Итак, вся проблема с хэшем заключается в том, что пользователи не вводят пароли длиной более 15 символов. Большинство из них используют только 4-8 символов, что позволяет им легко взломать радужный стол.Ultimate Hash Protection - Обсуждение концепций
Решение, используйте соль пользователя, чтобы сделать ввод хеша более сложным и более чем 50chars, чтобы они никогда не смогли создать таблицу (путь к большому для строк такого размера). плюс, им придется создать новую таблицу для каждого пользователя. Проблема: если они загружают db, они получат соль пользователя, поэтому вы вернетесь к квадрату, если они будут достаточно осторожны.
Решение, используйте сайт «pepper» плюс соль пользователя, тогда даже если они получат БД, им все равно придется знать конфигурационный файл. Проблема: если они могут попасть в ваши шансы БД, они могут также попасть в вашу файловую систему и открыть ваш сайт.
Итак, со всем этим известно - допустим, что злоумышленник попадает на ваш сайт и получает все, ВСЕ. Так что же вы делаете сейчас?
На этом этапе обсуждения большинство людей ответят «кто заботится об этом?». Но это всего лишь дешевый способ сказать: «Я не знаю, что делать дальше, так что это не может быть так важно». К сожалению, везде я задал этот вопрос, который был ответом. Что показывает, что большинство программистов пропускают очень важный момент.
Получает изображение, что ваш сайт похож на другие 95% сайтов, а пользовательские данные - или даже полный доступ к терминалу - не стоит приседать. Нападавший, оказывается, после одного из ваших пользователей «Боб», потому что он знает, что «Боб» использует тот же пароль на вашем сайте, как и на сайте банков. Он также, как известно, знает, что у Боба есть его сбережения. Теперь, если злоумышленник может просто взломать хэши наших сайтов, остальное будет куском пирога.
Итак, вот мой вопрос. Как вы продлеваете длину пароля без прослеживаемого пути? Или как вы делаете процесс хеширования сложным для дублирования своевременно? Единственное, что я придумал, это то, что вы можете перехватить хэш несколько тысяч раз и увеличить время, необходимое для создания финальной радуги в 1000 раз. Это связано с тем, что злоумышленник должен следовать этому же пути при создании своих таблиц.
Любые другие идеи?
Это уже обсуждалось несколько раз. См. Другие темы в области соли соли. –
Простое решение: требуйте более длинные пароли. – jalf
Я боюсь, что длина пароля требуется слишком долго, чтобы спросить пользователей. Вам понадобится 15 + символов с разными символами и т. Д. Большинству сайтов повезло получить сильный 8-символьный пароль. – Xeoncross