только тогда можно оплатить.
Я ошибся и имел ввиду короткий постоянный пин, а не двухфакторную авторизацию.
С макияжем или без?
Нет, подуй потому что есть второй фактор — наличный у тебя физической карточки.
пин код - это второй фактор аутентификации. Первым является карта. По карте юзер идентифицируется и аутентифицируется, а пин является вторым фактором.
то что ты ниже пишешь про привязку к платежному приложению не имеет отноешния к пинам - это другой совершенно процессинг и там свои факторы
то что ты ниже пишешь про привязку к платежному приложению не имеет отноешния к пинам - это другой совершенно процессинг и там свои факторы
древний прикол
Парольный менеджер меня приучил помнить только пару паролей (от самого парольного менеджера) а всё остальное по рандому и почти всегда с двукфакторной. Но если где-то прям требуют регистрацию, и мне особенно не надо, я просто нахуй посылаю
Каждый говномагазин и говносайт хочет, чтобы вы завели у них ебанный аккаунт. И непременно, чтобы пароль был с буквами, цифрами, знаками, и кровью девственницы.
При том, что ценность этого аккаунта, вообще говоря, отрицательная, потому прекрасно подошёл бы пароль "1" на все магазины сразу. И глубоко поебать, что эти данные смогут спиздить.