да шоб удобно было)))
может они переводят пароль в нижний регистр и сохраняют хеш нижнего регистра?
Просто в блокноте
у товарища майора
Но человеку на саппорте следовало бы узнать что это, перед тем, как сморозить херню
ну да, думаю что там сидит не очень квалифицированный специалист. Но с другой стороны вопрос то тоже был некорректный, так как то что пароль не чувствительный к регистру не означает что он не хешируется.
Это не саппорт. Это сммщик в твитторе. То есть было бы круто, елси бы он предварительно узнал как и что. Особенно учитывая, что его зп в сбере шестизначная, и начинается не с цифры 1. Мог бы предвидеть ради чего его спрашивают такое, тут стоило заморочиться.
А по сути задающий вопрос знал, что там не технический специалист. Он инициировал всю эту ситуацию надеясь на ляп отвечающего и последующие лулзы. Он своего добился.
А по сути задающий вопрос знал, что там не технический специалист. Он инициировал всю эту ситуацию надеясь на ляп отвечающего и последующие лулзы. Он своего добился.
Меня как человека некогда работавшего в этой конторе заинтересовало утверждение - ", что его зп в сбере шестизначная, и начинается не с цифры 1".
Можно узнать откуда подобные цифры? Просто насколько я помню, сбер весьма жопился на зарплаты сотрудникам, и мне признатся с трудом верится что какому-то смсщику платят больше 100к.
Можно узнать откуда подобные цифры? Просто насколько я помню, сбер весьма жопился на зарплаты сотрудникам, и мне признатся с трудом верится что какому-то смсщику платят больше 100к.
И убираем пароли нахер. А то запоминать их клиентам неудобно
Мнемофраза, по сути это 24 слова из списка на 2048. Слова типичные, аля "трава кошка стул", но один хер не запомнишь. Сделано это с другой целью -- эти слова потом переводятся в бинарный приватный ключ, с помощью которого уже и идет вся движуха с кошельком. А учитывая что софта для работы с криптой овер дохрена, этот стандарт с мнемофразой хоть как-то позлоляет переключатся между кошельками и по мнемофразе гарантировано получать доступ к средствам (не всегда)
Я не пользовался Сбером, но если это в мобильном приложении, то этот код хранится в локальном хранилище и используется для расшифровки кредов, которые лежат в соседнем локальном хнанилище. Если на телефоне стоит еще свой пин или графический ключ, то вполне норм, так делают очень многие прилаги.
У них уже несколько лет такая хрень. Сбербанк уже давно сделал ребрендинг в сбер.....
ок, открою форточку... логотип они тоже поменяли.... а на картинках старое лого. Ау, проблеме много лет, а ты доёбываешься до "сбер" или "сберБанк"
Откуда службе поддержки знать про алгоритмы хеширования?
Да и зачем бы им рассказывать это в общем чате. Понятно что это мелочи, но в принципе, зачем бы им расказывать любую информацию о внутреннем устройстве системы
Да это и не служба поддержки как таковая, это скорее СММ.
Если алгоритм известен - то радужные таблицы в помощь
Поэтому и хешируют обычно не просто пароль, а пароль с добавлением соли. Этак 100 непечатаемых символов. И удачи с радужными таблицами
Ну так если алгоритм известен(в том числе и соль) - создаёшь свои таблицы из топ 100000 паролей и перебираешь. Не всех ломанешь, но достаточно
Чего, блять? С хуя ли? А как ты потом сверять будешь? Или предлагаешь хранить отдельную таблицу солей в привязке к пароля? Тогда всё равно хуйня, если хеши паролей достали, значит и соли достанут
Соль хранится вместе с хэшем. Так и сверяют: достают из базы запись юзера (логин которого ты ввел), и хэшируют введенный пароль с солью из базы. Если совпадает с хэшем из базы, значит пароль правильный.
А сделано так как раз для того, чтобы радужные таблицы нельзя было использовать. Даже если ты достанешь хэши с солью, тебе все равно придется для каждой соли перехэшировать свой список часто употребляемых паролей, чтобы сравнить с утянутыми хэшами. А с учетом того, что алгоритмы хэширования специально делают времязатратными, это задача растянется на годы.
А сделано так как раз для того, чтобы радужные таблицы нельзя было использовать. Даже если ты достанешь хэши с солью, тебе все равно придется для каждой соли перехэшировать свой список часто употребляемых паролей, чтобы сравнить с утянутыми хэшами. А с учетом того, что алгоритмы хэширования специально делают времязатратными, это задача растянется на годы.
Взломщики паролей такое учитывают. Так что лучше заменить случайный символ.
Ну и обязательно двухфакторную аутентификацию.
Ну и обязательно двухфакторную аутентификацию.
Если таких паролей будет мало, то никак. Если много, то подсуетятся.
Транслитерация кириллицы в своё время также была маловостребована.
Транслитерация кириллицы в своё время также была маловостребована.
Да, но у некоторых букв несколько вариантов транслитерации, и если фраза длинная — может быть несколько десятков вариантов. Хоть и небольшая, но дополнительная защита
Простой пароль на то, на что похуй. Сложный на то, на что не похуй. Отдельные сложные пароли на критические узлы вроде почты.
Так как пароль устанавливаешь ты сам, скорее всего ты будешь использовать варианты транслитерации точно такие же. Если возникнут сложности — ничто не мешает перебрать несколько вариантов.
Но я не настаиваю — если метод тебе не подходит, можешь использовать другой. Или использовать этот для паролей, которые ты используешь чаще, чем раз в год.
Но я не настаиваю — если метод тебе не подходит, можешь использовать другой. Или использовать этот для паролей, которые ты используешь чаще, чем раз в год.
Пользуюсь вариантом из комикса всегда, когда могу. Так как рандомную понятную только для тебя фразу из 15 букв и правда взломать гораздо тяжелее чем "пароль должен содержать спец знак, верхний регистр, цифру, нижний регистр, свастику и пикачу-фейс упс простите мы случайно слили нашу базу данных на 200 миллионов пользователей румынским хакерам"
Даже если просто сделать пароль 123456, то в 99.9% случаях тебя никто не взломает, ибо на твои аккаунты всем похуй, ведь ты как неуловимый джо - неуловим, ибо нахуй никому не нужен.
Взлом в целом это сомнительное занятие в наши года, ибо в любой отрасли связанной с финансами малейшая ошибка на любом этапе процесса и взламывать будут уже твое очко братки по камере.
Гораздо проще заставить людей самих снять с себя последние штаны ради какой то сомнительной хуйни.
Взлом в целом это сомнительное занятие в наши года, ибо в любой отрасли связанной с финансами малейшая ошибка на любом этапе процесса и взламывать будут уже твое очко братки по камере.
Гораздо проще заставить людей самих снять с себя последние штаны ради какой то сомнительной хуйни.
Восстанавливать пароль каждый раз, не помня, ввел C, с, латинскую с, скобку, квадратную скобку и ноль вместо О. Прога просит, чтобы новый пароль содержал цифру, заглавную букву и нижнее подчеркивание. Вспоминаешь, что уже два раза его менял на это говно и забывал.
мм, скрин поста от 07 сент. 20. Надо было ещё 5 дней подождать, может тогда бы этот пост имел хоть какой-то смысл.
По факту, как отписали выше, скорее всего там и правда переводится всё в верхний (или нижний) регистр перед хэшированием.
Да, это уменьшает устойчивость пароля к брутфорсу. Но даже для пароля длиной 8 символов число возможных комбинаций будет 50 в 8 степени, что равно примерно дохуя (39 062 500 000 000). Почему 50 - потому что лень считать сколько спец. символов, но в целом 26 букв англ. алфавита + 10 цифр, ну и пусть 14 спец. символов есть, для круглого счёта.
По факту, как отписали выше, скорее всего там и правда переводится всё в верхний (или нижний) регистр перед хэшированием.
Да, это уменьшает устойчивость пароля к брутфорсу. Но даже для пароля длиной 8 символов число возможных комбинаций будет 50 в 8 степени, что равно примерно дохуя (39 062 500 000 000). Почему 50 - потому что лень считать сколько спец. символов, но в целом 26 букв англ. алфавита + 10 цифр, ну и пусть 14 спец. символов есть, для круглого счёта.
Наверно не совсем чётко сформулировал свою мысль. Я хотел сказать что в этом посте не вижу поводов для смехуёчков, метания говна в сторону сбера и т.п., а оригинальный пост в твиттере был написан ужасно давно.
Это при прямом переборе. Многие не используют рандомные пароли, плюс используют один и тот же пароль на нескольких ресурсах, делая их уязвимыми к утечкам, поэтому пароли обычно подбираются по словарям, либо гибридно - при таком подходе сложность перебора уменьшается на порядки. Если их при этом еще и сделать регистронезависимыми, это еще минус несколько порядков, потому что ты уменьшаешь алфавит в полтора раза.
Только что проверил - мой при смене регистра не сработал.
Это как мясорубка. Провернуть мясо и превратить в фарш можно, но сколько не проворачивай в обратную сторону мясо ты уже не получишь. Это и есть хеш-функция очень простыми словами.
Чтобы не хранить оригинальный пароль, потому что есть риск его спалить, как раз используют хеш-функции. Помимо пароля в хеш-функцию обычно примешивают ещё что-нибудь, чтобы если даже база данных с хешами утечёт, не было возможности сопоставить её с публичными таблицами.
Чтобы не хранить оригинальный пароль, потому что есть риск его спалить, как раз используют хеш-функции. Помимо пароля в хеш-функцию обычно примешивают ещё что-нибудь, чтобы если даже база данных с хешами утечёт, не было возможности сопоставить её с публичными таблицами.
я не айтишник, но раз мясорубка один и тот же пароль проворачивает в один и тот же фарш, значит можно достать настройку этой мясорубки чтобы предположить как выглядел исходный кусок мяса?
Хмм, а получается можно хешировать многократно и разными способами? Условно внутренним хешированием компании обработать исходный пароль, а потом это месиво прогнать через другое хеширование скажем подрядчика-безопасника. Получится менее устойчиво к стабильности работы всей системы, но более безопасно. Ну и так искать оптимальный баланс между стабильностью и безопасностью
Современные алгоритмы хеширования а-ля стандартные для индустрии SHA-2 и так имеют под сотню раундов "перемешивания" в себе. Чем больше раундов, тем больше циклов процессора на это затрачивается, а поскольку большое кол-во раундов не всегда гарантирует надежность, то стараются построить такой алгоритм, который устойчив к атакам, и не давит на ресурсы.
Кому интересно, в открытом доступе есть бесплатная книжка по азам криптографии: https://github.com/crypto101/book
Кому интересно, в открытом доступе есть бесплатная книжка по азам криптографии: https://github.com/crypto101/book
нужно чтобы никто не увидел пароль в открытом виде при обращении к базе.
например, у вас пароль - password. в чтобы проверить корректность его ввода, его нужно где-то как то хранить для сравнения. если в БД (или где-то еще) хранить пароль в открытом виде - password - то злоумышленник может его както спиздить, войти в ваш аккаунт и сделать чтото плохое.
Поэтому применяют функии шифрования которые из password (или лубого другого слова) получат чтото в стиле jhflsjdflj398r9rj32j8fh8fyiw3i74y
когда вы вводите пароль, к вашему значение применяет такая же финкция, получается "хеш" и он сравнивается со значением в БД.
например, у вас пароль - password. в чтобы проверить корректность его ввода, его нужно где-то как то хранить для сравнения. если в БД (или где-то еще) хранить пароль в открытом виде - password - то злоумышленник может его както спиздить, войти в ваш аккаунт и сделать чтото плохое.
Поэтому применяют функии шифрования которые из password (или лубого другого слова) получат чтото в стиле jhflsjdflj398r9rj32j8fh8fyiw3i74y
когда вы вводите пароль, к вашему значение применяет такая же финкция, получается "хеш" и он сравнивается со значением в БД.
Вообще то это реальная история, и они действительно не учитывали регистр. Их моментально подняли насмех другие банки, и даже делали посты, что уж у них то всё по другому.
Сбер потом это исправил. Истории несколько лет.
Сбер потом это исправил. Истории несколько лет.
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!