Comments 5
Может кто-то объяснить, как злоумышленнику поможет знание хэша пароля? Даже если он знает соль, и хэш-функцию.
Это если там не md5 и соль вообще есть. А то можно и в 2021 году наткнуться на «ну а чо такова, подумаешь пароли plain-text храним, нас же не взломают!»
Если честно, ни разу не сталкивался с таким. Что вообще в голове должно быть, что в открытом виде пароли хранить? Зачем? Обычно даже в самых убогих туториалах по работе с бд и авторизацией рассказывают, что пароли надо хэшировать. В том же PHP это делается одной строчкой «password_hash()». Ну или на худой конец функция md5(), например (как в том же wordpress) (не советую так делать). Я понимаю, если бы это было что-то хотя бы немного сложное, но это ж одна строчка кода.
Я не говорю, что я вам не верю. Мне просто любопытно, почему оно так бывает.
Я не говорю, что я вам не верю. Мне просто любопытно, почему оно так бывает.
Можно взять список популярных паролей и пробежаться по нему для каждого аккаунта. Причём без ограничений вида "не больше 5 запросов в секунду". А если соль на всех аккаунтах одинакова, то можно вообще один раз построить радужную таблицу (посчитать хэши популярных паролей) и разом вскрыть аккаунты кучи пользователей, использующий недостаточно сложные пароли.
А пароли остальных можно брутфорсить, но быстро (а не, опять же, "5 запросов в секунду").
Sign up to leave a comment.
В открытый доступ попали логины, пароли и IP 45,5 млн пользователей мобильных VPN-сервисов