q
да не, базу зашифовать, в памяти расшифровывать, а потом сравнивать плейнтекстом
можно и в кэше оставить, чтобы лишний раз не расшифровывать
😂
Size: a a a
2020 September 07
Q
Хеши не расшифровываются же без брутфорса, поэтому и сравнивают хеш с хешем же. Или я уже что-то пропустил?)
НС
Хеши не расшифровываются же без брутфорса, поэтому и сравнивают хеш с хешем же. Или я уже что-то пропустил?)
это шутка была, и она была в контексте (см. на что ответ)
НС
Без шуток — не надо шифровать пароли, их надо хэшировать.
22
Вот почему?! их тыкаешь что у них снижается стойкость паролей, а они с улыбающейся рожей говорят что все путем так надо ( это фича). Ну возьмите на заметку да начните исправлять и все.
АС
сорс на твит — https://twitter.com/a_okshus/status/1302716911558504456, ответ сбера там же
Бляяяяяяяя
АС
2 2
Вот почему?! их тыкаешь что у них снижается стойкость паролей, а они с улыбающейся рожей говорят что все путем так надо ( это фича). Ну возьмите на заметку да начните исправлять и все.
Так научены сммщики
АС
Но мое сердце от этого твита заболело сильно :(
A
2 2
Вот почему?! их тыкаешь что у них снижается стойкость паролей, а они с улыбающейся рожей говорят что все путем так надо ( это фича). Ну возьмите на заметку да начните исправлять и все.
в итоге обосрались дважды - сначала на уровне безопасности, а потом на уровне связей с общественностью, не посоветовавшись с профильынми спецами брякнули публично какую-то несуразицу
A
а ещё для вашей безопасности мы ограничили длину пароля 6 символами, использовать можно только цифры от 0 до 5 и только по их возрастанию))
A
Видать их задолбали люди которые не могут войти
A
а ещё для вашей безопасности мы ограничили длину пароля 6 символами, использовать можно только цифры от 0 до 5 и только по их возрастанию))
в таком случае безопасность паролей увеличивается в 5 раз(!), потому что мошеннику сначала надо угадать, какой длины у вас пароль, а уже потом начать его перебирать
q
qap
и все таки, зачем?
М᠌
Alex
Норма, если ты вместо хэширования и прочих непонятных манипуляций кладешь пароли в базу в открытом виде, и потом в таком же виде сравниваешь их при аутентификации, иначе было бы слишком сложно выполнять посимвольное сравнение с учетом регистра, слишком долгая проверка да и багануться может с кодировками. Короче вы ничего не понимаете в безопасной разработке, если задаете такие вопросы %)
Или просто .toLowerCase(), я бы так сделал, чтоб не избавляться от хеширования, раз такое дело пошло
A
Или просто .toLowerCase(), я бы так сделал, чтоб не избавляться от хеширования, раз такое дело пошло
сей пост изобилует сарказмом как и многие далее) а суть такова, что занижать пароли как приоры, даже завернутые в хэши - вот так делать не надо, тем более финансовому институту
М᠌
Alex
сей пост изобилует сарказмом как и многие далее) а суть такова, что занижать пароли как приоры, даже завернутые в хэши - вот так делать не надо, тем более финансовому институту
Менагеры за это не шарят, они решили проверить регистронезависимость, после релиза долбить коллцентр стали в разы меньшие = profit
НС
Менагеры за это не шарят, они решили проверить регистронезависимость, после релиза долбить коллцентр стали в разы меньшие = profit
() => true
A
Менагеры за это не шарят, они решили проверить регистронезависимость, после релиза долбить коллцентр стали в разы меньшие = profit
+ машин ленинг, биг дата, эджайл, скоро даже коллцентров не будет, всем будет отвечать робот с ИИ
М᠌
Alex
+ машин ленинг, биг дата, эджайл, скоро даже коллцентров не будет, всем будет отвечать робот с ИИ
Кто-то должен будет вложиться в это дело диким баблом, разве что пара десятков крупнейших банков решат минимизировать расход, но помня историю с коболом что-то не особо верится
НС
что-то я теперь и в хэшировании сомневаюсь
но мб технари просто не проснулись ещё
но мб технари просто не проснулись ещё