Комментарии 26
Хм, действительно, «хорошая» система восстановления пароля… Такая же стояла на mail.ru лет 5 назад, когда я забыл пароль и таким же способом мне его «восстановили». :)
НЛО прилетело и опубликовало эту надпись здесь
А не проще ли было сгенерить новый любой, чем играться бы с радужными таблчками???
Нееет, они просто взяли plain text из базы и прислали мне… :(
Нееет, они просто взяли plain text из базы и прислали мне… :(
НЛО прилетело и опубликовало эту надпись здесь
Задумался есть ли смысл хэшировать пароль ради хэша или как защита от слива базы пользователей..?
— Если админу понадобится, то он и не зная вашего пароля поправит все что угодно.
— Пароль шлется на сервер как есть без всяких выкрутасов.
Хэш, я считаю нужен для того, чтобы в базе было фиксированное поле pass CHAR(32), а прочие его полезности это как побочное явление.
Мнения? )
— Если админу понадобится, то он и не зная вашего пароля поправит все что угодно.
— Пароль шлется на сервер как есть без всяких выкрутасов.
Хэш, я считаю нужен для того, чтобы в базе было фиксированное поле pass CHAR(32), а прочие его полезности это как побочное явление.
Мнения? )
— Насчёт того, что админ если захочет, то узнает — совершенно правы (мораль: не стоит заходить на стартапы «религиознызх» врагов :))) )
— Пароль шлётся на сервер так, как его решили слать разработчики. Вот у меня доступ к банковским счетам идет через https, ну а на wikimapia не Пентагон вроде, так что да, шлется открыто…
Хэш нужен для того что бы: усложнить жизнь взломщикам, если они уж как-то ухитрились базу достать, ну и как защита от соблазна обладания куууучей паролей в открытом виде для самих авторов проекта. Вроде копилки на замке, а ключ проглотить (а еще лучше проглотить коту, а еще лучше соседскому)…
— Пароль шлётся на сервер так, как его решили слать разработчики. Вот у меня доступ к банковским счетам идет через https, ну а на wikimapia не Пентагон вроде, так что да, шлется открыто…
Хэш нужен для того что бы: усложнить жизнь взломщикам, если они уж как-то ухитрились базу достать, ну и как защита от соблазна обладания куууучей паролей в открытом виде для самих авторов проекта. Вроде копилки на замке, а ключ проглотить (а еще лучше проглотить коту, а еще лучше соседскому)…
Если у них простейший метод шифрования то восстановить пароли из хэша можно например тут
tools.web-max.ca/encode_decode.php
tools.web-max.ca/encode_decode.php
Само определение хеша подразумевает необратимость операции (кроме брутфорса или рейнбоу таблиц, что никак нельзя назвать шифрованием), так что это и не шифрование вовсе.
Что же касается MD5, то это спорный вопрос, насчёт восстановления, все зависит от той же «соли», ну и уникальности пароля. Рейнбоу таблицы строятся, на сколько я понимаю, по словарному принципу, ну и генерации хэшей наборов бессвязных символов. Если ваш пароль состоит из нескольких неразделённых английских слов вперемежку с числами и специальными знаками, а тем более заканчивается на ту самую бессвязную белиберду, то в таблицах такой вряд ли найдется :)
Что же касается MD5, то это спорный вопрос, насчёт восстановления, все зависит от той же «соли», ну и уникальности пароля. Рейнбоу таблицы строятся, на сколько я понимаю, по словарному принципу, ну и генерации хэшей наборов бессвязных символов. Если ваш пароль состоит из нескольких неразделённых английских слов вперемежку с числами и специальными знаками, а тем более заканчивается на ту самую бессвязную белиберду, то в таблицах такой вряд ли найдется :)
нечего спорить, попробуйте <? echo sha1('your_pass'); ?> или <? echo md5('your_pass'); ?>, а затем декодируйте предложенным сервисом. Это работает.
Ну если там будет действительно 'your_pass', то конечно такое есть в таблицах, а если указать:
c1beba991116656adc4f5337006f17bd
то сайт скромно ответит: No conversion available
Кстати, хэш получен вот так:
<? echo md5('AvaloReal~Cool||Pass66397/*/*/*'); ?>
c1beba991116656adc4f5337006f17bd
то сайт скромно ответит: No conversion available
Кстати, хэш получен вот так:
<? echo md5('AvaloReal~Cool||Pass66397/*/*/*'); ?>
Загадка гудина разгадана. Они просто собирают ваши пароли.
INSERT INTO `table`(`key`, `hash`) VALUES («your_key», MD5(«your_key»));
SELECT `key` FROM `table` WHERE `hash`= «request» LIMIT 1;
INSERT INTO `table`(`key`, `hash`) VALUES («your_key», MD5(«your_key»));
SELECT `key` FROM `table` WHERE `hash`= «request» LIMIT 1;
Огромной разницы не вижу, всё равно, если хакеры украдут базу, ущерб будет большим: в руки спамерам попадёт база почтовых адресов. Вот бы кто адреса додумался шифровать =)
Лично я думаю, что разница большая… Одно дело когда никто (включая владельцев сайта) не знает моего пароля, а другое дело, когда владелец в любой момент может его узнать. (Я не учитываю того что владаелец зная «соль» может рейбоуить пароль. На такой случай нужно просто хороший пароль ставить изначально)
Вот представляете, сколько на Хабре стартаперов, а вдруг Вы или я, скажем, кого-то обидите, на «религиозной» почве, а он (будучи владельцем какого-то из них) — раз и в каком нибудь Вконтакте сменит вам пароль, предварительно поставив на аватар что-то эдакое… :)
Вот представляете, сколько на Хабре стартаперов, а вдруг Вы или я, скажем, кого-то обидите, на «религиозной» почве, а он (будучи владельцем какого-то из них) — раз и в каком нибудь Вконтакте сменит вам пароль, предварительно поставив на аватар что-то эдакое… :)
Когда Википедия нужна вам, она к вашим услугам! :)
пользуйтесь KeePass или другим менеджером паролей :). я третий год держу за правило уникальные пароли на каждом ресурсе.
Пользоваться менеджером stand-alone не так уж удобно, ну, сами понимаете, работа, дом, ноутбук, например… То-есть встает вопрос синхронизации всего этого.
С другой стороны онлайн-хранилища паролей вызывают такую же опаску как Wikimapia, мол, вдруг они вовсе не хранилища, а сборища чужих паролей ко всему на свете, а если и нет, то остается вероятность того, что они тоже о хешах не слышали.
Ну и последнее — считаю не самой лучшей затеей хранить десять паролей под одним, даже надёжным. (Но это, скорее, уже мои личные накруты.)
С другой стороны онлайн-хранилища паролей вызывают такую же опаску как Wikimapia, мол, вдруг они вовсе не хранилища, а сборища чужих паролей ко всему на свете, а если и нет, то остается вероятность того, что они тоже о хешах не слышали.
Ну и последнее — считаю не самой лучшей затеей хранить десять паролей под одним, даже надёжным. (Но это, скорее, уже мои личные накруты.)
Впрочем, если уж и хранить пароли к web-ресурсам и не думать о синхронизации, то тут мне представляется удобной новая функция от foxmarks.com, кажется, Password sync называется… Там пользователю хотя бы подсказывают надёжность пароля (который там почему-то обозвали pin-код)
Нормальное явление. Ничего здесь такого плохого нет. Просто люди живут без паранойи.
Главное чтобы они хешами/шифрованием пользовались, при «обмене» сервера с клиентом :)
И база хорошо была закрыта, с точки зрения безопастности.
Если уж базу стырят — ушерб будет колоссальный и так. Все равно придется всё менять.
Тот кто получит доступ к базе данных — может и логины поменять, и вместо длинного «хеш-пароля» поставить хеш своего и т.п.
Главное чтобы они хешами/шифрованием пользовались, при «обмене» сервера с клиентом :)
И база хорошо была закрыта, с точки зрения безопастности.
Если уж базу стырят — ушерб будет колоссальный и так. Все равно придется всё менять.
Тот кто получит доступ к базе данных — может и логины поменять, и вместо длинного «хеш-пароля» поставить хеш своего и т.п.
НЛО прилетело и опубликовало эту надпись здесь
Вы имеете ввиду «хозяина» сайта?
Ну, когда вы вводите пароль, хозяин его и так может узнать ;)
А как получат другие? XSS? Если сайт дырявый то, на такие сайты и ходить не надо. Там надо ставить пароль 1234 :)
«Уважаемые» сайты в первую очередь берегут свои базы.
Просто люди живут без паранойи. Кто захочет скомуниздить ваш пароль может это сделать и другими путями…
Ну, когда вы вводите пароль, хозяин его и так может узнать ;)
А как получат другие? XSS? Если сайт дырявый то, на такие сайты и ходить не надо. Там надо ставить пароль 1234 :)
«Уважаемые» сайты в первую очередь берегут свои базы.
Просто люди живут без паранойи. Кто захочет скомуниздить ваш пароль может это сделать и другими путями…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Оригинальное восстановление паролей на wikimapia.org