Насколько безопасно хранить пароли в md5?

  1. Weblancer
  2. Форум фрилансеров
  3. Программирование
Владислав М.
102 сообщения
#15 лет назад
Пароль плюс соль (можно использовать логин).
Можно вообще так извернутся))
Роман Беляев
16382 сообщения
#15 лет назад
Цитата ("tvv"):
В случае веб сайта после нескольких неудачных попыток ввода пароля лучше даже не время увеличивать, а выводить каптчу.

Можно и капчу. Но капча тоже весьма спорный момент. Устойчивую капчу еще поискать надо, а если она будет распознаваться машиной - грош ей цена в этом месте. А если не будет распознаваться человеком - то пол гроша При этом каких-то 2-3-5 секунд задержки на ввод пароля уже сильно попортят кровь ломателям. А после неверного ввода более 30-ти раз вообще можно смело блокировать.

Цитата ("tvv"):

Если БД увели, получили хеш, и узнали Ваш метод хеширования, то 5 символов — явно недостаточно.

Я ж говорю о минимальной длине. Никто не мешает использовать пароли длиннее. Но заставлять это делать - может быть не приятно пользователям.

tvv, нарушителя зачастую интересуют пароль админа. Пароль рядового пользователя можно получить и без базы. Если есть база, то интересен именно админский пароль, как мне кажется. А там уже каждый волен... и частоту смены себе установить и сложность и длину.

Цитата:
Но что делать, если БД увели?


Удалить все пароли, разослать всей базе пользователей запрос на смену пароля. Учетки естественно все заблокируются до смены, а тут уже будет работать мыло.
Роман Беляев
16382 сообщения
#15 лет назад
Вообще в случае с вебом я как-то не очень вижу смысла так изголяться. Ну получит злоумышленник админский пароль, ну побалуется. Максимум - поспамит на страницах. Да, не приятно, но не смертельно совсем. Восстановить из бэкапа, позакрывать дырки и поехали дальше. Если кто выставляет наружу серьезные данные, там, конечно, системы другие - но там и на одном только пароле все не держится.
Кирил Л.
138 сообщений
#15 лет назад
Цитата ("Miller_time"):
Пароль плюс соль (можно использовать логин).
Можно вообще так извернутся))

Идея харошая
Владислав М.
102 сообщения
#15 лет назад
frig, ну не скажите. Параноя в правильных количествах еще никому хуже не сделала.
Никита К.
1594 сообщения
#15 лет назад
Цитата ("Miller_time"):
Параноя в правильных количествах еще никому хуже не сделала.

А что он хорошего сделала?

Надо следить не за мощностью кодирования конфиденциальных данных, а за безопасности системы в целом, чтобы никакие, даже зашифрованные десятками алгоритмов конфиденциальные данные вообще в руки злоумышленнику не попали.
Владислав М.
102 сообщения
#15 лет назад
Anexroid, я об этом и говорю.
Нужно исключать все возможные варианты утечек информации.
Роман Беляев
16382 сообщения
#15 лет назад
Цитата ("Miller_time"):
Параноя в правильных количествах еще никому хуже не сделала.


Не согласен. Параноя это когда есть некоторый пунктик по поводу безопасности, причем в строго определенном месте. Приведу пример. Устроился я на работу веб мастером в одну контору (давненько это было) хостер откровенно совковый был, местный. Хостинг на винде, панели управления нет, квоту выделили 200Мб (в то время, когда гиг уже было нормой). Пароли сложные, устойчивые. Расширение квоты по запросу на бланке компании с мокрой печатью и так далее. В общем мега серьезно все. Так вот устроился я, сайт естественно надо было сносить и ставить новое, а никаких данных для доступа мне никто не дал. Я просто позвонил в эту контору (из дому) и сказал, что я новый админ и что мне нужны пароли. Мне их по телефону прямо тут и продиктовали. Вот это параноики - когда всех трусит от слова "безопасность", а пароли сообщают по телефону неизвестно кому. Причем они еще и в незашифрованном виде у них где то есть, значит. Такая вот нездоровая тяга к безопасности встречается и в наших госучереждениях - тоже все может быть супер серьезно, а реально - дыра на дыре. Это параноики у руля. Пароль должен быть суперстойким и менять его надо каждые 20 дней, но он будет написан на стикере и приклеен к монитору и никто этого не будет замечать. Это в моем понимании параноя.
А вот когда подход системный и продуманный, то меры безопасности будут не такими жесткими, но общий уровень безопасности будет выше.

Должна быть некоторая равнопрочность, на мой взгляд. Нет смысла ставить тяжеленную железную дверь с десятком замков, если рядом открытое окошко. Параноик будет ставить дверь и считать, что у него все отлично - окошка он не заметит. Создавая равнопрочную систему при минимуме усилий будет создана максимально защищенная система. Вот к этому надо стремиться. Взломщик не будет ломиться в вашу железную дверь, он будет искать где потоньше, где попроще и это естественно. Вы будете защищать сайт, шифровать, хэшировать, вводить многоуровневую аутентификацию, а на вашей машине потом будет работать "племянник", который запустит троянчик. От того на сколько широко все это продумано во многом безопасность, имхо, и зависит. По тому и говорю, что сам md5 врядли будет "самым слабым звеном"
Роман Р.
132 сообщения
#15 лет назад
Не зацикливайтесь на способе хеширования\хранения паролей..
вполне хватает
Цитата:
md5(md5($pass).$salt)

md5 это же только "отпечаток" от пароля, назад вернуть можно, но сложно ..и не всегда быстро.

главное чтобы не было критических дыр в движке..
Первая
12