Правда о смене паролей⁠⁠

Перестановки символов не сделают такой хэш уязвимым, но породят ряд других проблем. Например, придётся поддерживать большее количество кода, что напрямую означает больше мест для потенциальных уязвимостей и багов. Отклонение от стандартных алгоритмов и сложность повторения алгоритма в других системах может вылезть когда-то боком. А плюсов не так уж и много, учитывая что как минимум 1 разработчик будет знать алгоритм перестановок.
Конкретно в примере выше в итоге используется md5, который уже давно годится только для проверки целостности данных или подобных задач.

Потому что хеш-функции имеют коллизии - это когда несколько разных наборов данных отображаются в один результат.

https://ru.wikipedia.org/wiki/Коллизия_хеш-функции

есть более стойкие к подобному вектору атак и менее.

еще есть атака по "радужным таблицам" - огромное количество уже просчитанных хешей с известными входными данными. собственно тоже поиск коллизий, но есть вероятность, что и Ваш пароль будет указан в такой таблице.

полностью не защищает ни что, даже двухфакторная авторизация - можно клонировать симки.

это только первое что пришло в голову, и я не специалист в КБ - скорее всего векторов атак больше, чем я описал.

Если ломать по хешу, по при добавлении соли пароль взломать нельзя через хеш. Только если он уже был взломан и у злоумышленника есть оно. Но это делается долгим и нудным перебором.

К примеру есть такой хеш: ecea96a6fea9a1744adcc9802ab7590d

На выходе после солирования получаем такой хеш: 8817ca339f7f902ad3fb456150a1bb9b4cb5dde9

Они ни одним символом не похожи. И один и тот же хеш имеет 2 значения.

И помимо соли, можно использовать еще и шифрование. Из хеша пароль не будут доставать. Вернее, ради аккаунта на пикабу это не выгодно делать.

Так же, если мы добавим абсолютно таким же образом соль, хеш снова будет другим, не похожим на 1 и 2 значение. И компьютер не будет знать пароля, он будет знать лишь солированый хеш пароля и просто сравнивать по алгоритму с вводимым пользователем паролем, вернее с таким же его солированным хешем. То есть даже реальное значение пароля и близко не будет в базе (У нормального админа).

Подделка симкарт, ну да, но это опять же требует ресурсов, которых не стоит аккаунт на пикабу. Ну только если ради лулзов.

Самый выгодный, дешевый и быстрый путь это спросить пароль. При чем 95% пользователей его тебе и скажут. Поэтому злоумешленники и используют этот способ. Легко, доступно, никаких трейсроутов для тебя, зашел под аккаунт, взял бабки, вышел.

Сейчас программным путем взламывают, откровенно говоря, мало, только дурачков, которые не накатывают обновления на винду и ставят им порнобаннеры на рабочий стол.

Для наглядности:
1 Пользователь вводит пароль Например: Витя228
1.1 Пароль шифруется алгоритмом Получается что-то вроде:
жг пз жг
не пж 7г
еп жш 7г
на пк 79
зк ап жш
1.2 Пароль хешируется получается что-то такое: ecea96a6fea9a1744adcc9802ab7590d
2 Добавляется соль к хешу получаем: 8817ca339f7f902ad3fb456150a1bb9b4cb5dde9
3 Добавляется соль, которая доступна только в один момент времени, после этого такой же соли никогда не будет. Проще говоря, добавляем щепотку времени.
Получаем 3 хеш, который будет сразу же расшифрован обратно в состояние 2 на этапе 4.
4 Расшифровываем соль: 8817ca339f7f902ad3fb456150a1bb9b4cb5dde9

5 Компьютер сохраняет в базе этот хеш. Новый пароль будет сравниваться с этим же хешем. Операция полностью закрытая, полностью автоматическая, человека в ней вообще нет, ибо он в этом системе слабое звено.

Например по паролю в данном случае преступник может ударить на всех пунктах:
1 Вотч, преступник просто видит, что ты вводишь с клавиатуры. Или у него стоит запоминатель клавиш на твоем компе, все комбинации записаны. Собственно, весь взлом.
1.1 Пока у пароля всего 1 элемент защиты - шифрование. Самый сложный шифр я разгадывал за 2 дня.
1.2 Подобрать по хешу пароль с шифрованием? Можно. Преступник просто так же сделает шифрование всех возможных паролей, потом их захеширует, сравнит результат хеша со своими и введет пароль. Если он конечно имеет достаточно вычислительной мощности для перебора.
2 Опять же, если преступнику известна соль, то он может и подобрать. А она ему может быть известна, компьютеру же нужно с чем-то сравнивать пароль.
3 Тут преступнику сложнее всего, и это самая вероятная точка в сети, где он находится, интернет на то и интернет, что передает данные далеко. Ему придется подобрать очень точное время. Настолько, что жутко. Какой-нибудь беззаботный админ возьмет только 3:14, как сейчас на часах. А какой-то Рассчитает до таких миллионных долей секунд, что жутко + возьмет и число. Например, в том же луковом браузере раньше просило время до секунды.
4-5 Атаковать защищенный сервер? Если это захудалый сайт или компания, то да, я поверю. Но например, защиту сервера можно сравнивать с танковой броней, листовая, закаленная сталь или просто лист железа, как в далеком 1918.
Помимо того, что преступнику может не хватить мощностей, он попросту иногда не сможет подключиться к дмз где хранится пароль без физического доступа.
Так же, как и в танковом бою, он может стрелять не в ту точку или не в тот танк и проиграть.
Конечно, если готовиться 3-9 месяцев к атаке защищенного серва, то получиться может, но гарантии, конечно.

Наиболее вероятно взять пароль именно у пользователя в этой схеме. Например, он тупо подключится через вайфай в мобильный банкинг, или кто-то подрубит свой провод к шкафу ростелекома в подъезде(был на пикабу умелец, который оптоволокно себе подрубает ходит, почему таких плюсуют).

Как-то херово объяснил

про password-hash как-то и не знал ранее, всегда юзал crypt + генерация соли.

хотя это вроде и так надстройка над crypt просто проще в использовании.