Comments 17
А в чем практический смысл? Если пароль хороший, то его подобрать по хешу не получится, потому что его должны менять с разумным интервалом. А если хеш в базе, то пароль надо в любом случае менять.
0
Если его нет в базе — это не значит, что он хороший. Например, пароль ms8u в базе не нашёлся, хотя подобрать его по хешу — раз плюнуть.
0
А если хеш есть в базе, то сервер получит и пароль (с довольно высокой вероятностью, SHA же) и некоторую деанонимизацию пользователя, который его запрашивал.
+1
Сервер не знает какой именно из последних 64(иногда 32) хешей подошел и подошел ли хотя бы один из них. Вот ниже предлагают ограничиться двумя запросами (по 512 хешей соотв.), но это увеличит нагрузку на сервер в ~5.3 раза и боюсь, что это уже будет ощутимо.
+1
Думаю, оптимальнее всего за каждый следующий запрос передавать одинаковое количество хэшей.
Например, если мы хотим уложиться в 2 запроса, придётся передавать по 396 хэшей (9.28 КБ на запрос при передаче в бинарном виде несж.).
3 запроса — 54 хэша (1.27 КБ)
4 запроса — 20 хэшей (480 байт)
Например, если мы хотим уложиться в 2 запроса, придётся передавать по 396 хэшей (9.28 КБ на запрос при передаче в бинарном виде несж.).
3 запроса — 54 хэша (1.27 КБ)
4 запроса — 20 хэшей (480 байт)
0
Я может что-то не догоняю… А какая проблема с передачей хэша? То что его можно сбрутфорсить? Насколько я понимаю это только будет иметь смысл если точно знать пользователя, от какого сервиса пароль, и какой логин-нэйм.
0
Если есть пара IP/пароль, то, имея на руках различные базы, с некоторой вероятностью можно найти и почтовый адрес (или набор потенциальных адресов), на который пользователь регистрировался на многочисленных ресурсах. А на оригинальном ресурсе почтовый адрес вообще предлагали оставить «для уведомления».
0
Обычно сложность паролей на сайтах примерно в 500 млрд раз меньше, чем оффлайн паролей, поэтому если передать хэш в открытом виде, то сбрутить его оффлайн будет относительно легко (примерно в 500 млрд раз проще, чем хэш от пароля, стойкого к оффлайн-перебору).
Как результат, сервис передающий хэш, не может заслуживать никакого доверия. Исключение составят только полностью рандомные пароли от 15 символов, составленные по 95-символьному словарю, или аналогичные им.
Как результат, сервис передающий хэш, не может заслуживать никакого доверия. Исключение составят только полностью рандомные пароли от 15 символов, составленные по 95-символьному словарю, или аналогичные им.
0
Sign up to leave a comment.
И еще раз о 320 миллионах паролей