- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Если понимают, то зачем писать "слить список хешей != список паролей" ?
Это фактически одно и то же, в реальных условиях, а не в идеальном мире где все придумывают рандомные длинные пароли.
Как раз поэтому и стоит писать, что это не одно и то же.
Если кто-то ставит пароль "123", то для них и хеши не нужны.
Но вы упорно хотите поговорить об этих странных людях, не стоят они того.
Не подскажете, а возможна ли между двумя серверами EX в Hetzner скорость 1 Гбит/сек без покупки дополнительных пакетов, т.е. при стандартной конфигурации? Если да, то при каких условиях? Во внешний мир эти серверы ходят на скорости 100 Мбит/сек.
Просто по телефону в Hetzner сказали, что это возможно, т.к. трафик будет внутренний: он не считается, и скорость 1 Гбит/сек будет. И серверы могут быть даже в разных ДЦ Hetzner'а. Но чего-то на практике не видно никакого 1 Гбит/сек, только стандартные 100 Мбит/сек...
Просто старые модели 100мбит, последние новые модели все 1гбит, арендуем пару десятков серверов, EX6 можно сказать всегда 1гбит внутри ДЦ :) Если Вам достался чей то очень старый сервер, то вероятно там будет 100мбит.
еще иногда халявный гигабитный порт в мир попадается, специально такие сервера не отменяем :)
и почему нету массовых взломов всех и каждого? 🍿 .
Если вы чего-то не замечаете, значит этого не происходит ? Отличная логика. Да постоянно взломы происходят - почитайте любой сайт, посвященный безопасности. Кстати, когда угонят ваш пароль, вы об этом и не узнаете, т.к. вход злоумышленника будет выглядеть как ваш собственный. Вопрос только в том, есть ли на ваших аккаунтах ценная для злоумышленников информация.
Понятное дело, что взломав все пароли, преступник не будет их все использовать, т..к. большинство аккаунтов не представляют какой-либо ценности.
не припомню ни одного случая, когда сервис ломали благодаря стыренному списку хешей. до сих пор подавляющая масса паролей уходят с затрояненных компов юзеров-лохов. и не нужно ничего расшифровывать. юзер сам в открытом виде трояну все покажет.
А какая разница, сломали сервис или нет, если взломают лично ваш аккаунт ? Взлом может быть вообще единичный. Имея базу пользователей можно легко подключить ее к другим базам и легко найти пересечения - есть ли чем поживиться.
md5 c солью до сих пор является надежным способом хранения паролей.
Иногда лучше жевать.
а если пароль "12345", то это только проблема юзеров, если поставил такой пароль, значит ему безразлично, что его ак могут увести и это уже не проблема сервисов.
Почему то любят приводить пример 12345, тогда как перебором ломаются гораздо более сложные пароли. А все потому, что пароли используются из сочетаний слов и цифр, которые подбираются.
Вышеуказанную статью читали ?
Even the least successful cracker of our trio—who used the least amount of hardware, devoted only one hour, used a tiny word list, and conducted an interview throughout the process—was able to decipher 62 percent of the passwords. Our top cracker snagged 90 percent of them.
90% расшифрованных паролей вам ничего не говорит ? Вы уверены, что попадаете в оставшиеся 10% ? Повторюсь, это результаты взломщиков-одиночек. Киберпреступники могут обладать гигантскими ресурсами, это означает, что цифра была бы не 90%, а может быть и все 98%
---------- Добавлено 08.06.2013 в 09:29 ----------
Как раз поэтому и стоит писать, что это не одно и то же.
Если кто-то ставит пароль "123", то для них и хеши не нужны.
Но вы упорно хотите поговорить об этих странных людях, не стоят они того.
Странные люди, которых более 90% в произвольной выборке (см.выше) ? Так это, батенька, не странность - это норма. Риал лайф :)
Рекомендую вам почитать про разницу SHA256 (то, что Хетцнер использует) и MD5 (тем, чем пароли из статьи шифровались).
Надо понимать, что алгоритм хеширования не панацея, т.к. не способен защитить слабый пароль. Ну, увеличится кол-во требуемых ресурсов для расшифровки - или времени. Но не настолько, чтобы остановить взломщика.
Надо понимать, что алгоритм хеширования не панацея, т.к. не способен защитить слабый пароль. Ну, увеличится кол-во требуемых ресурсов для расшифровки - или времени. Но не настолько, чтобы остановить взломщика.
Как раз таки наоборот, вы путаете понятия.
ВСЕ механизмы шифрования и алгоритмы хешей придумывались при осознании того что он МОЖЕТ быть взломан.
Но смысл в том, чтобы сложность расшифровки была такой высокой, чтобы было не целесообразно его расшифровывать (Так же как с защитой от ДДоС, если атака стоит дороже, чем преследуемая цель, то атаковать скорее всего не будут).
И более стойкие алгоритмы SHA256/512, например, на сегодняшний день позволяют обеспечить достаточное плечо для большинства пользовательских задач (md5, приведенный вами, конечно давно не подходит). Мы ведь с вами говорим о 90%ах ПОЛЬЗОВАТЕЛЕЙ ;)
У профессионалов, кому требуется более высокая степень защиты, пароли строятся более сложным образом.
klamas,
моя мысль была о том, что по сути, если утекли хеши можно и нужно считать, что утекли и пароли. И причина этого - в слабости паролей, а не в алгоритме хеширования (который неспобен их защитить, и лишь усложняет усилия взломщика). Я уже потерял нить, с чем именно вы спорите.
Надо понимать, что алгоритм хеширования не панацея, т.к. не способен защитить слабый пароль. Ну, увеличится кол-во требуемых ресурсов для расшифровки - или времени. Но не настолько, чтобы остановить взломщика.
Во-первых, давайте не будем свиливать, ваш аргумент в виде ссылки на статью необоснован, потому что там используется другой (слабый) алгоритм хеширования.
Во-вторых, любой слабый пароль можно первратить сильный, добавив соль. Так что этот ваш аргумент тоже необоснован.
Во-первых, давайте не будем свиливать, ваш аргумент в виде ссылки на статью необоснован, потому что там используется другой (слабый) алгоритм хеширования.
Суть в том, что ни один алгоритм не защитит ваш хеш от взлома, если пароль слабый.
Во-вторых, любой слабый пароль можно первратить сильный, добавив соль. Так что этот ваш аргумент тоже необоснован.
Давайте вы не будете писать о том, в чем не смыслите ? Соль вообще никак не усложняет алгоритм. Она защищает только от rainbow-атак, которые, как уже сказано, не актуальны. Конечно, она никому не мешает, поэтому отказываться от нее нет смысла.
Давайте вы не будете писать о том, в чем не смыслите ? Соль вообще никак не усложняет алгоритм.
Какая игра слов. Причем тут усложнение алгоритма?
Про соль было сказано в контексте паролей, а не алгоритмов.
Соль - это еще один пароль, который надо подобрать прежде чем начать взламывать слабые пароли.
Кто тут не смыслит уже стало ясно, когда вы дали ссылку на статью где ломают md5.
Какая игра слов. Причем тут усложнение алгоритма?
Про соль было сказано в контексте паролей, а не алгоритмов.
Соль - это еще один пароль, который надо подобрать прежде чем начать взламывать слабые пароли.
Кто тут не смыслит уже стало ясно, когда вы дали ссылку на статью где ломают md5.
Соль хранится вместе с хешем в открытом виде, поскольку требуется при аутентификации, и вообще-то, не является секретной. А нужна она не для усложнения пароля, поскольку ничего она усложнить в принципе не может. Учите матчасть.