может они переводят пароль в нижний регистр и сохраняют хеш нижнего регистра?
Просто в блокноте
у товарища майора
Но человеку на саппорте следовало бы узнать что это, перед тем, как сморозить херню
ну да, думаю что там сидит не очень квалифицированный специалист. Но с другой стороны вопрос то тоже был некорректный, так как то что пароль не чувствительный к регистру не означает что он не хешируется.
Это не саппорт. Это сммщик в твитторе. То есть было бы круто, елси бы он предварительно узнал как и что. Особенно учитывая, что его зп в сбере шестизначная, и начинается не с цифры 1. Мог бы предвидеть ради чего его спрашивают такое, тут стоило заморочиться.
А по сути задающий вопрос знал, что там не технический специалист. Он инициировал всю эту ситуацию надеясь на ляп отвечающего и последующие лулзы. Он своего добился.
А по сути задающий вопрос знал, что там не технический специалист. Он инициировал всю эту ситуацию надеясь на ляп отвечающего и последующие лулзы. Он своего добился.
Меня как человека некогда работавшего в этой конторе заинтересовало утверждение - ", что его зп в сбере шестизначная, и начинается не с цифры 1".
Можно узнать откуда подобные цифры? Просто насколько я помню, сбер весьма жопился на зарплаты сотрудникам, и мне признатся с трудом верится что какому-то смсщику платят больше 100к.
Можно узнать откуда подобные цифры? Просто насколько я помню, сбер весьма жопился на зарплаты сотрудникам, и мне признатся с трудом верится что какому-то смсщику платят больше 100к.
ПФФФфф.... Человек на саппорте квинтесенция похуя!
как ты в слове "доступе" умудрился столько ошибок сделать?
через неделю: "для пущей безопасности мы вводим регистрозависимые логины!"
И убираем пароли нахер. А то запоминать их клиентам неудобно
Ну кстати не самая тупая идея при правильной реализации - забыл эта штука называется, но как в крипте, когда тебе выдается символов на 40 случайных ебала, ТОЛЬКО по которой можно зайти в кошель.
пароль?
сид-фраза на коши, приватник на кош
Мнемофраза, по сути это 24 слова из списка на 2048. Слова типичные, аля "трава кошка стул", но один хер не запомнишь. Сделано это с другой целью -- эти слова потом переводятся в бинарный приватный ключ, с помощью которого уже и идет вся движуха с кошельком. А учитывая что софта для работы с криптой овер дохрена, этот стандарт с мнемофразой хоть как-то позлоляет переключатся между кошельками и по мнемофразе гарантировано получать доступ к средствам (не всегда)
Сегодня мне при заходе предложили ввести 6-значный цифровой код, по которому я "сможете войти без логина и номера карты, ура!". Хорошо, что была кнопка пропустить.
в сбере входить в клиент по 5и-значному коду довольно удобно
И не только тебе.
да, кому надо тот и так знает, а для посторонних достаточно этих цифр
Я не пользовался Сбером, но если это в мобильном приложении, то этот код хранится в локальном хранилище и используется для расшифровки кредов, которые лежат в соседнем локальном хнанилище. Если на телефоне стоит еще свой пин или графический ключ, то вполне норм, так делают очень многие прилаги.
У них уже несколько лет такая хрень. Сбербанк уже давно сделал ребрендинг в сбер.....
По относительно новому законодательству РФ банки должны иметь в своем названии слово "банк". Никаких Сберов ему...
Ну, сбербанк, часть сбера же? Тип, у них доставки же есть вся прочая не банковская хуета, вот и назвали сбером все предприятие. А банк так и остался сбербанком?
Ну да. Экосистема. Я про то, что это не значит, что переписка трёхлетней давности.
Хотя например тот же сбермаркет они в Купер переименовали. Так что кто знает
Хотя например тот же сбермаркет они в Купер переименовали. Так что кто знает
ок, открою форточку... логотип они тоже поменяли.... а на картинках старое лого. Ау, проблеме много лет, а ты доёбываешься до "сбер" или "сберБанк"
Откуда службе поддержки знать про алгоритмы хеширования?
Да и зачем бы им рассказывать это в общем чате. Понятно что это мелочи, но в принципе, зачем бы им расказывать любую информацию о внутреннем устройстве системы
Да это и не служба поддержки как таковая, это скорее СММ.
Чтобы фсб было удобнее пользоваться _
А то ещё и посадят за то, что не предоставляют алгоритм расшифровки хеша _
(Хеш-функции для того и используют, чтобы по колированому паролю было невозможно расшифровать исходный пароль)
А то ещё и посадят за то, что не предоставляют алгоритм расшифровки хеша _
(Хеш-функции для того и используют, чтобы по колированому паролю было невозможно расшифровать исходный пароль)
Если алгоритм известен - то радужные таблицы в помощь
А если неизвестен - криптотермальный метод
C MD5 еще прокатит, с SHA-256 или SHA-512 уже заебешься радужные таблицы перебирать, а если пароль еще и по всем правилам (регистрозависимый набор более-менее случайных символов), то совсем труба
Поэтому и хешируют обычно не просто пароль, а пароль с добавлением соли. Этак 100 непечатаемых символов. И удачи с радужными таблицами
Ну так если алгоритм известен(в том числе и соль) - создаёшь свои таблицы из топ 100000 паролей и перебираешь. Не всех ломанешь, но достаточно
Соль для каждого пароля своя.
Чего, блять? С хуя ли? А как ты потом сверять будешь? Или предлагаешь хранить отдельную таблицу солей в привязке к пароля? Тогда всё равно хуйня, если хеши паролей достали, значит и соли достанут
Соль хранится вместе с хэшем. Так и сверяют: достают из базы запись юзера (логин которого ты ввел), и хэшируют введенный пароль с солью из базы. Если совпадает с хэшем из базы, значит пароль правильный.
А сделано так как раз для того, чтобы радужные таблицы нельзя было использовать. Даже если ты достанешь хэши с солью, тебе все равно придется для каждой соли перехэшировать свой список часто употребляемых паролей, чтобы сравнить с утянутыми хэшами. А с учетом того, что алгоритмы хэширования специально делают времязатратными, это задача растянется на годы.
А сделано так как раз для того, чтобы радужные таблицы нельзя было использовать. Даже если ты достанешь хэши с солью, тебе все равно придется для каждой соли перехэшировать свой список часто употребляемых паролей, чтобы сравнить с утянутыми хэшами. А с учетом того, что алгоритмы хэширования специально делают времязатратными, это задача растянется на годы.
Так зачем им расшифровывать, если им просто отсылают в удобной табличке фио/пароль!
Пароль на банк должен быть уникален. Всю инфу банк может предоставить и без знания пароля клиента.
Хотя мы говорим о фсб, там с логикой не дружат.
Хотя мы говорим о фсб, там с логикой не дружат.
Не переживайте, это безопасно. Сказали же.
Не проще ли генератор паролей использовать.
У меня пароль это фраза на русском, но с английской раскладкой вбитая. Выглядит как что-то сгенерированное.
Взломщики паролей такое учитывают. Так что лучше заменить случайный символ.
Ну и обязательно двухфакторную аутентификацию.
Ну и обязательно двухфакторную аутентификацию.
Я бы посмотрел как они будут учитывать татарские слова на английском транслите
Если таких паролей будет мало, то никак. Если много, то подсуетятся.
Транслитерация кириллицы в своё время также была маловостребована.
Транслитерация кириллицы в своё время также была маловостребована.
Если уж на то пошло, то словари паролей составляют и с учетом транслита.
Да, но у некоторых букв несколько вариантов транслитерации, и если фраза длинная — может быть несколько десятков вариантов. Хоть и небольшая, но дополнительная защита
изи. "сорок тысяч обезьян в жопу сунули банан". без пробелов
Главное не делать как дайвер -- один сложный пароль на все учетки.
Простой пароль на то, на что похуй. Сложный на то, на что не похуй. Отдельные сложные пароли на критические узлы вроде почты.
> замените одну из букв на случайный символ
Ты это не запомнишь, если не будешь пользоваться часто.
Ты это не запомнишь, если не будешь пользоваться часто.
Можно записывать. Не весь пароль, а памятку, что где заменил. Вроде и везде разные пароли, а вроде и всего один. И записано в блокнотике, который слить не так страшно, как если бы там просто пароли писались
У меня мама записывала свои пароли, но всегда всё забывает и все записи теряет. Ей даже менеджер паролей не поставишь, потому что она и от него забывает пароли.
простой лайвхак - делать пароли для мамы самому.
а потом через год - "ж" - это Z? А "ы" - Y? Или, например, bi? А как там будет "щ"?..
Данунах такой метод
Данунах такой метод
набирать кириллицей с включенной латиницей "
Особенно на экранной клавиатуре))
Так как пароль устанавливаешь ты сам, скорее всего ты будешь использовать варианты транслитерации точно такие же. Если возникнут сложности — ничто не мешает перебрать несколько вариантов.
Но я не настаиваю — если метод тебе не подходит, можешь использовать другой. Или использовать этот для паролей, которые ты используешь чаще, чем раз в год.
Но я не настаиваю — если метод тебе не подходит, можешь использовать другой. Или использовать этот для паролей, которые ты используешь чаще, чем раз в год.
Пользуюсь вариантом из комикса всегда, когда могу. Так как рандомную понятную только для тебя фразу из 15 букв и правда взломать гораздо тяжелее чем "пароль должен содержать спец знак, верхний регистр, цифру, нижний регистр, свастику и пикачу-фейс упс простите мы случайно слили нашу базу данных на 200 миллионов пользователей румынским хакерам"
Даже если просто сделать пароль 123456, то в 99.9% случаях тебя никто не взломает, ибо на твои аккаунты всем похуй, ведь ты как неуловимый джо - неуловим, ибо нахуй никому не нужен.
Взлом в целом это сомнительное занятие в наши года, ибо в любой отрасли связанной с финансами малейшая ошибка на любом этапе процесса и взламывать будут уже твое очко братки по камере.
Гораздо проще заставить людей самих снять с себя последние штаны ради какой то сомнительной хуйни.
Взлом в целом это сомнительное занятие в наши года, ибо в любой отрасли связанной с финансами малейшая ошибка на любом этапе процесса и взламывать будут уже твое очко братки по камере.
Гораздо проще заставить людей самих снять с себя последние штаны ради какой то сомнительной хуйни.
Да, социальная инженерия наше все.
Вводишь русские буквы в английской раскладке, опционально заменять С на ( и о на 0
Можно ещё ударные гласные делать заглавными
Можно ещё ударные гласные делать заглавными
Восстанавливать пароль каждый раз, не помня, ввел C, с, латинскую с, скобку, квадратную скобку и ноль вместо О. Прога просит, чтобы новый пароль содержал цифру, заглавную букву и нижнее подчеркивание. Вспоминаешь, что уже два раза его менял на это говно и забывал.
мм, скрин поста от 07 сент. 20. Надо было ещё 5 дней подождать, может тогда бы этот пост имел хоть какой-то смысл.
По факту, как отписали выше, скорее всего там и правда переводится всё в верхний (или нижний) регистр перед хэшированием.
Да, это уменьшает устойчивость пароля к брутфорсу. Но даже для пароля длиной 8 символов число возможных комбинаций будет 50 в 8 степени, что равно примерно дохуя (39 062 500 000 000). Почему 50 - потому что лень считать сколько спец. символов, но в целом 26 букв англ. алфавита + 10 цифр, ну и пусть 14 спец. символов есть, для круглого счёта.
По факту, как отписали выше, скорее всего там и правда переводится всё в верхний (или нижний) регистр перед хэшированием.
Да, это уменьшает устойчивость пароля к брутфорсу. Но даже для пароля длиной 8 символов число возможных комбинаций будет 50 в 8 степени, что равно примерно дохуя (39 062 500 000 000). Почему 50 - потому что лень считать сколько спец. символов, но в целом 26 букв англ. алфавита + 10 цифр, ну и пусть 14 спец. символов есть, для круглого счёта.
>>>может тогда бы этот пост имел хоть какой-то смысл.
открываю хелп сбера, смотрю, а там...
Наверно не совсем чётко сформулировал свою мысль. Я хотел сказать что в этом посте не вижу поводов для смехуёчков, метания говна в сторону сбера и т.п., а оригинальный пост в твиттере был написан ужасно давно.
в скринах про пароль спрашивали, а не про логин
Это при прямом переборе. Многие не используют рандомные пароли, плюс используют один и тот же пароль на нескольких ресурсах, делая их уязвимыми к утечкам, поэтому пароли обычно подбираются по словарям, либо гибридно - при таком подходе сложность перебора уменьшается на порядки. Если их при этом еще и сделать регистронезависимыми, это еще минус несколько порядков, потому что ты уменьшаешь алфавит в полтора раза.
А чего забухтели-то?
Вопрос: хешируете? Ответ: нет, не хешируем.
Твёрдо и чётко.
Вопрос: хешируете? Ответ: нет, не хешируем.
Твёрдо и чётко.
Только что проверил - мой при смене регистра не сработал.
да и этой пасте через 5 дней уже 4 года будет
Пояснительную бригаду, пожалуйста. Что такое хеширование, зачем оно нужно и как оно влияет на безопасность?
Это как мясорубка. Провернуть мясо и превратить в фарш можно, но сколько не проворачивай в обратную сторону мясо ты уже не получишь. Это и есть хеш-функция очень простыми словами.
Чтобы не хранить оригинальный пароль, потому что есть риск его спалить, как раз используют хеш-функции. Помимо пароля в хеш-функцию обычно примешивают ещё что-нибудь, чтобы если даже база данных с хешами утечёт, не было возможности сопоставить её с публичными таблицами.
Чтобы не хранить оригинальный пароль, потому что есть риск его спалить, как раз используют хеш-функции. Помимо пароля в хеш-функцию обычно примешивают ещё что-нибудь, чтобы если даже база данных с хешами утечёт, не было возможности сопоставить её с публичными таблицами.
я не айтишник, но раз мясорубка один и тот же пароль проворачивает в один и тот же фарш, значит можно достать настройку этой мясорубки чтобы предположить как выглядел исходный кусок мяса?
Взлом хеш функций тоже реальность, обычно ищут коллизии, а они хоть и маловероятны, но и не неизбежны. Особенно когда механизм поиска коллизий становится известен.
Хмм, а получается можно хешировать многократно и разными способами? Условно внутренним хешированием компании обработать исходный пароль, а потом это месиво прогнать через другое хеширование скажем подрядчика-безопасника. Получится менее устойчиво к стабильности работы всей системы, но более безопасно. Ну и так искать оптимальный баланс между стабильностью и безопасностью
Современные алгоритмы хеширования а-ля стандартные для индустрии SHA-2 и так имеют под сотню раундов "перемешивания" в себе. Чем больше раундов, тем больше циклов процессора на это затрачивается, а поскольку большое кол-во раундов не всегда гарантирует надежность, то стараются построить такой алгоритм, который устойчив к атакам, и не давит на ресурсы.
Кому интересно, в открытом доступе есть бесплатная книжка по азам криптографии: https://github.com/crypto101/book
Кому интересно, в открытом доступе есть бесплатная книжка по азам криптографии: https://github.com/crypto101/book
обычно все методы слишком долгие.
нужно чтобы никто не увидел пароль в открытом виде при обращении к базе.
например, у вас пароль - password. в чтобы проверить корректность его ввода, его нужно где-то как то хранить для сравнения. если в БД (или где-то еще) хранить пароль в открытом виде - password - то злоумышленник может его както спиздить, войти в ваш аккаунт и сделать чтото плохое.
Поэтому применяют функии шифрования которые из password (или лубого другого слова) получат чтото в стиле jhflsjdflj398r9rj32j8fh8fyiw3i74y
когда вы вводите пароль, к вашему значение применяет такая же финкция, получается "хеш" и он сравнивается со значением в БД.
например, у вас пароль - password. в чтобы проверить корректность его ввода, его нужно где-то как то хранить для сравнения. если в БД (или где-то еще) хранить пароль в открытом виде - password - то злоумышленник может его както спиздить, войти в ваш аккаунт и сделать чтото плохое.
Поэтому применяют функии шифрования которые из password (или лубого другого слова) получат чтото в стиле jhflsjdflj398r9rj32j8fh8fyiw3i74y
когда вы вводите пароль, к вашему значение применяет такая же финкция, получается "хеш" и он сравнивается со значением в БД.
.lower() ни? и потом в хеш
Нас наебали, заявленная фича не работает. Пароль на самом деле регистрозависимый.
баян конешн
пароль в бд 100% захеширован, посолен и может даже хранится отдельно на зашифроанной бд. что не исключает того, что захеширован он в нижнем регистре и при проверки пароль переводится в нижний регистр.
Вообще то это реальная история, и они действительно не учитывали регистр. Их моментально подняли насмех другие банки, и даже делали посты, что уж у них то всё по другому.
Сбер потом это исправил. Истории несколько лет.
Сбер потом это исправил. Истории несколько лет.
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!