[Moscow.pm] Расчёт криптоскойти пароля

[Михаил Монашёв]

Здравствуйте, Алекс.

>>> 400000000 вариантов это мелочи, когда уже есть слитая база паролей,


AL>> Михаил не озвучил угрозы, от которых защищается. Если защита
AL>> нужна только от перебора через легальную форму на сайте, то
AL>> защита вообще тривиальна - после нескольких неудачных попыток
AL>> блокировать аккаунт на несколько минут. Даже простейшие
AL>> пароли будут перебираться годами. А если стоит задача оценки
AL>> криптостойкости паролей, то обычно имеется в виду именно
AL>> угроза утечки базы данных.

AK> Угроза поиметь спам-атаку с нормальных аккаунтов от заметного процента
AK> юзеров. Пароли к сайтам можно по разному подбирать и блокировка по ip
AK> не всегда помогает. Мы после неверных паролей капчу показываем
AK> например...


> А что со старыми пользователями делать?

Это  если  ты  хранишь пароли в открытом виде, то можно написать им на
мыло,  если их пароли плоховаты и попросить сменить их. Если мыла нет,
то при заходе на сайт им об этом говорить.

Если  пароли  зашифрованы,  то  попросить  перелогиниться и при логине
говорить им и слать на почту тоже самое.
  

--

С уважением,
Михаил Монашёв, SoftSearch.ru
mailto:postmaster на softsearch.ru
ICQ# 166233339
http://michael.mindmix.ru/
Без бэкапа по жизни.