@prophp7
Valentin18.06.2018
13:16:25
13:16:25
соль хранится (скорее всего) в той же табличке)
Соль храниться не в бд, а на уровне пхп, по крайней мере с пхп 7, там соль свою задавать уже обявили депрекейтед
Sergey18.06.2018
13:16:37
13:16:37
Shmaltorhbooks18.06.2018
13:16:53
13:16:53
если не ошибаюсь, с бкриптом соль хранится в самом хеше
Sergey18.06.2018
13:17:07
13:17:07
1. cost и соль известны тебе если у тебя есть дамп
2. сгенерить 10 000 хэшей не проблема
3. эти 10 000 хэшей в целом обычно покрывают 70% пользовательской базы
GoogleSergey18.06.2018
13:17:44
13:17:44
то есть соль, косты и т.д. работают ТОЛЬКО если у тебя есть еще ограничение что пароль пользователя не входит в базу top 10K самых популярных паролей
например
даже если у тебя миллион юзеров и 10 000 вариантов паролей, отсортированных по частоте встречаемости, то это всего 10 лярдов хэшей в худшем случае. + хорошо паралелится. За час можно всех пройти
потому password api + если реально печешься за безопасность - проси юзера выдумать пароль поинтереснее
и обязательно разреши ему пробелы
что бы я мог заюзать пароль вида "Blu Clock Icecream Caw"
Shmaltorhbooks18.06.2018
13:20:48
13:20:48
а меня на самом деле выбешивает, когда какие-то сайтики просят пароль длиной не меньше 128 символов, и чтоб там обязательно были большие буквы, цифры, маленькие и не меньше двух спецсимволов
одно дело - банки всякие
Valentin18.06.2018
13:21:06
13:21:06
Да я не печусь за безопасность, мне надо для себя разобраться почему высокая алгоритмическая сложность хэша лучше
Shmaltorhbooks18.06.2018
13:21:08
13:21:08
и бизнесовые штуки, когда там данные стоят денег
Sergey18.06.2018
13:21:16
13:21:16
а меня на самом деле выбешивает, когда какие-то сайтики просят пароль длиной не меньше 128 символов, и чтоб там обязательно были большие буквы, цифры, маленькие и не меньше двух спецсимволов
не надо так делать, это снижает энтропию. Достаточно просто проверять top1000 паролей + следить что бы похожих небылотипа p@ssword сильно похож на password который входит в top3 - попроси чуть другой
Shmaltorhbooks18.06.2018
13:21:35
13:21:35
а когда это какой-то бложек или трекер беговой активности - так и хочется сказать "НЕ ВАШЕ СУКИ СОБАЧЬЕ ДЕЛО КАКОЙ У МЕНЯ ПАРОЛЬ"
GoogleSergey18.06.2018
13:21:59
13:21:59
а когда это какой-то бложек или трекер беговой активности - так и хочется сказать "НЕ ВАШЕ СУКИ СОБАЧЬЕ ДЕЛО КАКОЙ У МЕНЯ ПАРОЛЬ"
сделай авторизацию через соц сети -все тебе спасибо скажут и не надо мучаться с паролямиесли продукт не имеет такой фичи - 90% что я уйду
Maksim18.06.2018
13:22:37
13:22:37
я на дняз минут 15 пытался пароль на гос услугах придумать. Всё им не так, всё не нравится. Слишком простой, все дела.
а потом, когда плюнул и сгенерил первый попавшийся, сайт сдох.
Shmaltorhbooks18.06.2018
13:22:41
13:22:41
та дело не в принципе авторизации
Sergey18.06.2018
13:22:50
13:22:50
Shmaltorhbooks18.06.2018
13:22:52
13:22:52
а в том, что мне навязывают какие-то ненужные мне ограничения
Sergey18.06.2018
13:23:27
13:23:27
а в том, что мне навязывают какие-то ненужные мне ограничения
я помню объяснял нашим БА что когда ты вводишь ограничения что большие и маленькие символы не могут идти подрят - это наоборот хуже с точки зрения безопасностиShmaltorhbooks18.06.2018
13:23:30
13:23:30
я ж говорю - если за паролем спрятаны данные бизнеса на кучу денег - да, согласен, они имеют право требовать от меня юыть секурным
Sergey18.06.2018
13:23:46
13:23:46
я ж говорю - если за паролем спрятаны данные бизнеса на кучу денег - да, согласен, они имеют право требовать от меня юыть секурным
обычно такие просто дают тебе флэшку с приватным ключемValentin18.06.2018
13:23:51
13:23:51
Ну я так и не понял смысл этой алгоритмической сложности, если для популярных алгоритмов в любом случае уже есть сгенерыные базы хэшэй, выставлю я там максимальную сложность - хакер просто ищет/покупает/генерирует базу с нужным костом и в итоге популярные пароли расшифрованы ?
Maksim18.06.2018
13:24:12
13:24:12
я ж говорю - если за паролем спрятаны данные бизнеса на кучу денег - да, согласен, они имеют право требовать от меня юыть секурным
почему имеют?) в случае, если чёт спиздят, всё равно ты крайним будешь) они требуют пароль, сложнее чем у пентагона, но при этом ответсвенности за его сохранность не несут)Sergey18.06.2018
13:24:20
13:24:20
Ну я так и не понял смысл этой алгоритмической сложности, если для популярных алгоритмов в любом случае уже есть сгенерыные базы хэшэй, выставлю я там максимальную сложность - хакер просто ищет/покупает/генерирует базу с нужным костом и в итоге популярные пароли расшифрованы ?
да, эта защита действует только для случаев когда у тебя в базе нет паролей из top 1000тогда шансы что у кого-то узнают пароль - мизерные
Valentin18.06.2018
13:24:37
13:24:37
Ясно
Sergey18.06.2018
13:24:43
13:24:43
ты ж понимаешь вообще почему это важно хэшить пароль?
Maksim18.06.2018
13:24:56
13:24:56
если у меня утащат пароль и зайдут им в интернет банк, с которого выведут всё под 0, заебусь доказывать, что не верблюд)
Sergey18.06.2018
13:24:57
13:24:57
потому что 90% юзеров юзают одни и те же пароли что на твом бложике что на своем банкинге
Valentin18.06.2018
13:25:35
13:25:35
Угу, понял.. вроде всё стало на свои места
Sergey18.06.2018
13:25:38
13:25:38
и эти же 90% обычно в top 10K
и они как раз и их пароли составляют наибольшую ценность
GoogleSergey18.06.2018
13:25:55
13:25:55
ибо узнать какой банк у чела в целом тоже не проблема
Maksim18.06.2018
13:26:12
13:26:12
если номер карты есть, аще ищи)
Shmaltorhbooks18.06.2018
13:26:35
13:26:35
а сейчас номера карт все раздают налево и направо)
Sergey18.06.2018
13:26:47
13:26:47
ломанули какой-нибудь интернет магазин васи пупкина который класть хотел на PCI DCC и храни номера карточек (пусть без CCV) и вжух
у пары сотен людей деньги начали пропадать
Valentin18.06.2018
13:27:22
13:27:22
А как можно увеличить сложность md5 допустим? По мимо соли
Sergey18.06.2018
13:27:35
13:27:35
а сейчас номера карт все раздают налево и направо)
https://developer.paypal.com/developer/creditCardGenerator/V18.06.2018
13:27:37
13:27:37
не использовать мд5))))))))))))))))))))))
Maksim18.06.2018
13:27:40
13:27:40
ну так-то имея на руках только номер карты ничего не сделать) так, тыщонку спиздить)
Shmaltorhbooks18.06.2018
13:28:00
13:28:00
все что-то продают, что-то покупают в инете и номерами карт делятся оч охотно
Sergey18.06.2018
13:28:15
13:28:15
А как можно увеличить сложность md5 допустим? По мимо соли
никак, нет смысла. проблема md5 в том что алгоритм прекрасно паралелится + поскольку это всего 32 байта - проще коллизию найтиSergey18.06.2018
13:28:42
13:28:42
покупаешь видюху типа 1080 какую, и вжух, миллиарды хэшей в секунду
Valentin18.06.2018
13:28:43
13:28:43
не использовать мд5))))))))))))))))))))))
Да боже, никто не использует его, успокойся, мне надо понимать то что я пишу а не верить на слово что мд5 это плохоSergey18.06.2018
13:29:26
13:29:26
e bcrypt (и его приемника argon) суть реализации в зависимости по данным на каждой итерации - что не дает паралелить алгоритм и эффективно юзать GPU
то есть соль не соль, если у тебя сам алгоритм хэширования быстрый - то не сильно спасет. Разве что миллион итераций попросить
и рандомную соль на каждой итерации
и все варианты солей хранить
Ihor18.06.2018
13:30:52
13:30:52
AdminERROR: S client not available
GoogleSergey18.06.2018
13:31:08
13:31:08
там дальше спасут двухфакторки
и то опять же - если пользователь дурачек можно и тут обойти)
Ihor18.06.2018
13:31:38
13:31:38
если юзер использует одинаковые пароли - да )
Maksim18.06.2018
13:31:47
13:31:47
без cvv вжук через не очень честных мерчантов, которые как-то насосали на отключение проверок cvv)
Sergey18.06.2018
13:32:43
13:32:43
много можно сделать веселого если твои пользователи дурачки
Valentin18.06.2018
13:33:35
13:33:35
e bcrypt (и его приемника argon) суть реализации в зависимости по данным на каждой итерации - что не дает паралелить алгоритм и эффективно юзать GPU
Где про это можно подробнее почитать не подскажешь? А то я только на стаковерфлок ссылки нахожу с банальными ответамиMaksim18.06.2018
13:33:53
13:33:53
связи чёт не видать)
Shmaltorhbooks18.06.2018
13:34:09
13:34:09
Где про это можно подробнее почитать не подскажешь? А то я только на стаковерфлок ссылки нахожу с банальными ответами
тебе что именно надо? сам алгоритм?я думаю, что он есть в открытом виде
Sergey18.06.2018
13:34:25
13:34:25
Где про это можно подробнее почитать не подскажешь? А то я только на стаковерфлок ссылки нахожу с банальными ответами
https://security.stackexchange.com/questions/4781/do-any-security-experts-recommend-bcrypt-for-password-storage/6415#6415можешь тут
http://openwall.info/wiki/john/essays/fast-and-slow-hashes
ну а дальше по ключевым словам гугли
Maksim18.06.2018
13:35:01
13:35:01
бгг)
Valentin18.06.2018
13:35:07
13:35:07
тебе что именно надо? сам алгоритм?
Распаралелливание алгоритма, ну и да, сам алгоритм интересует, почему мд5 можно шифровать в несколько ядер/потоков а аргон - нетMaksim18.06.2018
13:35:34
13:35:34
в снг чувак к полицию даже не пойдёт)
Sergey18.06.2018
13:35:37
13:35:37
Распаралелливание алгоритма, ну и да, сам алгоритм интересует, почему мд5 можно шифровать в несколько ядер/потоков а аргон - нет
почитай как алгоритм работает)Распаралелливание алгоритма, ну и да, сам алгоритм интересует, почему мд5 можно шифровать в несколько ядер/потоков а аргон - нет
тут даже не только несколько ядер потоков но даже AVXGoogleMaksim18.06.2018
13:36:59
13:36:59
агада
Bohdan18.06.2018
13:37:34
13:37:34
тут даже не только несколько ядер потоков но даже AVX
ладно архитектура ПО, а по архитектуре ПК ты когда позаезжать успел?)Sergey18.06.2018
13:37:43
13:37:43
$r = 0;
for($i = 0; $i < 16; $i++) {
$r += $i;
}
вот такой код в целом может быть выполнен за один такт процессора. В теории. Если компилятор достаточно умный
и сможет развернуть это в AVX инструкцию
ладно архитектура ПО, а по архитектуре ПК ты когда позаезжать успел?)
ебать я ж схемотехник, 6 лет универа и пол года магиструры)Bohdan18.06.2018
13:38:57
13:38:57
а, ну тогда все ясно - я ведь не знал, на кого конкретно ты учился)
Sergey18.06.2018
13:39:06
13:39:06
мы там баловались всякими GPGPU и свои процессоры проектировали
Открыть в Telegram