- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
а вообще соль надо не плюсовать, а солью надо разбалять пароль, то есть мешать соль и пароль вместе, вот тогда будет реальни айс :) ну и пара хеш функций подряд не повредят с солями.
а вообще соль надо не плюсовать, а солью надо разбалять пароль, то есть мешать соль и пароль вместе, вот тогда будет реальни айс :) ну и пара хеш функций подряд не повредят с солями.
Согласен, хотел как то сделать и так, но решил что и так вполне надёжно, с точки зрения брута. Если конечно ключ не сопрут. Можно, кстати, ключ поксорить на истинный пароль :)
Sinless, или на email :D
добавление каких либо "аброкадабр" не повысит криптостойкость ключа.
Для раскрытия 24 символьного (латиница разного регистра, цифры, спец символы) за сутки понадобится целый кластер сети из 10-100 компов. Как и было сказано ранее если не делаете платежные системы и подобное md5 подходит для бытовых нужд.
На самом деле проще всего взять какой-нибудь популярный двиг. , расковырять его и сделать на примере.
Я так в свое время ipboard расквырял. Вот там пароль замороченный. Завязана дата регистрации, вроде мыло и еще соль добавлена =)
//Чем*больше*аброкадабры,*тем*лучше*
Вовсе нет. Даже пара символов уже значительно усложнит брутфорс.
А чаще всего вообще нет особого смысла заморачиваться, просто md5 и всё.
добавление каких либо "аброкадабр" не повысит криптостойкость ключа.
Почему? С точки зрения брута очень даже повысит. И даже если сбрутят 100500 символьную последовательность символов где там реальный пароль? Плюс можно выработать уникальную схему с ксором(например) ключа на пароль, на email(как предложил bearman) и прочее.
По поводу того что md5(пароль) сойдёт и так, в большинстве случаев согласен. Но тема довольно интересная!
Надо ещё понять, каким образом злоумышленник получил доступ к хэшу и как в принципе может его использовать. Ну вот, допустим, куки перехватили. И что?
Сбрутить на локальной машине не получится вообще, если добавлена соль. А запросы на сервер со скоростью, про которую тут в теме говорят, никто не сможет делать, да и защититься от этого легко.
Надо ещё понять, каким образом злоумышленник получил доступ к хэшу и как в принципе может его использовать. Ну вот, допустим, куки перехватили. И что?
Да проще подменить их, имхо, чем брутить. Если это возможно конечно.
Sinless добавил 18.11.2009 в 00:46
Кстати, такая ещё мысль. Можно при регистрации пользователя генерировать случайную последовательность символов и заносить её в базу. Это спасёт даже если уведут "общий" ключ. Но это уже фанатизм, согласен. Хотя, почему бы и нет :)
Да проще подменить их, имхо, чем брутить. Если это возможно конечно.
Далеко не всегда. Я вот делал авторизацию с записью в куки хэша временного пароля+IP. Следовательно, даже если стырить куку, залогиниться не получится с чужого адреса.