λР
это если у тебя вся база есть и ты уже подобрала один из хэшей
не
Size: a a a
2020 February 18
АП
так что так что там хрень))
Ситуации разные
В твоём варианте одинаковый пароль даёт одинаковый хеш, который в общем то как сказали выше "гуляет по сети"
И я смогу увидеть, что такой же хеш, как у меня, ещё и у Васи
Последствия понятны
В твоём варианте одинаковый пароль даёт одинаковый хеш, который в общем то как сказали выше "гуляет по сети"
И я смогу увидеть, что такой же хеш, как у меня, ещё и у Васи
Последствия понятны
λР
вся база - да
λР
а дальше просто смотришь на коллизии
С
с солью прогон по готовым базам хэшей усложнится
ИК
дёрнули базу, если пароли можно извлечь — то 50% пользователей лишатся гуглоакка))0)
дай мне свой гугл акк, и я не зайду пока ты код не подтвердишь.
GS
Ситуации разные
В твоём варианте одинаковый пароль даёт одинаковый хеш, который в общем то как сказали выше "гуляет по сети"
И я смогу увидеть, что такой же хеш, как у меня, ещё и у Васи
Последствия понятны
В твоём варианте одинаковый пароль даёт одинаковый хеш, который в общем то как сказали выше "гуляет по сети"
И я смогу увидеть, что такой же хеш, как у меня, ещё и у Васи
Последствия понятны
Кстати, а почему хеш пароля гуляет по сети?
С
вряд ли в твоей базе есть qwerty12hdgcjsbsgshxudbsh#&-_
ИК
спор ради спора
C
=0 Можете кинуть сылку что бы почитал про соль, перец, хеши и как правильнеё хранить и бла бла. А то по всему этому я чот запутался.
просто загугли salt + pass
KD
Кому интересно прочитать про правильную криптографию паролей, вот ресурс. Единственное, я бы использовал (и использую) argon 2 для новых проектов
https://crackstation.net/hashing-security.htm
https://crackstation.net/hashing-security.htm
n
Кому интересно прочитать про правильную криптографию паролей, вот ресурс. Единственное, я бы использовал (и использую) argon 2 для новых проектов
https://crackstation.net/hashing-security.htm
https://crackstation.net/hashing-security.htm
Спасибо
MS
спс пойду мучить статьи
ИК
дёрнули базу, если пароли можно извлечь — то 50% пользователей лишатся гуглоакка))0)
и если ты сможешь на любую хрень попасть помимо сайта ломаного, то это исключительно проблема любой хрени, которая механизмами защиты зад подтерла
KD
Можно еще использовать scrypt, встроенный в node api. Кстати у кого есть продакшн опыт?)
λР
это проблема юзера, который таковой пользуется
MM
а можно просто системой рандомный пароль генерировать для юзера и не хранить у себя ничего такого конфиденциального. но это не точно
ИК
это проблема юзера, который таковой пользуется
любая проблема, но если в энтерпрайзе уводят базу, то точно не ради того, чтобы пароли пользователей вскрывать
ИК
и всегда можно кучу вариантов аутентификации придумать, те же смс. тогда и хранить ничего не надо
GS
и всегда можно кучу вариантов аутентификации придумать, те же смс. тогда и хранить ничего не надо
Ну это уже другая тема