[Moscow.pm] Расчёт криптоскойти пароля
Михаил Монашёв
postmaster на softsearch.ru
Чт Авг 13 08:43:03 PDT 2009
Здравствуйте, Алекс.
>>> 400000000 вариантов это мелочи, когда уже есть слитая база паролей,
AL>> Михаил не озвучил угрозы, от которых защищается. Если защита
AL>> нужна только от перебора через легальную форму на сайте, то
AL>> защита вообще тривиальна - после нескольких неудачных попыток
AL>> блокировать аккаунт на несколько минут. Даже простейшие
AL>> пароли будут перебираться годами. А если стоит задача оценки
AL>> криптостойкости паролей, то обычно имеется в виду именно
AL>> угроза утечки базы данных.
AK> Угроза поиметь спам-атаку с нормальных аккаунтов от заметного процента
AK> юзеров. Пароли к сайтам можно по разному подбирать и блокировка по ip
AK> не всегда помогает. Мы после неверных паролей капчу показываем
AK> например...
> А что со старыми пользователями делать?
Это если ты хранишь пароли в открытом виде, то можно написать им на
мыло, если их пароли плоховаты и попросить сменить их. Если мыла нет,
то при заходе на сайт им об этом говорить.
Если пароли зашифрованы, то попросить перелогиниться и при логине
говорить им и слать на почту тоже самое.
--
С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster на softsearch.ru
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.
Подробная информация о списке рассылки Moscow-pm