[Moscow.pm] Расчёт криптоскойти пароля

[Alexander Lourier]

On Friday 07 August 2009 17:48:03 Михаил Монашёв wrote:
> Здравствуйте, Александр.
>
> >> 400000000 вариантов это мелочи, когда уже есть слитая база паролей,
>
> AL> Михаил не озвучил угрозы, от которых защищается. Если защита
> AL> нужна только от перебора через легальную форму на сайте, то
> AL> защита вообще тривиальна - после нескольких неудачных попыток
> AL> блокировать аккаунт на несколько минут. Даже простейшие
> AL> пароли будут перебираться годами. А если стоит задача оценки
> AL> криптостойкости паролей, то обычно имеется в виду именно
> AL> угроза утечки базы данных.
>
> Угроза поиметь спам-атаку с нормальных аккаунтов от заметного процента
> юзеров. Пароли к сайтам можно по разному подбирать и блокировка по ip
> не всегда помогает. Мы после неверных паролей капчу показываем
> например...

Блокировать надо не только IP, но и аккаунт, к которому подбор идет. Капча - 
тоже хороший выход :)