И премию "программист года" получает он...

Есть еще сомнения?

грят можно зайти на сайт Пентагона и написать в строке пароля латиницей Vzlomat Pentagon и вуаля..у тя полный доступ..

Gexxo
я не спец по ИБ,
а потому прошу,
объясни мне на счёт стоимости хэша - ну вот зачем это нужно в случае с паролем?

атака через фронтенд, когда перебираются именно пароли по словарю будет ограничена только таймаутом бэкенде сайта,
но ни как не сложностью хэш-функции,
ибо бэкенд всё равно будет медленнее работать (как минимум IO), чем этот хэш.

если же атака уже локальная и доступ есть прямо к БД,
то нахера кому-то перебирать хэши паролей?
уже есть доступ ко всей остальной информации!
какой с этого профит?

узнать, что у пупкин@ пароль 1234йцукен и попытаться применить этот пароль к учётке пупкина на другом ресурсе?
всё? больше профита нет?

если ты уже на хосте и щупаешь БД напрямую,
то чем перебирать хэши, проще записать в интересующую учётку хэш своего пароля, если уж нужно залогиниться в фронтенде

не?

Да без проблем. У меня почта без цифр - имя и две буквы фамилии на mail.ru. И дочери недавно сделал без цифр, причем на Гмейл - "женская фамилия"@gmail.com. А вот "мужская фамилия"@gmail.com оказалась занята

Это сообщение отредактировал PauL7 - 20.10.2020 - 18:19

Дернуть целую базу вообще проблематично, у нас если ты даже сможешь каким то образом разлочить usb, чтобы подлючить какой то носитель и попробуешь забэкапить базу на него, то ты просто не сможешь такой носитель найти, ничего из потребительского сегмента не способно вместить в себя такой объем, тут нужна СХД. Даже просто сделать локальный бэкап, чтобы например попробовать вылить его через интернет не получится, ты просто не найдешь нигде достаточно места чтобы его сделать, да и такой объем трафика сразу будет спален, VPN поднимать нельзя. Вот и тырят обычно одну табличку из всей базы, ее хотя бы как то реально вынести с предприятия, а еще лучше если разработчики постарались и учетную информацию вообще вынесли в отдельную базу, это довольно частое явление.

Gexxo
вот и получается, что тяжёлые хэши по сути бесполезны для шифрования паролей.
в них просто нет смысла - это только защита от "своих" и не более.

а если свои "унесут" эту таблицу с хэшами, то опять же пофигу какая там стоимость хэша и как это быстро будет перебираться.

защита форнтенда от инъекций куда полезнее получается

Почти в любой деятельности в первую очередь защищаться приходится именно от своих. Защититься от внешних угроз не так и сложно на самом деле, а вот как защищаться от "друзей" уже не первое тысячелетие люди голову ломают. И вот тут "тяжелые" хэши наши лучшие друзья, они дают уверенность что в ближайшее время ни один пароль подобран не будет, ну а там и плановая смена подойдет. А соль дает уверенность, что даже если каким то чудом злоумышленники смогут отреверсить пароль одной учетки, то это не позволит автоматически зарезолвить и пароли других учеток, начинать придется заново.

Вводим чужой имейл от балды, пишем свой пароль, выдает предложением нашу электронку, делаем скрин и подаем в суд на Гуглю за разглашение персональных данных, потому как фактически можно использовать чужую почту (неважно, что ранее пользователь ранее входил на компе, может это интернет кафе, разницы нет, все будет рассматриваться как гипотетическое, факт нарушения в алгоритме уже налицо) - профит.