AZ
Мы не ищем коллизии, а подбираем пароль по словарю
по какому словарю если пароль солёный?
Size: a a a
2020 May 17
EG
по какому словарю если пароль солёный?
По словарю популярных паролей
AZ
а какой-то другой хэш спасет?
AZ
от словарной атаки и пароля"раз-два-три"?
KR
по какому словарю если пароль солёный?
Соль - не секретная часть алгоритма. Соль защищает только от радужных таблиц.
EG
а какой-то другой хэш спасет?
Чем медленнее вычисляется функция, тем медленнее перебирать
AZ
Чем медленнее вычисляется функция, тем медленнее перебирать
на константный множитель, не принципиально же
KR
от словарной атаки и пароля"раз-два-три"?
Если у тебя хэш вычисляется 1 секунду, то и до "раз-два-три" можно задолбаться дойти.
KR
Так-то от qwerty скорее всего ничего не спасёт.
AZ
Если у тебя хэш вычисляется 1 секунду, то и до "раз-два-три" можно задолбаться дойти.
если он вычисляется секунду то у тебя система работать не будет
EG
если он вычисляется секунду то у тебя система работать не будет
Логин и регистрация редкие действия
EG
Можно себе позволить немного тормозов
EG
Хотя секунда — это преувеличение, конечно
AZ
Логин и регистрация редкие действия
Ну хзхз
AZ
регистрация да, а логин - вполнесебе
KR
если он вычисляется секунду то у тебя система работать не будет
Образно. 200-400 мс, вполне себе допустимые значения. Если стоит условия прям сильной секурности, то можно и на 1 сек сделать, принимая тот факт, что логин будет подтормаживать. Здесь зависит от принимаемых трейд-оффов
p
регистрация да, а логин - вполнесебе
ты логинишься с браузера и больше никогда не логинишься заново, лол
KR
регистрация да, а логин - вполнесебе
Логин - тоже редкая штука. Потом идут всякие remember token'ы, как правило. С ними проще.
EG
Я видел капчу на таком принципе, лол
Чтобы отправить форму нужно выполнить какое-то ощутимое по длительности вычисление
Условно, JS на клиенте занимается разложением на простые множители
Чтобы отправить форму нужно выполнить какое-то ощутимое по длительности вычисление
Условно, JS на клиенте занимается разложением на простые множители
AZ
ты логинишься с браузера и больше никогда не логинишься заново, лол
у нас время жизни некоторых логинов - 5 минут. ПОтому что иначе нельзя контролировать права юзеров из jwt