December 2nd, 2014

nyaload

Нужны ли длинные пароли?

Предположим, что защищаем например личный блог на общественной блог-плафторме или аккаунт игры.
Цель - предотвратить массовые уводы аккаунтов и пакости от знакомых-родственников.

Что будет плохого, если
1) разрешить пользователям короткие пароли, скажем от 6 символов или от 9 цифр (вне топа самых популярных)
и
2) хешировать-солить-шифровать в базу данных пароли алгоритмом, который требует 1 секунду на оптимальном для этого алгоритма оборудовании (это помимо тривиальных ограничений перебора через UI, чтобы злая теща не перебирала названия любимых фильмов). При угрозе от закона Мура - перехешировать хеши новым сложным алгоритмом. Проблему DDOS ауентификации - решать отдельно (например, капчами). Если один пользователь ауентифицируется паролем раз в неделю, то одного такого устройства хватит на сотню тысяч пользователей.
Скажем, 6 ascii lower case потребуют 10 лет перебора при таких ограничениях.

Номер телефона - использовать не для повышения надёжности, а для восстановления паролей забывчивых пользователей. Настойчиво сообщать, что без этого вы всё можете потерять, но не требовать его в обязательном порядке.