Пушыстый (_winnie) wrote,
Пушыстый
_winnie

Categories:

Нужны ли длинные пароли?

Предположим, что защищаем например личный блог на общественной блог-плафторме или аккаунт игры.
Цель - предотвратить массовые уводы аккаунтов и пакости от знакомых-родственников.

Что будет плохого, если
1) разрешить пользователям короткие пароли, скажем от 6 символов или от 9 цифр (вне топа самых популярных)
и
2) хешировать-солить-шифровать в базу данных пароли алгоритмом, который требует 1 секунду на оптимальном для этого алгоритма оборудовании (это помимо тривиальных ограничений перебора через UI, чтобы злая теща не перебирала названия любимых фильмов). При угрозе от закона Мура - перехешировать хеши новым сложным алгоритмом. Проблему DDOS ауентификации - решать отдельно (например, капчами). Если один пользователь ауентифицируется паролем раз в неделю, то одного такого устройства хватит на сотню тысяч пользователей.
Скажем, 6 ascii lower case потребуют 10 лет перебора при таких ограничениях.

Номер телефона - использовать не для повышения надёжности, а для восстановления паролей забывчивых пользователей. Настойчиво сообщать, что без этого вы всё можете потерять, но не требовать его в обязательном порядке.
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 11 comments