A
Я мб не очень понимаю но разве в ресте обычно токен просто не передается в запросе? Зачем жвт
в смысле зачем? ну JWT это просто распространенный стандарт.
Size: a a a
2020 April 29
A
примерно аналогично работают serverless сессии во фласке, которые представляют собой HMAC подписанные данные, только хранящиеся в кукисах
JW
еще вопрос чем делать хеш паролей? passlib это хорошо? и argon2
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
ПП
bcrypt
A
bcrypt
argon2
АП
еще вопрос чем делать хеш паролей? passlib это хорошо? и argon2
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
from werkzeug.security import generate_password_hash, check_password_hash
A
еще вопрос чем делать хеш паролей? passlib это хорошо? и argon2
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
bcrypt
pbkdf2_sha256 / pbkdf2_sha512
sha256_crypt / sha512_crypt
что из этого лучше?
зачем? чтобы не хранить блин в открытом виде + увеличить вычислительную сложность + память для атакующего.
A
хранишь пароли в открытом виде -> база утекает к нехорошим людям -> все пароли пользователей в открытом виде у злоумышленников доступны без лишних телодвижений -> (UPD: ты потенциально попадаешь на миллионные штрафы из-за GDPR кроме прочих проблем)
JW
зачем? чтобы не хранить блин в открытом виде + увеличить вычислительную сложность + память для атакующего.
ну необходимость как раз таки понятна. просто любопытно что люди в проде используют
ПП
зачем? чтобы не хранить блин в открытом виде + увеличить вычислительную сложность + память для атакующего.
Когда сам поставил вопрос и сам ответил
A
ну необходимость как раз таки понятна. просто любопытно что люди в проде используют
максимально криптостойкий и вычислительно сложный алгоритм из доступных и приемлемых.
A
bcrypt
https://security.stackexchange.com/questions/193351/in-2018-what-is-the-recommended-hash-to-store-passwords-bcrypt-scrypt-argon2
Argon2 кстати в последних версиях LUKSv2 используется по-умолчанию.
Argon2 кстати в последних версиях LUKSv2 используется по-умолчанию.
A
ну необходимость как раз таки понятна. просто любопытно что люди в проде используют
P.S. сорян, я вместо чем прочитал "зачем".
2020 April 30
ПП
https://security.stackexchange.com/questions/193351/in-2018-what-is-the-recommended-hash-to-store-passwords-bcrypt-scrypt-argon2
Argon2 кстати в последних версиях LUKSv2 используется по-умолчанию.
Argon2 кстати в последних версиях LUKSv2 используется по-умолчанию.
Блин, я не слежу за модой
A
from werkzeug.security import generate_password_hash, check_password_hash
не рекомендую. он завязан на hashlib, а в hashlib из KDF есть только PBKDF2 и scrypt (c 3.6).
по-умолчанию эта функция использует pbkdf2 + sha256.
лучше чем ничего конечно....
по-умолчанию эта функция использует pbkdf2 + sha256.
лучше чем ничего конечно....
A
если уже на то пошло то у passlib гораздо более актуальный набор поддерживаемых алгоритмов, но лично я ей не пользовался.
ПП
Вообще лично у меня bcrypt не поставился
ПП
Было лень дебажить
JW
если уже на то пошло то у passlib гораздо более актуальный набор поддерживаемых алгоритмов, но лично я ей не пользовался.
а чем бы пользовался?
A
а чем бы пользовался?
я не сказал "бы не пользовался". просто "не пользовался", читай не имею личного опыта ее использования.