О паролях⁠⁠

Нахуя в минус 40 из машины выходить на трассе?

Лодок нет!

Ха. Вот я тебя и нашёл.

Все нормально, просто разбил бы окно и все :-)

Диверсант)

Ага. Форд фокус 2,  например

Может украсть. Но хэшированный пароль хранится хэшированным с уже примененной к нему солью. Соотвественно, что ему это даст?

Вот пример (буду юзать MD5, что небезопасно, просто для примера, чтобы передать суть). Есть у меня пароль 'password'  и соль 'salt'. Итого в базе данных хранится хэш от 'passwordsalt' (b305cadbb3bce54f3aa59c64fec00dea) и соль 'salt'. А у пользователя Васи такой же пароль, но для него соль уже 'salt1', а потому в базе открыто хранятся хэш 05b604d36ceaeadd8c8fe358f112d98e и соль 'salt1'. У пользователя Пети такой же пароль, но соль 'salt2', в базе хранится соль и хэш 34e4c4c1b396f9bdeb630b583683a9c8.

Таким образом, у всех трёх пользователей одинаковый пароль, но хэш его совершенно разный.

Теперь есть хакер со словарём в 1 миллион паролей. В котором, конечно же, пароль 'password' присутствует. Для того, чтобы выяснить, что у нас троих одинаковые пароли, ему нужно хэшировать каждый из паролей в словаре с каждым вариантом соли, то есть хэшировать 3 миллиона паролей. Задача уже сложнее, не правда ли? А если пользователей миллион, то нужно уже хэшировать словарь миллион раз. Если, допустим, словарь паролей, который есть у хакера, хэшируется с заданной солью за 1 час, то на миллионе пользователей с уникальной солью ему нужно уже ~114 лет, а столько времени у хакера нету. Даже если хэшируется за минуту, то нужно почти 2 года на всё. Плюс, нет никаких гарантий, что в его словаре на 1 миллион паролей вообще окажется пароль нужного пользователя, потому что, скорее всего, там будут наиболее распространенные и простые варианты.

Даже если вдруг администрация ресурса не заметила, что базу увели, и не попросит всех пользователей сменить пароли (что сведет на нет старания хакера), то вычисление паролей всё равно будет крайне трудоёмким и ресурсозатратным мероприятием, что с учётом рисков (например, пользователи могут и сами поменять пароль за такое время) делает это занятие совершенно бессмысленным.

соль уникальна для каждого пользователя и хранится в открытом виде рядом с паролем. Суть в том чтоб хакеру пришлось взламывать каждый пароль отдельно а не всю базу сразу. очень эффективный метод радужных таблиц ( когда генерируются хэши по всем возможным паролям а потом просто производится поиск по хэшам ) идет нахер в этом случае. а таких же эффективных методом востановления паролей  по ихним хэшам просто нет. В итоге взлом базы растягивается на долгие месяцы а то и годы что делает экономически бессмысленным взлом

Не, воды не налил)