titchну я регаюсь, забиваюь свой пароль, я его знаю. Сливаю бд, смотрю твой хэш, смотрю на хэши всех известных мне функций и вижу одну и вторую склееными =) только смысла не вижу в этом процессе...
Когда пойдете работать в приличную компанию - покажите им это свое высказывание. И посмотрим, примут ли. А вы попробуйте сами догадаться, ага. Например, _хотя бы_ почитав про crypt. Узнавать что-то новое, это сложнее, чем на форуме флудить, ага.
Базы пользователей популярных ресурсов? Или вы не видите разницу между тупым спамом на почту и спамом внутри соцсети? Т.е. ваша позиция, судя по сказанному, такая: Раз можно нанять бандитов, которые засунут админу паялник в жопу, то и шифровать вообще ничего не нужно. Идите уже... ищите "недокументированные функции"... php.ru отличился... к говнокодерам присоединился говнокрпитолог.
Я не против признать свою неправоту, и посыпать мудя пеплом и сфоткать даже результат. Я прошу привести мне ситуацию, когда соль действительно оправдана.
Да. Вы правы. Это действительно так. Я не шучу. Только я считаю, что просто админ не должен знать пароль =) Тогда и паяльник будет бесполезен. логика такая: админ знает рут от сервака. Ну или обладает сравнимыми правами. Значит он не должен иметь доступ к бэкапу. Т.е. записывать новые файлы на бэкап можно, стирать и портить - нельзя =) Систему нужно выстраивать по-уму. В банк-клиенте я даже не могу пернуть без USB ключа... И если кто-то взъебет мой пароль, мой хэш - пофик. Ибо не сможет подписать. А если кто-то упрет мой ключ и свистнет со счета лям-другой - я буду знать где искать =) И паяльник как раз поможет мне договориться с админом по-быстрому.
А я бы попросил пример, когда несоленые пароли поломали, украли парольную базу и всем жопа пришла и побили таких говнокриптологов, как я и уволили с работы из солидной компании. MiksIr, вы неправы, те базы (логин/пасс/почта), которые продаются - продаются открытыми. и на 80% ключи подходят к почте. если нужно, восстанавливаются массово пароли к социальным сетям по почтовым адресам. немножко сложнее в плане работы с почтой, зато никакой криптологии и криптографии. как результат - 80% базы конвертируется в почту, из них половина конвертируется в ключи от соцсетей. в чём проблема?.. мало? зато дешево и сердито. можно найти за 100$ за 10000-50000 триплетов. отличная цена
Примеры в интернете. Я не безопасник и не фиксирую утечки. И давайте так. Я говнокодерам не _доказываю_ как жить. Я говорю, как правильно делать и зачем то или иное. Вы вольны выдумать тысячи говнопричин, что бы это не делать - ваше право. Не шифруйте пароли. Вообще. Ибо они все в продаже и вообще, никому их красть не нужно. Учить тут никто не будет. Пусть вот titch пойдет в свой крутой институт, которым от тут так хвастается, к преподавателю по криптоанализу, и расскажет, что соль - это никому не нужная фигня, ее выдумали дураки. А потом расскажет те буквы, куда его отправили. Я объяснил, зачем нужна соль и в чем слабое место придумки titch-а. Все, на этом я сливаюсь, спорьте "зачем нужно криптовать пароли" без меня. Можете потом еще поспорить "зачем нужен ООП", тоже любимая говнотема. И еще, у меня огромная просьба - в этой теме пишите свои ресурсы, код для которых вы писали. Ну так, что бы знать.
Причина использования соли была выше. Если вы считаете, что те пароли, которые вы храните - никому не нужны, а если уж украли - то украли, - храните их вообще без шифрования.
MiksIr причину я знаю. Я думаю, что если процессорного времени не жалко - надо солить для очистки совести. У меня с совестью взгляды на соль совпадают - солить не буду пока не выпущу серьезный проект с бабосами как в кино. Я прошу просто нарисовать ситуацию когда солить имеет смысл.
Соль не влияет на процессорное время, так как это просто склеивание двух строк - соли и пароля. Единственная затраты - хранить еще соль рядом с хешом. Все. Не солите. И вы опять можете не поверить, но человек, который говорит "я пока буду говнокодить, а потом, когда серьезный проект появится - стану все делать правильно", во-первых, никогда не сможет делать правильно, во-вторых, его просто не возьмут на серьезный проект. Делайте выводы, или не верьте, это ваша жизнь. Солить имеет смысл во всех случаях, если вы собираетесь хранить более одного пароля.
Вы уже сходили к преподавателю? Даже ссылку не можете на правильную статью привести. Но я оценил те сайты, которые вы используете для повышения квалификации.
Т.е. по-вашему, время свертки в хэш и процессорное время затраченное на файл 1Гб и 128 байт будет одинаковым? Про то, что соль нужно хранить можно было и не говорить.
> Т.е. по-вашему, время свертки в хэш и процессорное время затраченное на файл 1Гб и 128 байт будет одинаковым? По моему время хеширования пароля в 8-10 символов и время хеширования соленого пароля 15-20 символов будет различаться неуловимо мало. Если вообще будет, ибо мд5, насколько я помню, достраивает блок до 64 байт... но могу ошибаться. И кто тут троль?
Я закончил университет, поработал в одной частной фирме, потом ушёл в госструктуру и работаю сейчас там. Что вам от меня нужно?.. Чтобы я для вас сходил и проконсультировался у знающих людей и привёл их фамилии и ученые степени? Фу блин... Как так можно...
Да, неплохо бы услышать от них, что для хранения хешей паролей соль - излишнее никому не нужное баловство.
как можно не знать, что блок у md5 128 бит и говорить такие вещи?... если у вас пароль длиной 10 символов, а в соль 7символов, то время с солью в 2 раза больше, чем без соли. я никого не троллил. перестаньте меня клевать
Да где вы это прочитали с моих слов?! Столько раз уже мне это сказали, что я скоро сам поверю, что это говорил, хотя это претит моим убеждениям
- как фамилия? - иванов! - кто по специальности? - электрик-наладчик! - отлично. будете смотреть, чтобы вовремя свет в казарме выключали