Лекс Айрин писал(а):так что смысла слушать твоих советов нет ни малейшего.
ну хэшируйте md5 - один хрен Вас никто ломать не будет.
Модератор: Модераторы
Лекс Айрин писал(а):так что смысла слушать твоих советов нет ни малейшего.
Лекс Айрин писал(а):еще один пример некомпетентности. Мне нет необходимости где-то пароли шифровать. Я просто не пишу системы
hesh := someFunctionExcangeSha256( hesh );
А месье знает толк в извращениях..vitaly_l писал(а):olegy123 писал(а):256 Бита переводим в 128?
Делаем, как минимум вот так:
- Код: Выделить всё
hesh := md5( sha256( someParole ) );
на для более надёжной защиты, делаем вот так:
- Код: Выделить всё
hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );
только так надёжно, всё остальное - подбирается.
olegy123 писал(а):vitaly_l писал(а):
olegy123 писал(а):
256 Бита переводим в 128?
vitaly_l писал(а):
Делаем, как минимум вот так:
hesh := md5( sha256( someParole ) );
на для более надёжной защиты, делаем вот так:
hesh := sha256( sha256( someParole ) );
hesh := someFunctionExcangeSha256( hesh );
hesh := md5( hesh );
только так надёжно, всё остальное - подбирается.
olegy123 писал(а):
А месье знает толк в извращениях..
Виталий, ты случаем не хешами md5 банчишь?
vitaly_l писал(а):Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.
vitaly_l писал(а):По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).
vitaly_l писал(а):т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.
vitaly_l писал(а):При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.
vitaly_l писал(а): И при этом, ещё нужно добавлять капчу.
vitaly_l писал(а): В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.
Лекс Айрин писал(а):vitaly_l писал(а):
Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.
Я тебя сильно удивлю, не обязательно подбирать пароль. Достаточно найти такой, в котором совпадает результат шифрования.
vitaly_l писал(а):
По закону РФ, ОПД - пароль должен быть зашифрован (всё остальное вода).
Только при использовании в госцелях. Для себя можно не шифровать вообще.
vitaly_l писал(а):
т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается.
Вот еще один прокол. Если требуется скрывать алгоритм шифрования, то такой алгоритм в топку -- он изначально ненадежен.
vitaly_l писал(а):
При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора.
К серверу могут подключаться тысячи, а то и миллионы человек. Причем, подключение может быть очень кратковременным. Кстати, принцип работы ddos не подбор пароля, а получение бабла за выбивание сайта/сервера из сети/ затруднение работы, за счет множественных неудачных попыток входа.
vitaly_l писал(а):
И при этом, ещё нужно добавлять капчу.
На данном этапе капча не спасает от слова абсолютно. Человеку сложнее ее пройти, чем специальным программам. На самом деле, надо просто менять принципы защиты. Другое дело, что надо еще понять на какие.
vitaly_l писал(а):
В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.
На самом деле нет. Тут важен не опыт хакера, а опыт пользователя. Если у человека есть хоть немного паранойи, то он заметит, что его пытаются обмануть с помощью СМС. А вот перехват СМС это скорее из области фантастики, т.к. для этого требуются такие усилия, что необходимость во взломе страниц в контакте/одноклассников просто пропадает.
vitaly_l писал(а):Нет я на другой стороне. Метод hesh := sha256( sha256( someParole ) ); - выработан тысячами программистов и идея не нова. Вы об этом не знали т.к. не сталкивались. А вот это дополнение уже моё, hesh := someFunctionExcangeSha256( hesh );, т.к. версию выработанную программистами - ТЕОРЕТИЧЕСКИ можно подобрать, а вот моя версия, без знания алгоритма: (при краже хэша) - методом перебора уже не подбирается. При этом если это веб ресурс, то нужно ограничивать количество попыток входа по времени, независимо от IP, для нивелирования возможности подбора через логин/пароль или ddos перебора. И при этом, ещё нужно добавлять капчу. Иначе школьники балуются и подбирают пароли. В итоге нужно отправлять SMS вопрос/ответ - это ограничивает круг до ОЧЕНЬ опытных хакеров. Но от этих даже SMS не спасает, т.к. они и SMS перехватывают.
vitaly_l писал(а):И опять-таки, всего знать невозможно, вот например сегодня прочитал, хакеры взломали протокол WiFi и с тех пор, все WiFi сети им подконтрольны. Они могут войти на любую машину в мире. Протокола защиты от этого взлома, до сих пор - ни у кого нет. Соответственно, можно получить любые данные независимо от системы.
vitaly_l писал(а):Вы наивно полагаете что HTTPS, защитит от мошенников?
vitaly_l писал(а):Вам программистам, что же, ключ шифрования, что-ли сложно подобрать? Ну ведь любой школьник, в наше время с пугающей лёгкостью подберёт любой ключ, а уж тем более для современных систем шифрования.
vitaly_l писал(а):При чём здесь попытки входа, если хакеры всё считывают промежуточными серверами?
Лекс Айрин писал(а):Если пароль средний, то достаточно среднего компа и специальных методов (если правильно помню, радужных таблиц)
vitaly_l писал(а):Я не хакер и не умею, этого. Я на другой стороне.
vitaly_l писал(а):Наиболее предпочтительно вначале шифровать sha256 и потом дополнительно получившийся результат дошифровывать md5 с примесью секретных слов, чтобы методом перебора было нереально сломать, даже при наличии базы и даже после дешифровки, невозможно было прочитать пароль
vitaly_l писал(а):А голые md5 или sha256 - подбираются.
vitaly_l писал(а):на для более надёжной защиты, делаем вот так:
vitaly_l писал(а):Но если он дважды захэширован и взломщик не знает алгоритм шифрования, то подобрать пароль становится невозможно.
mirk писал(а):Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда
mirk писал(а):Только мега ленивый еще не делает защиту от радужных таблиц
olegy123 писал(а):Поэтому sha256( sha256()) - это для параноиков, больных на всю голову..
Лекс Айрин писал(а):Собственно, разговаривают с ним скорее для того чтобы люди не повторяли странного.
mirk писал(а):Ппц... я уже устал повторять.... ЕРЕСЬ все это Вообще все сообщения vitaly_l на тему криптогграфии полнейшая ересь, надеюсь никто в серьез не воспринимает его слова. Не делайте как он говорит никогда
mirk писал(а):Как только вы sha256 пропустили через md5 - вы просто ухудшили стойкость (из 256 сделали 128).
zub писал(а):После слова hesh дальше читать нестоит )) Сразу становится ясен весь багаж знаний...
Виталик, ты снова порешь чушь
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 7